证书加密原理

1. 数字证书的工作原理

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按当下计算机技术水平，要破解1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：
保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。
保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

2. ssl证书的工作原理

SSL证书的工作原理:

客户端向服务器请求HTTPS连接

客户端向服务器传送客户端SSL协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

服务器确认并返回证书

服务器向客户端传送SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

客户端验证服务器发来的证书

客户端利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开;如果验证通过，将继续进行。

信息验证通过，客户端生成随机密钥A，用公钥加密后发给服务器

从第③步验证过的证书里面可以拿到服务器的公钥，客户端生成的随机密钥就使用这个公钥来加密，加密之后，只有拥有该服务器(持有私钥)才能解密出来，保证安全。

服务器用私钥解密出随机密钥A，以后通信就用这个随机密钥A来对通信进行加密

这个握手过程并没有将验证客户端身份的逻辑加进去。因为在大多数的情况下，HTTPS只是验证服务器的身份而已。如果要验证客户端的身份，需要客户端拥有证书，在握手时发送证书，而这个证书是需要成本的。

3. 证书加密系统的概念，原理

你的数据出去的时候都有加密而且按照证书加密的算法
然后到服务器之后也按照相同的规则进行解密
这个时候你的数据如果在途被人偷也没有关系
他得到的数据都是被加密过的
而且他通常不知道加密这个文件的算法是如何的
故无法解密
但是你的数据到服务器被解密之后数据又变成了和你输入的内容相同.

4. SSL证书的认证原理

安全套接字层(SSL) 技术通过加密信息和提供鉴权，保护您的网站安全。一份 SSL 证书包括一个公内共密钥和一个私用容密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。
SSL的工作原理中包含如下三个协议。
握手协议（Handshake protocol）
记录协议（Record protocol）
警报协议（Alert protocol） 记录协议在客户机和服务器握手成功后使用，即客户机和服务器鉴别对方和确定安全信息交换使用的算法后，进入SSL记录协议，记录协议向SSL连接提供两个服务：
（1）保密性：使用握手协议定义的秘密密钥实现
（2）完整性：握手协议定义了MAC，用于保证消息完整性 客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共2个字节，第1个字节表示错误类型，如果是警报，则值为1，如果是致命错误，则值为2；第2个字节制定实际错误类型。

5. SSL工作原理，SSL加密原理，SSL证书怎么加密

SSL是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。

在客户端与服务器间专传输的数据是通过使用对属称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

6. 请问SSL证书的原理是什么，谁能介绍下

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安 SSL证书全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。SSL证书安全认证的原理

安全套接字层 (SSL) 技术通过加密信息和提供鉴权，保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

7. ssl证书的加密算法

非对称加密算法：RSA，DSA/DSS

对称加密算法：AES，RC4，3DES

HASH算法：MD5，SHA1，SHA256

8. PDF证书的运作原理是什么

目前，PDF 文档的使用愈来愈广泛，已成为重要的文档转换格式之一。而通过互联网发布的 PDF 文档亦有风雨欲来之势，但随之而来的安全问题也渐已浮出水面。那么如何防止网络传输中的 PDF 文档内容被未授权的人所窥视呢？

PDF证书可以解决这一问题。使用 PDF证书可以进行身份签名或确认签名，签名后的文档可以向用户证实 PDF 文档签署人的真实身份，签署人的真实身份是通过权威的第三方进行审核并确认，这样便保护了 PDF 文档在传输的过程中没有被非法篡改，从而使得签名后的 PDF 文档可以安全可靠的用于企业之间电子文档交换和电子合同签署。

关于数字签名
“数字签名”类似于传统的手写签名，表示某人已在文档上签名。文档作者可以通过添加验证签名，证明他们文档的内容。数字签名要验证作者的身份还包含一些个人信息。与手写签名不同，数字签名难以伪造是因为其包含作者唯一的加密信息并容易验证。

使用数字证书签名 PDF 文档
若要签名文档，作者必须要获得数字证书。数字证书就像身份证、驾照或护照一样，它为与作者进行电子联络的人或机构提供身份验证。数字证书中通常包含作者的姓名和电子邮件地址、颁发数字证书公司的名称、序列号和有效期。数字证书包括两类钥匙：公钥（加密或验证签名）和私钥（解密或签名）。当签名 PDF 文档时，作者使用私钥应用数字签名。作者可以分发包含公钥和其它识别信息的“证书”给需要验证作者的签名、身份或为作者加密信息的人。仅作者的私钥可以解除锁定使用作者的证书加密的信息，因此请确保在安全的地方存储数字证书。作者需要数字证书才能签名、验证和应用证书加密至 PDF 文档。可以从第三方签名提供商（比如 GlobalSign）获取数字证书，也可以创建自签名数字证书。在大多数商业交易中要证明作者的身份，可能需要来自信任的第三方提供商（称为“证书颁发机构”，比如 GlobalSign）的数字证书。因为证书颁发机构有责任为其他人验证作者的身份，请选择被大多数在因特网上进行经营的公司所信任的一家机构。作者可以有多个用于不同目的的数字证书，例如，作者需要用不同的角色或验证方法签名文档。数字证书通常受口令保护并以 PKCS#12 文件格式储存在计算机上、智能卡上、硬件令牌设备上、在 Windows 证书存储区中或在签名服务器上（用于漫游证书）。

