公钥证书更新

A. 通过工行个人网上银行办理U盾证书下载时提示“96110102，公钥错误”，如何处理

通过网银使用U盾交易或下载证书时，如遇“96110102，公钥错误或U盾证书未成功下载”提示，请您重新安装U盾驱动程序、网上银行安全控件或更换其他电脑尝试操作。
如无法解决，请您携带本人身份证件、开通网银的银行卡和U盾到任意营业网点让工作人员帮您重新下载证书信息后使用。

B. SSL中，公钥，私钥，证书的后缀名都是些啥

SSL证书后缀
CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
KEY– 通常用来存放一个RSA 公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
CRT– CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。本站提供的CRT格式等同于CER,等同于PEM。
PEM – Privacy Enhanced Mail的缩写，以文本的方式进行存储。打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是编码. 查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.
CER– 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
DER – Distinguished Encoding Rules的缩写，以二进制方式进行存储，文件结构无法直接预览，查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows服务器偏向于使用这种编码格式.
PFX/P12 – predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会,PFX通常会有一个”提取密码”,你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码？
JKS – 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫”keytool”的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS。

C. 服务器ssl证书公钥什么时候改变

公钥（Public Key）与私钥（Private Key）是通过公钥算法得到的一个密钥对（即一个公钥和一个私钥），公钥是密钥对中公开的部分，私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。
SSL证书公钥是随着SSL证书签发而产生的，一张证书对应一对公私钥，公钥是不会改变的。

D. 老师你好，在ssl证书中，cer是公钥证书，key是私钥证书，crt是证书链对吗

一、SSL证书文件

如图所示，就是一些SSL证书文件。上图带有root CA 字样的证书文件就是根证书， 然后带intermediate ca 字样的就是中间证书文件， 最后一个 ssl servercertificate 字样的证书即为证书文件。

了解认识SSL证书文件，才能更好的去安装SSL证书。虽然大部分时候直接安装证书文件，浏览器也会显示安全，但是由于一些浏览器会自动补齐证书链，但是证书链缺失的话，一些手机端或者部分浏览器可能会报不安全的提醒，所以在安装的时候建议安装完整的证书文件，补齐证书链。

二、SSL证书格式

在SSL证书源文件中你会发现有很多格式。不同的web服务器对于证书的格式是有要求的，接下来也带大家了解下不同格式的证书文件。

PEM：- Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.上述一般证书文件 ，中间证书和根证书，证书文件很多都是pem格式的。Apache和NIgnix服务器偏向于使用这种编码格式.

DER：这种格式也是常见的证书格式，跟pem类似，中间证书和根证书，证书文件很多都是DER的，Java和Windows服务器偏向于使用这种编码格式。

JKS ：jks是Java密钥库(KeyStore)比较常见的一种格式。一般可用通过cer 或者pem 格式的证书以及私钥的进行转化为jks格式，有密码保护。所以它是带有私钥的证书文件，一般用户tomcat环境的安装

PFX：pfx格式的证书 也是由cer 或者pem格式的证书文件以及私钥转化而来，所以该证书文件也是带有私钥的证书文件，一般用于iis 环境的证书安装。

E. 配置HTTPS，公钥证书有效期短怎么办

根据Gworg官方公布，全球SSL证书最长持续时间设置为825天，所以有效时间短的，可以注册时间长一些，一般是到期后直接重新注册就可以了。

F. 什么是公钥证书

所谓的公钥认证，实际上是使用一对加密字符串，一个称为公钥(public key)，任何人都可以看到其内容，用于加密；另一个称为密钥(private key)，只有拥有者才能看到，用于解密。通过公钥加密过的密文使用密钥可以轻松解密，但根据公钥来猜测密钥却十分困难。

ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便，以下将使用这些符号。

Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥

在认证之前，客户端需要通过某种方法将公钥 Ac 登录到服务器上。

认证过程分为两个步骤。

会话密钥(session key)生成
客户端请求连接服务器，服务器将 As 发送给客户端。
服务器生成会话ID(session id)，设为 p，发送给客户端。
客户端生成会话密钥(session key)，设为 q，并计算 r = p xor q。
客户端将 r 用 As 进行加密，结果发送给服务器。
服务器用 Bs 进行解密，获得 r。
服务器进行 r xor p 的运算，获得 q。
至此服务器和客户端都知道了会话密钥q，以后的传输都将被 q 加密。
认证
服务器生成随机数 x，并用 Ac 加密后生成结果 S(x)，发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x)，q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x)，两者相同则认证成功

G. 公钥证书是什么，有什么用，到期了该怎么办

公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于 X.509v3 证书标准。要了解关于公钥加密的更多信息，请参阅资源：公用密钥结构

