签名证书生成

A. 数字证书中的数字签名如何生成

由CA机构颁发，比如天威诚信，需要提交企业证书或者个人证书申请表及协议书，经过CA签证后，再发放证书。安装到密钥内。

B. 如何使用ca证书 实现 电子签名

《电子签名法》第13、14条规定：电子签名同时符合下列条件的，视为可靠的电子签名：

从技术上来讲，可以通过三种方式确保签署时数字证书由电子签名人控制：

其一是通过电子签名人设置签名密码;

其二是系统下发验证码到电子签名人提供的手机或邮箱，或提供验证码生成器给电子签名人，通过电子签名人回填验证码的方式确保数字证书由电子签名人控制;

其三是通过EID调用数字证书。EID是派生于居民身份证、在网上远程证实身份的证件，即“电子身份证”。在技术上。EID也是采用PKI(Public Key
Infrastructure，公钥基础设施)的密钥对技术，由智能芯片生成私钥，再由公安部门统一签发证书、并经现场身份审核后，再发放给公民。EID
采用了PKI、硬证书加PIN码的技术，通过这些技术可以有效防止在网络上身份信息被截取、篡改和伪造。而且由于EID具有PIN码，别人捡到或盗取后也
无法使用。EID本身采用先进密码技术，重要信息在key中物理上就无法被读取，因此无法被破解，从而有效避免被他人冒用。

如果采用了“数字签名”技术，一般可认定为可靠的电子签名。

数字签名并非是书面签名的数字图像化，而是通过密码技术对电子文档进行电子形式的签名。实际上人们可以否认曾对一个文件签过名，且笔迹鉴定的准确率并非
100%，但却难以否认一个数字签名。因为数字签名的生成需要使用私有密钥，其对应的公开密钥则用以验证签名，再加上目前已有一些方案，如数字证书，就是把一个实体(法律主体)的身份同一个私有密钥和公开密钥对绑定在一起，使得这个主体很难否认数字签名。

就其实质而言，数字签名是接收方能够向第三方证明接收到的消息及发送源的真实性而采取的一种安全措施，其使用可以保证发送方不能否认和伪造信息。

数字签名的主要方式是：报文的发送方从报文文本中生成一个散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密和验证。如果两个散列值(也称哈希值)相同，那么接收方就能确认该数字签名是发送方的。哈希值有固定的长度，运算不可逆，不同明文的哈希值不同，而同样明文的哈希值是相同并唯一的，原文的任何改动其哈希值就会发生变化，通过此原理可以识别文件是否被篡改。

事实上，被篡改的经过数字签名的数据电文很容易被发觉，甚至该文件在外观上即可识别、无需鉴定，除非被告能够提交不同内容且未发现篡改的经过数字签名的数据电文。

C. 如何创建一个自签名的SSL证书

自签名证书只适合内部使用或测试需要，网站使用自签名SSL证书存在极大的风险：

一：自签SSL证书最容易被假冒和伪造，被欺诈网站利用

自签SSL证书是可以随意签发的，不受任何监管，您可以自己签发，别人也可以自己签发。如果您的网站使用自签SSL证书，那黑客也可以伪造一张一模一样的自签证书，用在钓鱼网站上，伪造出有一样证书的假冒网银网站！

二：部署自签SSL证书的网站，浏览器会持续弹出警告

自签SSL证书是不受浏览器信任的，用户访问部署了自签SSL证书的网站时，浏览器会持续弹出安全警告，极大影响用户体验。

三：自签SSL证书最容易受到SSL中间人攻击

用户访问部署了自签SSL证书的网站，遇到浏览器警告提示时，网站通常会告知用户点击“继续浏览”，用户逐渐养成了忽略浏览器警告提示的习惯，这就给了中间人攻击可乘之机，使网站更容易受到中间人攻击。

典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并做一个假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。当网站被假的SSL证书替换时，浏览器会警告用户此证书不受信任，需要用户确认是否信任此证书，用户习惯性点击“继续浏览”，中间人攻击轻而易举的实现了。

四：自签SSL证书没有可访问的吊销列表

这也是所有自签SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟就搞定，但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等，证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态，一旦证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。此外，浏览器还会发出“吊销列表不可用，是否继续？”的安全警告，大大延长浏览器的处理时间，影响网页的流量速度。