GlobalSign PDF证书的特点与优势

• 启用 PDF 安全 - 保证重要文档的真实性、完整性和有效性，包括文件的完整性、著作权以及时间戳。
• 无须安装插件或软件 - 被 Adobe Acrobat 和 Adobe Reader 默认所信任，不需要安装任何插件或第三方软件。
• 基于网络或服务器应用 - 基于网络和服务器的文档身份签名和确认签名解决方案符合所有企业的需求。
• RFC 361 标准 - 符合 RFC 361 标准的权威可依赖且不可抵赖的时间戳服务。
• 签名认证 - 使用 PDF证书可以进行：证实签名，证实签名人的真实身份。
• 审批签字 - 使用 PDF证书可以进行：确认签名，工作流程电子文档或电子合同的签署。
• 支持多语言版本 - 支持多国语言版本，通行全球。
• WebTrust 专业认证 - 通过 WebTrust 认证的 CA 证书核发公司 GlobalSign 的全方位数字证书技术支持。

GlobalSign 目前提供两种类型的 PDF证书，分别为 Adobe PDF 个人文档签名证书和 Adobe PDF 企业部门文档签名证书。

Adobe PDF 个人文档签名证书为企业员工个人设计的基于应用系统 PDF 文档证实签名和确认签名的解决方案，作者可以使用 Adobe Acrobat 软件和存放在 SafeNet FIPS 140-1 第二级 USB Key 中的数字证书对 PDF 文档进行签名。

Adobe PDF 企业部门文档签名证书为企业部门设计的基于应用系统 PDF 文档证实签名和确认签名的解决方案，作者可以使用 Adobe Acrobat 软件和存放在 SafeNet FIPS 140-1 第二级 USB Key 中的数字证书对 PDF 文档进行签名。

此外 GlobalSign 数字证书服务提供了包含：域名型 SSL 证书 (DVSSL) 、 企业型 SSL 证书 (OVSSL) 、 增强型 SSL 证书 (EVSSL) 、通配符 SSL 证书 、 SANs SSL 证书等服务。

9. 数字证书的工作原理是什么

数字证书认证中心（Certficate Authority,CA）就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。
数字安全证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：
(1) 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；
(2) 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

10. 数字证书(SSL)的工作原理

SSL工作原理
2007-03-08 22:15
SSL 是一个安全协议，它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议 （HTTP）使用 SSL 来实现安全的通信。
在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。
SSL 握手
SSL 连接总是由客户端启动的。在SSL 会话开始时执行 SSL 握手。此握手产生会话的密码参数。关于如何处理 SSL 握手的简单概述，如下图所示。此示例假设已在 Web 浏览器 和 Web 服务器间建立了 SSL 连接。
图 SSL的客户端与服务器端的认证握手

(1) 客户端发送列出客户端密码能力的客户端“您好”消息（以客户端首选项顺序排序），如 SSL 的版本、客户端支持的密码对和客户端支持的数据压缩方法。消息也包含 28 字节的随机数。
(2) 服务器以服务器“您好”消息响应，此消息包含密码方法（密码对）和由服务器选择的数据压缩方法，以及会话标识和另一个随机数。
注意:客户端和服务器至少必须支持一个公共密码对，否则握手失败。服务器一般选择最大的公共密码对。
(3) 服务器发送其SSL数字证书。（服务器使用带有 SSL 的 X.509 V3 数字证书。）
如果服务器使用 SSL V3，而服务器应用程序（如 Web 服务器）需要数字证书进行客户端认证，则客户端会发出“数字证书请求”消息。在 “数字证书请求”消息中，服务器发出支持的客户端数字证书类型的列表和可接受的CA的名称。
(4) 服务器发出服务器“您好完成”消息并等待客户端响应。
(5) 一接到服务器“您好完成”消息，客户端（ Web 浏览器）将验证服务器的SSL数字证书的有效性并检查服务器的“你好”消息参数是否可以接受。
如果服务器请求客户端数字证书，客户端将发送其数字证书；或者，如果没有合适的数字证书是可用的，客户端将发送“没有数字证书”警告。此警告仅仅是警告而已，但如果客户端数字证书认证是强制性的话，服务器应用程序将会使会话失败。
(6) 客户端发送“客户端密钥交换”消息。此消息包含 pre-master secret （一个用在对称加密密钥生成中的 46 字节的随机数字），和 消息认证代码 （ MAC ）密钥（用服务器的公用密钥加密的）。
如果客户端发送客户端数字证书给服务器，客户端将发出签有客户端的专用密钥的“数字证书验证”消息。通过验证此消息的签名，服务器可以显示验证客户端数字证书的所有权。
注意: 如果服务器没有属于数字证书的专用密钥，它将无法解密 pre-master 密码，也无法创建对称加密算法的正确密钥，且握手将失败。
(7) 客户端使用一系列加密运算将 pre-master secret 转化为 master secret ，其中将派生出所有用于加密和消息认证的密钥。然后，客户端发出“更改密码规范” 消息将服务器转换为新协商的密码对。客户端发出的下一个消息（“未完成”的消息）为用此密码方法和密钥加密的第一条消息。
(8) 服务器以自己的“更改密码规范”和“已完成”消息响应。
(9) SSL 握手结束，且可以发送加密的应用程序数据。

天威诚信CA数字认证中心