多公钥证书

『壹』 公钥证书的在组织中的证书使用

很多组织安装有自己的证书颁发机构，并将证书颁发给内部的设备、服务和雇员，以创建更安全的计算环境。大型组织可能有多个证书颁发机构，它们被设置在指向某个根证书颁发机构的分层结构中。这样，雇员的证书存储区中就可能有多个由各种内部证书颁发机构所颁发的证书，而所有这些证书颁发机构均通过到根证书颁发机构的证书路径共享一个信任连接。
当雇员利用虚拟专用网络 (VPN) 从家里登录到组织的网络时，VPN 服务器可以提供服务器证书以建立起自己的身份。因为公司的根颁发机构被信任，而公司根证书颁发机构颁发了 VPN 服务器的证书，所以，客户端计算机可以使用该连接，并且雇员知道其计算机实际上连接到组织的 VPN 服务器。
在数据可以经过 VPN 连接进行交换之前，VPN 服务器还必须能够验证 VPN 客户端的身份。或者通过交换计算机证书发生计算机级别的身份验证，或者通过使用点对点协议 (PPP) 身份验证方法，发生用户级别的身份验证。对于 L2TP（第二层隧道协议）/IPSec 连接，客户端和服务器双方均需要计算机证书。
客户端计算机证书可以服务于多个目的，这些目的大多数是基于身份验证的，这就允许客户端使用很多组织的资源，而不需要为每个资源分别准备证书。例如，客户端证书可能允许 VPN 连接，还允许访问公司存储 intranet 网站、产品服务器以及存储雇员数据的人力资源数据库。
VPN 服务器证书还可能服务于多个目的。相同的证书可能各种目的：确认电子邮件服务器、Web服务器或者应用程序服务器的身份。颁发证书的证书颁发机构决定每个证书的用途数目。

『贰』 公钥证书的介绍

公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于 X.509v3 证书标准。要了解关于公钥加密的更多信息，请参阅资源：公用密钥结构。

『叁』 什么是公钥证书

所谓的公钥认证，实际上是使用一对加密字符串，一个称为公钥(public key)，任何人都可以看到其内容，用于加密；另一个称为密钥(private key)，只有拥有者才能看到，用于解密。通过公钥加密过的密文使用密钥可以轻松解密，但根据公钥来猜测密钥却十分困难。

ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便，以下将使用这些符号。

Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥

在认证之前，客户端需要通过某种方法将公钥 Ac 登录到服务器上。

认证过程分为两个步骤。

会话密钥(session key)生成
客户端请求连接服务器，服务器将 As 发送给客户端。
服务器生成会话ID(session id)，设为 p，发送给客户端。
客户端生成会话密钥(session key)，设为 q，并计算 r = p xor q。
客户端将 r 用 As 进行加密，结果发送给服务器。
服务器用 Bs 进行解密，获得 r。
服务器进行 r xor p 的运算，获得 q。
至此服务器和客户端都知道了会话密钥q，以后的传输都将被 q 加密。
认证
服务器生成随机数 x，并用 Ac 加密后生成结果 S(x)，发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x)，q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x)，两者相同则认证成功

『肆』 如何：导出和导入公钥证书

此过程说明如何轻松设置加密示例。方法是从“我的证书”存储中导出公钥证书，而不导出私钥，然后将该公钥证书导入“通讯簿”证书存储。要设置以下示例，请先按照该示例主题中的设置说明操作。这些说明建议使用此主题中的步骤将一个或多个生成的公钥证书放入“通讯簿”证书存储。 如何：为一个收件人封装邮件 如何：为多个收件人封装邮件 如何：签名和封装邮件要在一台计算机上运行上面的示例，需要满足下列条件：“通讯簿”证书存储和“我的证书”存储中均包含邮件收件人的密钥证书该计算机上有邮件收件人的私钥且与“我的证书”存储中的公钥证书关联示例先充当加密邮件的发件人，然后充当同一个加密邮件的收件人。通常，这两个角色是由不同计算机上具有唯一公钥凭据的不同实体充当。在充当加密邮件的发件人时，示例要求“通讯簿”证书存储中包含收件人的证书。在充当加密邮件的收件人时，示例要求“我的证书”存储中包含收件人的证书，并且该计算机上包含相应的私钥。使用Makecert.exe 实用程序设置此示例，可以通过多种方法实现此目的。 Certificate Creation Tool (Makecert.exe) 是用于生成测试证书的一种很方便的实用程序。在生产环境中，证书由证书颁发机构生成。以下Makecert 命令生成所需的公钥证书以及证书使用者名称为“Recipient1”的实体的私钥。证书将放入“我的证书”存储。Makecert -n "CN=Recipient1" -ss My 以下过程说明如何设置证书存储来满足这些要求。首先，生成收件人的证书和私钥，并将证书存储在“我的证书”存储中。然后将证书从“我的证书”存储中导出，再导入“通讯簿”存储。从“我的证书”存储中导出公钥证书打开Internet Explorer。在“工具”菜单上，单击“Internet 选项”，然后单击“内容”选项卡。单击“证书”按钮。在“个人”选项卡中，选择“颁发给”下列出“Recipient1”的证书。（“个人”选项卡列出“我的证书”存储中的证书。）单击“导出”。（此时会打开导出向导。）单击“下一步”。 单击“否，不要导出私钥”，然后单击“下一步”。单击“下一步”接受默认导出格式。键入要导出的证书的文件名或浏览至该文件名，单击“下一步”，然后单击“完成”。将证书导入“通讯簿”证书存储在“证书”对话框中，单击“其他人”选项卡。（“其他人”选项卡列出“通讯簿”证书存储中的证书。）单击“导入”，然后单击“下一步”。键入要存储导出证书的文件名的位置或浏览至该位置，然后单击“下一步”。单击“下一步”接受将导入的证书放入“其他人”证书存储。单击“完成”，然后单击“确定”。