H. 公钥证书的证书使用

因为证书通常用来为实现安全的信息交换建立身份并创建信任，所以证书颁发机构 (CA) 可以把证书颁发给人员、设备（例如计算机）和计算机上运行的服务（例如 IPSec）。
某些情况下，计算机必须能够在高度信任涉及交易的其他设备、服务或个人的身份的情况下进行信息交换。某些情况下，人们需要在高度信任涉及交易的其他设备、服务或个人的身份的情况下进行信息交换。运行在计算机上的应用程序和服务也频繁地需要确认它们正在访问的信息来自可信任的信息源。
当两个实体（例如设备、个人、应用程序或服务）试图建立身份和信任时，如果两个实体都信任相同的证书颁发机构，就能够在它们之间实现身份和信任的结合。一旦证书主题已呈现由受信任的 CA 所颁发的证书，那么，通过将证书主题的证书存储在它自己的证书存储区中，并且（如果适用）使用包含在证书中的公钥来加密会话密钥以便所有与证书主题随后进行的通讯都是安全的，试图建立信任的实体就可以继续进行信息交换，。
例如，使用 Internet 进行联机银行业务时，知道您的 Web 浏览器正在与银行的 Web 服务器直接和安全地通讯就是很重要的。在发生安全的交易之前，您的 Web 浏览器必须能够签定 Web 服务器的身份。就是说，进行交易之前，Web 服务器必须能够向您的 Web 浏览器证明它的身份。Microsoft Internet Explorer 使用安全套接字层 (SSL) 来加密消息并在 Internet 上安全地传输它们，而大多数其他新式 Web 浏览器和 Web 服务器也使用该技术。
当您使用启用 SSL 的浏览器连接到联机银行的 Web 服务器时，如果该服务器拥有证书颁发机构（例如 Verisign）颁发的服务器证书，那么将发生如下事件：
您使用 Web 浏览器访问银行的安全联机银行登录网页。如果使用的是 Internet Explorer，一个锁形图标将出现在浏览器状态栏的右下角，以表示浏览器连接到的是安全 Web 站点。其他浏览器以其他方式表示安全连接。
银行的 Web 服务器将服务器证书自动地发送到您的 Web 浏览器。
为了验证 Web 服务器的身份，您的 Web 浏览器将检查您计算机中的证书存储区。如果向银行颁发证书的证书颁发机构是可信任的，则交易可以继续，并且将把银行证书存储在您的证书存储区中。
要加密与银行 Web 服务器的所有通讯，您的 Web 浏览器可创建唯一的会话密钥。您的 Web 浏览器用银行 Web 服务器证书来加密该会话密钥，以便只有银行 Web 服务器可以读取您的浏览器所发送的消息。（这些消息中的一部分将包含您的登录名和密码以及其他敏感信息，所以该等级的安全性是必需的。）
建立安全会话，并且在您的 Web 浏览器和银行的 Web 服务器之间以安全方式发送敏感信息。
详细信息，请参阅证书安全性
当您将软件代码从 Internet 下载、从公司 intranet 上安装、或者购买光盘并安装在计算机上时，还可以用证书来确认在这些软件代码的真实性。无签名软件（没有有效的软件发布商证书的软件）可以威胁到计算机和存储在计算机上的信息。
如果用信任的证书颁发机构所颁发的有效证书对软件进行了签名，您就知道软件代码没有被篡改，可以安全安装在计算机上。在软件安装期间，系统会提示您确认是否信任软件制造商（例如，Microsoft Corporation）。您还可以看到其他选项，问您是否始终信任来自特定软件制造商的软件内容。如果您选择信任该制造商的内容，那么他们的证书将存入您的证书存储区，并且它们的其他软件产品就可以在预定义的信任环境下安装到您的计算机。在预定义信任的环境中，您可以安装制造商的软件，而不会被提示是否信任它们，因为您的计算机上的证书已声明您信任该软件的制造商。
与其他证书一样，这些用来确认软件真实性和软件发布商身份的证书可还以用于其他目的。例如，如果把“证书”管理单元设置为按目的查看证书，则“代码签名”文件夹可能包含由 Microsoft Root Authority 颁发给 Microsoft Windows Hardware Compatibility 的证书。这个证书有三个目的：
确保软件来自该软件发布商
保护软件在发布之后不发生改变
提供 Windows 硬件驱动程序确认

I. 公钥证书的证书管理单元

可以使用证书管理单元来管理用户、计算机或服务的证书。
用户和管理员可使用证书管理单元向 Windows 2000 企业证书颁发机构申请新证书。另外，用户还可以从证书存储区查找、查看、导入和导出证书。但是在大多数情况下，用户不必亲自管理他们的证书和证书存储区。而是通过管理员、策略设置以及使用证书的程序来完成。
管理员是“证书”管理单元的主要用户，同样，他们能够在其个人证书存储区，以及那些他们有权管理的计算机或服务的证书存储区中，执行多种证书管理任务。

J. 关于工行U盾下载证书公钥错误的问题 请帮解决 快崩溃了

工行的U盾兼容ie6.0 、7.0、8.0.系统版本Windows XP SP3,你只要重装这两样就行了，然后接下来在网上搜索一个（工行网银助手）来安装客户端程序和U盾驱动，有了工行网银助手你就不愁了，它是自动检查安装环境，自动安装，自动优化IE设置和电脑环境，连安装光盘都不用了。我也是自己摸索搞了3天才好了。你不能用的原因主要是IE的设置不对，在重装浏览器是让他自行安装，别修改它的设置，让它自动安装就行了。