證書密鑰鏈

A. 什麼是數字證書認證中心給用戶頻發的證書是信任鏈的起始點

B. 手機管理器中的密鑰鏈，有什麼作用

就是danxi手機資料出現，才使用這樣的功能呢，其實穩定軟體是沒有問題的。

正常的進行管理著手機上的各項資料呢。

應用寶或者谷歌軟體上的文件管理進行著資料管理著就好了。

比較穩定的來把資料管理著的呢。

正常的在手機上安裝使用著軟體還是很穩定的呢，就不需要上面那樣的東西很麻煩的了。

設置下就正常的進行著管理呢。

C. 什麼是數字證書的證書鏈

數字證書由頒發該證書的CA簽名。多個證書可以綁定到一個信息或交易上形成證書鏈，證書鏈中每一個證書都由其前面的數字證書進行鑒別。最高級的CA必須是受接受者信任的、獨立的機構。

D. 如何從KeyStore中獲取證書鏈

這個文件的路徑用右劃線，keystoreFile="C:\ProgramFiles\Java\jdk1.6.0_02\jre\lib\security\server.keystore"

E. SSL教程：什麼是SSL證書鏈

證書包含的內來容可以自概述為三部分，用戶的信息、用戶的公鑰、還有CA中心對該證書裡面的信息的簽名。我們在驗證證書的有效性的時候，會逐級去尋找簽發者的證書，直至根證書為結束，然後通過公鑰一級一級驗證數字簽名的正確性。
證書鏈(certificate chain)可以有任意環節的長度：CA證書包括根CA證書、二級CA證書（中間證書）、三級證書.....，以下是對證書鏈的圖解：

F. 老師你好，在ssl證書中，cer是公鑰證書，key是私鑰證書，crt是證書鏈對嗎

一、SSL證書文件

如圖所示，就是一些SSL證書文件。上圖帶有root CA 字樣的證書文件就是根證書， 然後帶intermediate ca 字樣的就是中間證書文件， 最後一個 ssl servercertificate 字樣的證書即為證書文件。

了解認識SSL證書文件，才能更好的去安裝SSL證書。雖然大部分時候直接安裝證書文件，瀏覽器也會顯示安全，但是由於一些瀏覽器會自動補齊證書鏈，但是證書鏈缺失的話，一些手機端或者部分瀏覽器可能會報不安全的提醒，所以在安裝的時候建議安裝完整的證書文件，補齊證書鏈。

二、SSL證書格式

在SSL證書源文件中你會發現有很多格式。不同的web伺服器對於證書的格式是有要求的，接下來也帶大家了解下不同格式的證書文件。

PEM：- Privacy Enhanced Mail,打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是BASE64編碼.上述一般證書文件 ，中間證書和根證書，證書文件很多都是pem格式的。Apache和NIgnix伺服器偏向於使用這種編碼格式.

DER：這種格式也是常見的證書格式，跟pem類似，中間證書和根證書，證書文件很多都是DER的，Java和Windows伺服器偏向於使用這種編碼格式。

JKS ：jks是Java密鑰庫(KeyStore)比較常見的一種格式。一般可用通過cer 或者pem 格式的證書以及私鑰的進行轉化為jks格式，有密碼保護。所以它是帶有私鑰的證書文件，一般用戶tomcat環境的安裝

PFX：pfx格式的證書 也是由cer 或者pem格式的證書文件以及私鑰轉化而來，所以該證書文件也是帶有私鑰的證書文件，一般用於iis 環境的證書安裝。

G. 根證書，中間證書和底層證書怎麼合並一個證書鏈

所謂根證書，是CA認證中心與用戶建立信任關系的基礎，用戶的數字證書必回須有一個受答信任的根證書，用戶的數字證書才是有效的。從技術上講，證書其實包含三部分，用戶的信息，用戶的公鑰，還有CA中心對該證書裡面的信息的簽名，要驗證一份證書的真偽（即驗證CA中心對該證書信息的簽名是否有效），需要用CA中心的公鑰驗證，而CA中心的公鑰存在於對這份證書進行簽名的證書內，故需要該證書，但使用該證書驗證又需先驗證該證書本身的真偽，故又要用簽發該證書的證書來驗證，這樣一來就構成一條證書鏈的關系，這條證書鏈在哪裡終結呢？答案就是根證書，根證書是一份特殊的證書，它的簽發者是它本身，根證書就表明您對該根證書以下所簽發的證書都表示信任，而技術上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結束。所以說用戶在使用自己的數字證書之前必須先根證書。

