公钥证书与私钥证书

『壹』 什么是公钥证书

所谓的公钥认证，实际上是使用一对加密字符串，一个称为公钥(public key)，任何人都可以看到其内容，用于加密；另一个称为密钥(private key)，只有拥有者才能看到，用于解密。通过公钥加密过的密文使用密钥可以轻松解密，但根据公钥来猜测密钥却十分困难。

ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便，以下将使用这些符号。

Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥

在认证之前，客户端需要通过某种方法将公钥 Ac 登录到服务器上。

认证过程分为两个步骤。

会话密钥(session key)生成
客户端请求连接服务器，服务器将 As 发送给客户端。
服务器生成会话ID(session id)，设为 p，发送给客户端。
客户端生成会话密钥(session key)，设为 q，并计算 r = p xor q。
客户端将 r 用 As 进行加密，结果发送给服务器。
服务器用 Bs 进行解密，获得 r。
服务器进行 r xor p 的运算，获得 q。
至此服务器和客户端都知道了会话密钥q，以后的传输都将被 q 加密。
认证
服务器生成随机数 x，并用 Ac 加密后生成结果 S(x)，发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x)，q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x)，两者相同则认证成功

『贰』 数字证书，公钥和私钥这三者之间的关系是什么

公私钥又称非对称密钥，成对出现，只有相互可逆，一对公私钥可集成为一张数字证书

『叁』 数字证书是什么，公钥加密和私钥签名

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。
非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。
另一方面，甲方可以使用乙方的公钥对机密信息进行签名后再发送给乙方；乙方再用自己的私匙对数据进行验签。
甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。
非对称密码体制的特点：算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。

『肆』 公钥和私钥的关系

这是为了保障网络传输安全的一套加密体系。每个人都有一套公钥和私钥，公钥可以通过证书下载、传输而告知多人；私钥则由使用者自己保管。当进行传输时，发送者使用接收者的公钥对资料进行加密以保证传输资料的机密性，同时使用自己的私钥进行加密以保证所传资料的真实性--确定是自己传出的。接收者接到资料后使用自己的私钥对资料进行解密、查看--因为是用他的公钥加密的，所以只有他的私钥可以解密，同时使用发送者的公钥解密从而确定该资料确实由该私钥持有者所发出，从而保证资料的正确性。这样传输的资料在法律上也是有效力的！

『伍』 数字证书与私钥什么关系

什么是数字证书？
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。

数字证书也必须具有唯一性和可靠性。为了达到这一目的，需要采用很多技术来实现。通常，数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，用户可以公开其公开密钥，而保留其私有密钥。

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展，数字证书开始广泛地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

数字签名（Digital Signature）技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

数字签名包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。

『陆』 老师你好，在ssl证书中，cer是公钥证书，key是私钥证书，crt是证书链对吗

一、SSL证书文件

如图所示，就是一些SSL证书文件。上图带有root CA 字样的证书文件就是根证书， 然后带intermediate ca 字样的就是中间证书文件， 最后一个 ssl servercertificate 字样的证书即为证书文件。

了解认识SSL证书文件，才能更好的去安装SSL证书。虽然大部分时候直接安装证书文件，浏览器也会显示安全，但是由于一些浏览器会自动补齐证书链，但是证书链缺失的话，一些手机端或者部分浏览器可能会报不安全的提醒，所以在安装的时候建议安装完整的证书文件，补齐证书链。

二、SSL证书格式

在SSL证书源文件中你会发现有很多格式。不同的web服务器对于证书的格式是有要求的，接下来也带大家了解下不同格式的证书文件。

PEM：- Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.上述一般证书文件 ，中间证书和根证书，证书文件很多都是pem格式的。Apache和NIgnix服务器偏向于使用这种编码格式.

DER：这种格式也是常见的证书格式，跟pem类似，中间证书和根证书，证书文件很多都是DER的，Java和Windows服务器偏向于使用这种编码格式。

JKS ：jks是Java密钥库(KeyStore)比较常见的一种格式。一般可用通过cer 或者pem 格式的证书以及私钥的进行转化为jks格式，有密码保护。所以它是带有私钥的证书文件，一般用户tomcat环境的安装

PFX：pfx格式的证书 也是由cer 或者pem格式的证书文件以及私钥转化而来，所以该证书文件也是带有私钥的证书文件，一般用于iis 环境的证书安装。

『柒』 私钥、公钥、证书的区别和关系

私钥是要求你输入个人密码才可访问的，一般网上银行之类可用到。
公钥不要求设专置密码，是已属经默认了的，一般上一些安全性要求不高的网站或共享资源，如局域网。
证书是一种网站加密浏览方式，只有允许了才可访问，一般为安全性较高的网站，如网上银行；可以访止黑客盗取客户资料。

『捌』 数字证书，公钥、私钥，数字签名的关系

公钥、私钥是一对，公钥是给别人用来解密的，私钥是自己用来加密的
数字证书是用你的公钥生成的，包含你的公钥和其他的一些个人和组织信息。
数字签名是你用你的私钥加密后的一组数据，可以让别人用你的公钥解开。表明是你签名认可的数据

『玖』 SSL中，公钥，私钥，证书的后缀名都是些啥

SSL证书后缀
CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
KEY– 通常用来存放一个RSA 公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
CRT– CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。本站提供的CRT格式等同于CER,等同于PEM。
PEM – Privacy Enhanced Mail的缩写，以文本的方式进行存储。打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是编码. 查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.
CER– 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
DER – Distinguished Encoding Rules的缩写，以二进制方式进行存储，文件结构无法直接预览，查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows服务器偏向于使用这种编码格式.
PFX/P12 – predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会,PFX通常会有一个”提取密码”,你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码？
JKS – 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫”keytool”的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS。

『拾』 公钥与私钥

rsa可以用来加密
这时候用公钥加密
私钥解密
（公钥公开
如果私钥加密的话
岂不是谁都可以用公钥都要解开
有何秘密可言
你的私钥要通过diniffer-hellman算法秘密的传给对方）
rsa可以用来也用来签名
这时候用私钥签名
公钥认证
（如果不是你用你自己的私钥签的
怎么用你的公钥可以解开的）
所以我想说
这题答案问题
正确的答案
要么是
签名和认证
要么
解密和加密
结果所有的答案
都是把数据加密和签名扯到一起
这让人情何以堪
就像刀可以杀猪
也可以用来做西红柿炒鸡蛋
结果题目是
用刀杀猪的时候
应该怎么切西红柿
这让我情何以堪
有木有