『伍』 SSL中，公钥，私钥，证书的后缀名都是些啥

SSL证书后缀
CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
KEY– 通常用来存放一个RSA 公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
CRT– CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。本站提供的CRT格式等同于CER,等同于PEM。
PEM – Privacy Enhanced Mail的缩写，以文本的方式进行存储。打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是编码. 查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.
CER– 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
DER – Distinguished Encoding Rules的缩写，以二进制方式进行存储，文件结构无法直接预览，查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows服务器偏向于使用这种编码格式.
PFX/P12 – predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会,PFX通常会有一个”提取密码”,你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码？
JKS – 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫”keytool”的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS。

『陆』 公钥证书的证书和应用程序

大多数电子邮件客户端允许您自动地签名或加密电子邮件，或者分别地加密或签名邮件。允许数字签名或加密电子邮件消息的 Microsoft 应用程序是 Microsoft Outlook 2000、Microsoft Outlook Express 和 Microsoft Outlook 98。
许多 Windows 应用程序都使用证书。下面是一些关于 Microsoft Internet 信息服务器 (IIS) 5.1、Microsoft Outlook 2000、Microsoft Outlook Express、Microsoft Outlook 98 和 Microsoft Internet Explorer 如何利用证书的链接和相关信息。
Internet 信息服务 5.1 证书信息
IIS 证书存储现在与 CryptoAPI 存储集成在一起。证书管理单元提供了可让管理员存储、备份和配置服务器证书的单一入口点。
IIS 当前带有三个新的安全任务向导，这些向导可以简化多数可维护网站安全的安全任务。您可以使用 Web 服务器证书向导管理 IIS 和服务器证书中的安全套接字层 (SSL) 功能。证书的用途在于为服务器和用户浏览器之间建立起安全连接。您可以使用 CTL 向导管理证书信任列表 (CTLs)。证书信任列表列出了每个网站或虚拟目录的受信任的证书颁发机构。您也可以使用 IIS 权限向导将 Web 和 NTFS 访问权限分配到服务器上的网站、虚拟目录和文件。

『柒』 公钥证书的证书

可以为各种功能颁发证书，例如 Web 用户身份验证、Web 服务器身份验证、安全电子邮件（安全/多用途 Internet 邮件扩展 (S/MIME)）、Internet 协议安全 (IPSec)、传输层安全 (TLS)以及和代码签名。证书还可以从一个证书颁发机构(CA) 颁发给另一个证书颁发机构，以便创建证书层次结构。
接收证书的实体是证书的“主题”。证书的颁发者和签名者是证书颁发机构。
通常，证书包含以下信息：
主体的公钥值
主体标识符信息（如名称和电子邮件地址）
有效期（证书的有效时间）
颁发者标识符信息
颁发者的数字签名，用来证实主题的公钥和主题的标识符信息之间绑定关系的有效性
证书只有在指定的期限内才有效；每个证书都包含有效期的起止日期，它们是有效期的界限。一旦到了证书的有效期，到期证书的主题就必须申请一个新的证书。
某些情况下有必要撤消证书中所声明的绑定关系，这时，可以由颁发者吊销该证书。每个颁发者维护一个证书吊销列表，程序可以使用该列表检查任意给定证书的有效性。
证书的主要好处之一是主机不必再为单个主题维护一套密码，这些单个主题进行访问的先决条件的是需要通过身份验证。相反，主机只需在证书颁发者中建立信任。
当主机（如安全 Web 服务器）指派某个颁发者为受信任的根颁发机构时，主机实际上是信任该颁发者过去常用来建立所颁发证书的绑定关系的策略。事实上，主机信任颁发者已经验证了证书主体的身份。主机通过将包含颁发者公钥的颁发者自签名证书放到主机的受信任根证书颁发机构的证书存储区，将该颁发者指定为受信任的根颁发机构。中间的或从属的证书颁发机构受到信任的条件是，他们拥有受信任根证书颁发机构的有效证书路径。
有关证书的详细信息，请参阅理解证书。

