证书签名算法

① SSL 证书的算法有哪些

为了考虑浏览器兼容性，通常使用以下算法：
加密算法专：RSA
哈希签名算法：SHA256
加密位数：属2048
最近ECC算法也比较普遍，主要有优点读取速度快了，但相反浏览器支持率降低了，首先IE7、IE6是肯定不支持的，甚至IE8也不支持。

② x.509数字证书中"签名算法"和"微缩图算法"有什么区别

数字证书基本概念
（1）什么是证书?
在一个电子商务系统中，所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份（每份证书都是经“相对权威的机构”签名的），另一方面由于每份证书都携带着证书持有者的公钥（签名证书携带的是签名公钥，密钥加密证书携带的是密钥加密公钥），所以，证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。
（2）什么是CA?
CA是Certificate Authority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。
（3）什么是SSL?
安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性，主要采用公开密钥体制和X.509数字证书技术来提供安全性保证。对于电子商务应用来说， SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名（Form Signing）"的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。
（4）什么是RA?
RA即证书发放审核部门，它是CA系统的一个功能组件。它负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此它应由能够承担这些责任的机构担任。
（5）什么是CP?
CP即证书发放的操作部门，它是CA系统的一个功能组件，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。
（6）什么是CRL?
CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
（7）什么是OCSP?
OCSP即在线证书状态查询（Online Certificate Status Protocol），使用户可以实时查询证书的作废状态。
（8）什么是密钥对，怎样使用它，怎样获得密钥对?
像有的加密技术中采用相同的密钥加密、解密数据，公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理，每把的功能恰恰与另一把相反，一把用于加密时，则另一把就用于解密。
公共密钥是由其主人加以公开的，而私人密钥必须保密存放。为发送一份保密报文，发送者必须使用接照叩墓

③ 电子签名原理是什么

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。

但是，通过上述技术名词解释并不能直观、易懂的说明电子签名的原理，以下是通过还原电子签名签署的过程简介实现原理：

场景：由于业务需要，你和我需要签署一份合作协议。为方便起见，你将拟好的电子版合同文本在线发送给我签署。

怎样确保合同只有我可查看且不被他人恶意窃取？我又怎样才能确定文件的发送人就是你呢？

关键点1：公钥私钥登场

为了满足电子合同内容保密性和发送人认证的要求，我们了解到非对称加密的加密方式。

• 非对称加密：具有唯一对应的一对秘钥，一个公钥一个私钥，公钥所有人可见，而私钥仅自己可见。

• 非对称加密具有这样的特性：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。

发送合同时，你将拟好的电子合同使用自己的私钥加密后发送；接收合同时，如果能够使用你的公钥解密，则说明这份文件就是你发送的。

但是，我怎么才能知道你的公钥呢？

关键点2：政府出了个CA来帮忙

我了解到，政府授权了一个权威机构叫CA，可以提供网络身份认证的服务。

• CA(Certificate Authority)：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为：产生密钥对、生成数字证书、分发密钥、密钥管理等。

• 数字证书：是由CA机构颁发的证明，它包含公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息，可以通俗为理解个人或企业在“网络身份证”。

我向CA机构申请获取你的公钥，使用它对电子合同解密，解密成功则说明发送人就是你。文件发送人的身份确认了，那怎么保障电子合同传输过程中未被篡改呢？

关键点3：哈希兄弟出场

有技术人员推荐了哈希算法（摘要算法），可以证明电子合同传输过程中是否被篡改。

• 哈希算法：通过加密算法将文本内容生成为一段代码，即信息摘要，其主要特征是加密过程不需要密钥，经加密的数据无法被反向还原。也就是说，只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。

发送合同时，你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时，通过对合同原文进行同样的哈希运算得到新的摘要，对比两组摘要是否一致即可证明我接收的文件是否被篡改

但是，如果传输过程中文件原文与摘要同时被替换了怎么办？

关键点4：对称加密来帮忙

除了上述的哈希算法、非对称加密、CA，为确保合同由发送到接收满足三个要求，即：由你发送、只能发给我、不能被篡改，我们还需要应用新的加密方式：对称加密。

• 对称加密：采用单钥密码系统的加密方法，信息的加密和解密只能使用同一个密码。

发送文件时：

1、你通过哈希运算得到原文摘要并使用私钥对其加密，得到你的数字签名，再将数字签名和合同原文进行对称加密，得到密文A——对原文加密

2、再通过CA获得我的公钥，对上述步骤中对称加密的秘钥进行非对称加密，即我的“数字信封”——对秘钥加密

3、将密文A和我的数字信封一起发送给我

• 数字签名：用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

• 数字信封：用接收方的公钥加密对称秘钥”，这就叫“给乙的数字信封。

接收文件时：

1、我使用自己的私钥解密数字信封得到对称秘钥——能解开，说明是发给我的

2、再使用对称秘钥解密密文A，得到带有你的数字签名的原文

3、使用你的公钥解密你的数字签名，得到签名中的原文摘要——能解开，说明发送者是你

4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致，则说明原文没有被篡改

除了文件内容不可篡改，精确记录签署时间固定合同生效期限也十分重要，网络环境中怎样怎么确保合同签署时间不可篡改呢？

关键点5：时间戳来证明

我又请教了专家，原来我们国家还有专门确定时间的法定授时中心，它可以在我们签署的文件上加盖“时间印迹”，即时间戳。

• 时间戳（time-stamp）：书面签署文件的时间是由签署人自己写上，而数字时间戳则由第三方认证单位（DTS）添加，以DTS收到文件的时间为依据，更精准、更有公信力。