D. 如何生成SSL证书和key

可以找专业的抄SSL证书服务商来生成SSL证书和key，具体步骤如下：
第一步：将CSR提交到证书服务商
CSR(Certificate Signing Request)文件必须由用户自己生成，也可以利用在线CSR生成工具。选择要申请的产品，提交一个新的订单，并将制作好的CSR文件提交。
第二步 资料提交到CA
当收到您的订单和CSR后，如果是域名验证型证书(DV SSL证书)，在域名验证之后10分钟左右就可颁发证书，若是其他类型证书则是需要通过CA机构进行验证之后才可颁发。
第三步 发送验证邮件到管理员邮箱
权威CA机构获得资料后，将发送一封确认信到管理员邮箱，信中将包含一个 对应的链接过去。每一个订单，都有一个唯一的PIN以做验证用。
第四步 邮件验证
点击确认信中的链接，可以访问到CA机构验证网站，在验证网站，可以看到该订单的申请资料，然后点击”I Approve”完成邮件验证。
第五步 颁发证书
在用户完成邮件验证之后，CA机构会将证书通过邮件方式发送到申请人自己的邮箱，当用户收到证书后直接安装就可以了。若安装存在问题，安信证书是提供免费证书安装服务的。

E. 数字签名程序生成的是什么举例说明！

数字签名程序生成的是什么？举例说明！
：需要包含的包
import java.security.*;
import java.io.*;
import java.util.*;
import java.security.*;
import java.security.cert.*;
import sun.security.x509.*
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;

二：从文件中读取证书
用keytool将.keystore中的证书写入文件中，然后从该文件中读取证书信息
CertificateFactory cf=CertificateFactory.getInstance("X.509");
FileInputStream in=new FileInputStream("out.csr");
Certificate c=cf.generateCertificate(in);

String s=c.toString();
三：从密钥库中直接读取证书
String pass="123456";
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,pass.toCharArray());
java.security.cert.Certificate c=ks.getCertificate(alias);//alias为条目的别名

四：JAVA程序中显示证书指定信息
System.out.println("输出证书信息:\n"+c.toString());
System.out.println("版本号:"+t.getVersion());
System.out.println("序列号:"+t.getSerialNumber().toString(16));
System.out.println("主体名："+t.getSubjectDN());
System.out.println("签发者："+t.getIssuerDN());
System.out.println("有效期："+t.getNotBefore());
System.out.println("签名算法："+t.getSigAlgName());
byte [] sig=t.getSignature();//签名值
PublicKey pk=t.getPublicKey();
byte [] pkenc=pk.getEncoded();
System.out.println("公钥");
for(int i=0;ipkenc.length;i++)System.out.print(pkenc[i]+",");

五：JAVA程序列出密钥库所有条目
String pass="123456";
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInst......

泸唨尤孚咢懎掺彇塂搑垟枛环抰哒

F. 如何制作和应用数字签名证书

需要准备的工具：makecert.exe、cert2spc.exe、pvk2pfx.exe、signtool.exe。
在MS的SDK6.0中有个证书生成工具makecert.exe， 你可以使用这个工具来生成测试用的证书。
第一步，生成一个自签名的根证书（issuer，签发者）。
>makecert -n "CN=Root" -r -sv RootIssuer.pvk RootIssuer.cer
这个时候，会弹出提示框，首先给RootIssuer.pvk文件设置私钥保护口令；

然后，再次输入这个口令用私钥(在RootIssuer.pvk文件中）来给公钥（在RootIssuer.cer文件中）加密。

第二步，使用这个证书签发一个子证书（使用者，subject）。
>makecert -n "CN=Child" -iv RootIssuer.pvk -ic RootIssuer.cer -sv ChildSubject.pvk ChildSubject.cer
此时，会弹出提示框先给这个子证书的私钥文件ChildSubject.pvk设置保护口令；