『捌』 公钥证书的证书使用

因为证书通常用来为实现安全的信息交换建立身份并创建信任，所以证书颁发机构 (CA) 可以把证书颁发给人员、设备（例如计算机）和计算机上运行的服务（例如 IPSec）。
某些情况下，计算机必须能够在高度信任涉及交易的其他设备、服务或个人的身份的情况下进行信息交换。某些情况下，人们需要在高度信任涉及交易的其他设备、服务或个人的身份的情况下进行信息交换。运行在计算机上的应用程序和服务也频繁地需要确认它们正在访问的信息来自可信任的信息源。
当两个实体（例如设备、个人、应用程序或服务）试图建立身份和信任时，如果两个实体都信任相同的证书颁发机构，就能够在它们之间实现身份和信任的结合。一旦证书主题已呈现由受信任的 CA 所颁发的证书，那么，通过将证书主题的证书存储在它自己的证书存储区中，并且（如果适用）使用包含在证书中的公钥来加密会话密钥以便所有与证书主题随后进行的通讯都是安全的，试图建立信任的实体就可以继续进行信息交换，。
例如，使用 Internet 进行联机银行业务时，知道您的 Web 浏览器正在与银行的 Web 服务器直接和安全地通讯就是很重要的。在发生安全的交易之前，您的 Web 浏览器必须能够签定 Web 服务器的身份。就是说，进行交易之前，Web 服务器必须能够向您的 Web 浏览器证明它的身份。Microsoft Internet Explorer 使用安全套接字层 (SSL) 来加密消息并在 Internet 上安全地传输它们，而大多数其他新式 Web 浏览器和 Web 服务器也使用该技术。
当您使用启用 SSL 的浏览器连接到联机银行的 Web 服务器时，如果该服务器拥有证书颁发机构（例如 Verisign）颁发的服务器证书，那么将发生如下事件：
您使用 Web 浏览器访问银行的安全联机银行登录网页。如果使用的是 Internet Explorer，一个锁形图标将出现在浏览器状态栏的右下角，以表示浏览器连接到的是安全 Web 站点。其他浏览器以其他方式表示安全连接。
银行的 Web 服务器将服务器证书自动地发送到您的 Web 浏览器。
为了验证 Web 服务器的身份，您的 Web 浏览器将检查您计算机中的证书存储区。如果向银行颁发证书的证书颁发机构是可信任的，则交易可以继续，并且将把银行证书存储在您的证书存储区中。
要加密与银行 Web 服务器的所有通讯，您的 Web 浏览器可创建唯一的会话密钥。您的 Web 浏览器用银行 Web 服务器证书来加密该会话密钥，以便只有银行 Web 服务器可以读取您的浏览器所发送的消息。（这些消息中的一部分将包含您的登录名和密码以及其他敏感信息，所以该等级的安全性是必需的。）
建立安全会话，并且在您的 Web 浏览器和银行的 Web 服务器之间以安全方式发送敏感信息。
详细信息，请参阅证书安全性
当您将软件代码从 Internet 下载、从公司 intranet 上安装、或者购买光盘并安装在计算机上时，还可以用证书来确认在这些软件代码的真实性。无签名软件（没有有效的软件发布商证书的软件）可以威胁到计算机和存储在计算机上的信息。
如果用信任的证书颁发机构所颁发的有效证书对软件进行了签名，您就知道软件代码没有被篡改，可以安全安装在计算机上。在软件安装期间，系统会提示您确认是否信任软件制造商（例如，Microsoft Corporation）。您还可以看到其他选项，问您是否始终信任来自特定软件制造商的软件内容。如果您选择信任该制造商的内容，那么他们的证书将存入您的证书存储区，并且它们的其他软件产品就可以在预定义的信任环境下安装到您的计算机。在预定义信任的环境中，您可以安装制造商的软件，而不会被提示是否信任它们，因为您的计算机上的证书已声明您信任该软件的制造商。
与其他证书一样，这些用来确认软件真实性和软件发布商身份的证书可还以用于其他目的。例如，如果把“证书”管理单元设置为按目的查看证书，则“代码签名”文件夹可能包含由 Microsoft Root Authority 颁发给 Microsoft Windows Hardware Compatibility 的证书。这个证书有三个目的：
确保软件来自该软件发布商
保护软件在发布之后不发生改变
提供 Windows 硬件驱动程序确认

『玖』 ssh 服务端存储有多个公钥如何认证

ssh 服务端存储有多个公钥如何认证
<nav> 标签定义导航链接的部分。
HTML5: <nav></nav>
HTML4:<ul></ul>
<output> 标签定义不同类型的输出，比如脚本的输出。
HTML5: <output></output>
HTML4: <span></span>
<progress> 标签运行中的进程。可以使用 <progress> 标签来显示 JavaScript 中耗费时间的函数的进程。
HTML5: <progress></progress>

『拾』 私钥、公钥、证书的区别和关系

私钥是要求你输入个人密码才可访问的，一般网上银行之类可用到。
公钥不要求设专置密码，是已属经默认了的，一般上一些安全性要求不高的网站或共享资源，如局域网。
证书是一种网站加密浏览方式，只有允许了才可访问，一般为安全性较高的网站，如网上银行；可以访止黑客盗取客户资料。