H. openssl證書生成工具如何生成證書鏈

2. 生成Root CA私鑰與證書： .1 先生成RootCA私鑰--》使用私鑰生成CSR--》生成自簽名根證書。用來給二級CA證書簽名。 3. 生成二級CA 私鑰與證書：（假如有兩個二級CA， 分別負責管理伺服器端和客戶端證書） 3.1 先生成ServerCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給伺服器證書簽名。 3.2 先生成ClientCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給客戶端證書簽名。 4. 生成伺服器端與客戶端的私鑰與證書： 4.1 先生成ServerA私鑰--》使用私鑰生成CSR--》使用ServerCA證書簽名生成三級證書。 4.2 先生成ClientA私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書。 4.3 先生成ClientB私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書 。。。。可以生成N個客戶端證書證書結構：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...| 5. 導出RootCA的根證書、伺服器端和客戶端的私鑰和證書。 導出時都使用pem格式。 RootCA.pem-------根證書（PEM ） ServerA.pem------伺服器端證書（PEM with Certificate chain） ClientA.pem------客戶端證書（PEM with Certificate chain） ClientB.pem------客戶端證書（PEM with Certificate chain） ServerAKey.pem------伺服器端私鑰（PEM ） ClientAKey.pem------客戶端私鑰（PEM ） ClientBKey.pem------客戶端私鑰（PEM ） 6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能導入私鑰，需要利用到weblogic 提供的一個工具，需要把weblogic.jar加到CLASSPATH。 6.1 生成伺服器和客戶端的信任證書庫： keytool -import -alias rootca -file RootCA.pem -keystore trust.jks 6.2 生成伺服器端身份密鑰庫： java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem 6.3 生成客戶端身份密鑰庫： java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客戶端身份密鑰庫 7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的證書鏈關系。

I. SSL中，公鑰，私鑰，證書的後綴名都是些啥

SSL證書後綴
CSR – Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(當然還附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.做過iOS APP的朋友都應該知道是怎麼向蘋果申請開發者證書的吧.
KEY– 通常用來存放一個RSA 公鑰或者私鑰,並非X.509證書,編碼同樣的,可能是PEM,也可能是DER.
CRT– CRT應該是certificate的三個字母,其實還是證書的意思,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,大多數應該是PEM編碼。本站提供的CRT格式等同於CER,等同於PEM。
PEM – Privacy Enhanced Mail的縮寫，以文本的方式進行存儲。打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是編碼. 查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX伺服器偏向於使用這種編碼格式.
CER– 還是certificate,還是證書,常見於Windows系統,同樣的,可能是PEM編碼,也可能是DER編碼,大多數應該是DER編碼.
DER – Distinguished Encoding Rules的縮寫，以二進制方式進行存儲，文件結構無法直接預覽，查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows伺服器偏向於使用這種編碼格式.
PFX/P12 – predecessor of PKCS#12,對*nix伺服器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全？應該不會,PFX通常會有一個」提取密碼」,你想把裡面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼？
JKS – 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫」keytool」的工具,可以將PFX轉為JKS,當然了,keytool也能直接生成JKS。

J. 請問BitLocker的證書是什麼是加密時那個記錄恢復密鑰的TXT文件嗎如果不是，那證書到哪裡備份

EFS(加密文件系統)使用加密密鑰對數據進行加密，加密密鑰與證書綁定在一起。在Windows Vista中，首次加密計算機上的文件/文件夾後，Windows Vista將會自動為用戶生成EFS證書，該證書與加密密鑰相關聯，EFS 使用該密鑰來加密和解密數據。

需要再次強調的是，對EFS而言，其加密密鑰始終鏈接到一個特定的加密證書，而一旦加密密鑰受損比如說意外刪除時，加密數據將無法讀取，因此，為保護您的數據，在給文件/文件夾加密後，要注意將加密證書備份。

而當我們加密了某個文件後，該文件便只能被我們讀取、操作，其他用戶無法將其打開。那麼，如果需要將加密文件共享，應該怎麼辦?是不是必須要將文件解密以未加密的方式才能共享呢?
當然不必。當要共享加密文件時，我們所要做的只是將待共享該文件的用戶的加密證書添加到該文件中。而要實現這一點，需要首先取得對方的加密證書，因此，在討論如何共享加密文件前，本節先來談談EFS證書的導出與導入。

EFS(加密文件系統)證書的導出

要實現文件的共享，首先需要加密文件的證書與密鑰，這也即是說，要進入加密證書的導出過程。

1、在開始菜單搜索框中輸入「CertMgr.msc」，打開「證書管理器」。這是一個觸發UAC的操作，需要用戶輸入輸入管理員密碼或進行確認。
2、單擊「個人」文件夾旁邊的箭頭將其展開，然後單擊要導出的EFS 證書。
3、單擊「操作」菜單，指向「所有任務」，然後單擊「導出」。
4、在證書導出向導中，單擊「下一步」。
5、單擊「是，導出私鑰」，然後單擊「下一步」。
6、在「導出文件格式」頁面上，選擇「個人信息交換」，單擊「下一步」。
7、鍵入要使用的密碼，確認該密碼，然後單擊「下一步」。
8、導出過程將創建一個存儲證書的文件。鍵入該文件的名稱和位置(包括完整路徑)。
9、單擊「完成」。

EFS(加密文件系統)證書的導入

當獲得 EFS 加密證書後，需要將該證書導入。

1、在開始菜單搜索框中輸入「CertMgr.msc」，打開「證書管理器」。這是一個觸發UAC的操作，需要用戶輸入輸入管理員密碼或進行確認。
2、選擇「個人」文件夾。
3、單擊「操作」菜單，指向「所有任務」，然後單擊「導入」。
4、在證書導入向導中，單擊「下一步」。
5、鍵入包含該證書的文件的位置，或者單擊「瀏覽」，導航至該文件的位置，然後單擊「下一步」。
6、輸入該證書的密碼，選中「標記此密鑰為可導出的」復選框，然後單擊「下一步」。
7、單擊「將所有的證書放入下列存儲區」，選擇「個人」，然後單擊「下一步」。