然后，输入这个子证书的私钥(在ChildSubject.pvk中)口令来保护子证书的公钥(在ChildSubject.cer中)。

接下来会提示输入根证书私钥(在RootIssuer.pvk中)口令来签发整个子证书(公钥和用户信息)。

如果你还要签发更多的子证书，类似的，使用这个证书来签发再下层的证书，前提是ChildSubject证书也可以用于签发(作为Issuer)用途。
备注：
(1)如果你需要一个交互证书，用于安全通信，那么，加入选项 -sky exchange；
(2)如果你需要一个签名证书来签发证书或者二进制文件，那么，加入选项 -sky signature.
(3)如果你需要一个客户端证书来标志你的身份，或者个人信息保护（电子邮件），那么，选项-n 中的E字段是不可缺少的。
举例：-n "CN=公司名称, E=E-MAIL地址, O=组织名称, OU=组织单位, C=国家, S=省份(州), P=县城"
其他辅助工具:
1) 公钥证书格式转换成SPC。 cert2spc.exe
>cert2spc TestRoot.cer TestRoot.spc
.spc 意思是 软件发布者证书（Software Pulisher Cerificate）.
2) 将公钥证书和私钥合并成一个PFX格式的证书文件。pvk2pfx.exe
>pvk2pfx -pvk TestRoot.pvk -spc TestRoot.spc -pfx TestRoot.pfx
输入TestRoot.pvk的保护口令来合并.pvk和.spc文件，如果你不设置即将合并出来的TestRoot.pfx的保护口令的话，这个保护口令和输入文件TestRoot.pvk的保护口令一样。(备注：直接从cer文件也可以，不一定要得到SPC文件).
3) 签名工具。signtool.exe
二进制文件数字签名.为了保证二进制文件的完整性，数字签名是一个好的方法。
以下命令启动一个有图形界面的文件签名工具向导:
>signtool wizard
以下是命令行方式的签名:
>signtool sign /f "pfx文件的全路径" /p "pfx文件的保护口令" /t "http://timestamp.verisign.com/scripts/timstamp.dll" /d "本次签名的描述" "被签名的程序的全路径"

G. 个人签名数字证书制作

你可以去http://qianming.ouku.com/ 直接在线免费申请 输入串号 机型

一般12小时之内就生成证书的 速度很快 而且不回用像塞班那答样固定时间 24小时接受申请的

而且还提供在线软件签名功能的 不用自己下什么签名工具

把你要签名的软件上传下 自动就可以下载签好的软件了

H. 如何生成Android的签名证书

cmd命令生成android签名证书，有空在写一篇eclipse导出带签名的，这里面包括生成新的签名。现在还是讲讲在cmd怎么操作生成签名证书。
1、dos下进入JDK的bin目录
运行如下命令：keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore
(-validity 20000代表有效期天数)，命令完成后，bin目录中会生成android.keystore
示例：
C:\Program Files (x86)\Java\jdk1.8.0_25\bin>
keytool -genkey -alias test.keystore -keyalg RSA -validity 20000 -keystore d:\test.keystore
ps：-alias test 生成的keystore别名，-keyalg RSA 加密和数字签名的算法，-validity 20000 有效天数

输入密钥库口令:123456
再次输入新口令:123456
您的名字与姓氏是什么?
[Unknown]: rob
您的组织单位名称是什么?
[Unknown]: abc
您的组织名称是什么?
[Unknown]: abc
您所在的城市或区域名称是什么?
[Unknown]: guangzhou
您所在的省/市/自治区名称是什么?
[Unknown]: guangzhou
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=rob, OU=abc, O=abc, L=guangzhou, ST=guangzhou, C=cn是否正确?
[否]: y
输入 <test> 的密钥口令
(如果和密钥库口令相同, 按回车):
如果没有错误则回去查看D盘根目录下，多了test.keystore

所以第一次输入的是，密钥库的密码。
最后输入时密钥别名的密码。到这里生成签名就搞定啦。
2、查看md5指纹验证
输入keytool -list -v -alias androiddebugkey -keystore 再加上刚刚从红色框中复制出来的内容
我这里的就是keytool -list -v -alias androiddebugkey -keystore C:\Users\ZLQ\.android\debug.keystore了，回车
-alias androiddebugkey 这个是别名
-keystore C:\Users\ZLQ\.android\debug.keystore 具体位置的密钥库
要求输入密码，密码是android,至此就可以拿到MD5认证指纹了

I. 数字证书有哪些主要字段并简述证书的签名生成过程。

用户首先产生来自己的密源钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。