至此，我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效，这下没问题了！但是，签署完的电子合同怎么存储呢？不管是哪一方签署，日后产生纠纷都难免对合同存储期间的安全性产生质疑。

关键点6：找个权威第三方来存证

听说有专门的第三方电子数据存证机构，可以保存已签署的电子合同数据，当用户双方对合同内容产生争议时可申请出具具有公信力的证明。

合同签署的最后一个问题：存储问题也解决了！但唯一不足之处就是：签署过程太麻烦！为保障电子合同有效性，我们用到了非对称加密、哈希运算、时间戳等技术，还要CA机构、公证处等机构协助；

怎样更简单快捷地签一份有效的电子合同呢？

关键点7：选择可靠的第三方电子合同平台

根据《电子签名法》规定，使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。

• 根据《电子签名法》规定，符合下列条件的，视为可靠的电子签名：

1）电子签名制作数据用于电子签名时，属于电子签名人专有

2）签署时电子签名制作数据仅由电子签名人控制

3）签署后对电子签名的任何改动能够被发现

4）签署后对数据电文内容和形式的任何改动能够被发现

结合上述电子合同签署过程，我们可归纳总结有效的电子合同应关注以下几个核心点：内容保密性、内容防篡改、明确签订身份、明确签订时间。

同时，为保障电子合同作为书面形式的证据能力，合同签署全程还应当由权威第三方机构存储公证。

商务部在《电子合同在线订立流程规范》指出：“通过第三方（电子合同服务提供商）的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

综上，就是电子签名各个环节中需涉及的实现原理。

④ 如何解决ssl算法强度不够的问题

Apache、Nginx环境下：源
公钥：.KEY
私钥：.KEY
证书：.CRT或者.PEM（两者都可以）
概括：无论是根证书还是证书后缀都是.CRT。

IIS环境：.pfx
JKS环境：.JKS
概括：IIS或者JKS安装证书有对应格式文件，需要向Gowrg机构索取：网页链接

⑤ PKI的身份认证过程是CA发布的证书来实现的还是通过非对称签名以及验证算法来实现的

对，签名是用的是私钥，验签是用的是公钥，所以叫非对称算法。只有验证通过才能确认该证书的身份，公私钥才配对。

⑥ c#怎样获得数字证书的签名哈希算法

数字来签源名算法（C#）
public static string GetSHA1Method(string strSource)
{
string strResult = "";
//Create
System.Security.Cryptography.SHA1 sha = System.Security.Cryptography.SHA1.Create();
byte[] bytResult = sha.ComputeHash(System.Text.Encoding.UTF8.GetBytes(strSource));
for (int i = 0; i < bytResult.Length; i++)
{
strResult = strResult + bytResult[i].ToString("X2");
}
return strResult;
}

⑦ 代码签名证书的代码签名证书算法升级

代码签名证书对程序的代码和内容建立了数字化验证和保护，使软件能够在被用户下载、专安装和运行代码程序的过程属中系统地显示开发者的信息。代码签名证书的功能是验证内容的来源及其完整性，还可以防止信息被非法篡改。它不仅保护了软件开发者的利益，也保证了软件用户的安全。
代码签名证书根据证书级别分为普通代码签名证书和增强型代码签名证书，其中EV代码签名证书属于增强型代码签名证书，增强型代码签名证书比普通代码签名证书具有更高的安全性，支持更多的范围和签名认证级别等。
解决办法：ssln代码签名证书算法都升级

⑧ SHA1代码签名证书是什么

SHA1是一种安全算法，主要用来验证数据的完整性。

对于从网上下载文件时，它专是非常重要的，SHA1可以验证您属下载的文件是是不是你所期望下载的文件。

软件作者通常压缩软件，然后计算出一个“校验和”根据内容，并张贴，旁边的链接下载该文件的校验。 然后，你在下载完成后，重新计算、校验、比较一下文件，确保您计算和校验的文件与作者发布的想匹配。 如果他们不匹配，那么你不应该使用下载的文件，因为它可能已被篡改。在这种情况下，你也应该向作者报告问题，使他们能够做相应的调查或修改。

代码签名证书能够对企业的应用和文档进行签名，从而防止第三方在未经许可的情况下对其进行修改。基本上，所有软件公司在分发软件时都必须购买和使用代码签名证书。缺少代码签名证书的软件在安装时，Windows等各种操作系统平台会弹出软件不安全的提示，从而导致客户的对产品信任度降低。

解决方法：在ssln可以购买代码签名证书

⑨ TLS/SSL数字证书里的指纹算法、签名算法和签名哈希算法各是做什么用的

你好！

签名哈希算来法：签名之自前对证书主体部分进行哈希的算法，它和签名算法结合，是签名及认证的一部分。
指纹算法：是对签名之后的证书文件计算一下散列值，只是用于检测证书是否被篡改，类似于去网站下载一个安装包，严谨一点的网站会给一个MD5的值，便于你下载之后再MD5一下核对。
证书指纹何时用到？举个例子，在导入某CA根证书或证书链时，会去该CA官方网站下载相关证书，下载好了之后可以手工检查一下指纹，确认无误再导入。

⑩ 用RSA私钥证书对摘要做签名操作，签名时算法选择SHA-1。

你SHA-1算法得到的是ABCDE五个32位共160bit信息，RSA签名的时候，要么通过大素数（p>2^160）签名，或者可以把五个32位分别拆分，整成一个unsigned int分别签名。