證書私鑰公鑰

❶ 老師你好，在ssl證書中，cer是公鑰證書，key是私鑰證書，crt是證書鏈對嗎

一、SSL證書文件

如圖所示，就是一些SSL證書文件。上圖帶有root CA 字樣的證書文件就是根證書， 然後帶intermediate ca 字樣的就是中間證書文件， 最後一個 ssl servercertificate 字樣的證書即為證書文件。

了解認識SSL證書文件，才能更好的去安裝SSL證書。雖然大部分時候直接安裝證書文件，瀏覽器也會顯示安全，但是由於一些瀏覽器會自動補齊證書鏈，但是證書鏈缺失的話，一些手機端或者部分瀏覽器可能會報不安全的提醒，所以在安裝的時候建議安裝完整的證書文件，補齊證書鏈。

二、SSL證書格式

在SSL證書源文件中你會發現有很多格式。不同的web伺服器對於證書的格式是有要求的，接下來也帶大家了解下不同格式的證書文件。

PEM：- Privacy Enhanced Mail,打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是BASE64編碼.上述一般證書文件 ，中間證書和根證書，證書文件很多都是pem格式的。Apache和NIgnix伺服器偏向於使用這種編碼格式.

DER：這種格式也是常見的證書格式，跟pem類似，中間證書和根證書，證書文件很多都是DER的，Java和Windows伺服器偏向於使用這種編碼格式。

JKS ：jks是Java密鑰庫(KeyStore)比較常見的一種格式。一般可用通過cer 或者pem 格式的證書以及私鑰的進行轉化為jks格式，有密碼保護。所以它是帶有私鑰的證書文件，一般用戶tomcat環境的安裝

PFX：pfx格式的證書 也是由cer 或者pem格式的證書文件以及私鑰轉化而來，所以該證書文件也是帶有私鑰的證書文件，一般用於iis 環境的證書安裝。

❷ 數字證書是什麼，公鑰加密和私鑰簽名

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。它是由權威機構——CA機構，又稱為證書授權（Certificate Authority）中心發行的，人們可以在網上用它來識別對方的身份。
非對稱加密演算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。 非對稱加密演算法實現機密信息交換的基本過程是：甲方生成一對密鑰並將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密後再發送給甲方；甲方再用自己保存的另一把專用密鑰對加密後的信息進行解密。
另一方面，甲方可以使用乙方的公鑰對機密信息進行簽名後再發送給乙方；乙方再用自己的私匙對數據進行驗簽。
甲方只能用其專用密鑰解密由其公用密鑰加密後的任何信息。 非對稱加密演算法的保密性比較好，它消除了最終用戶交換密鑰的需要。
非對稱密碼體制的特點：演算法強度復雜、安全性依賴於演算法與密鑰但是由於其演算法復雜，而使得加密解密速度沒有對稱加密解密的速度快。對稱密碼體制中只有一種密鑰，並且是非公開的，如果要解密就得讓對方知道密鑰。所以保證其安全性就是保證密鑰的安全，而非對稱密鑰體制有兩種密鑰，其中一個是公開的，這樣就可以不需要像對稱密碼那樣傳輸對方的密鑰了。這樣安全性就大了很多。

❸ 怎樣獲取ca證書中的私鑰和公鑰

CA 也擁有一個證書（內含公鑰和私鑰）。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。 如果用戶想得到一份屬於自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份後，便為他分配一個公鑰，並且 CA 將該公鑰與申請者的身份信息綁在一起，並為之簽字後，便形成證書發給申請者。 如果一個用戶想鑒別另一個證書的真偽，他就用 CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。證書實際是由證書簽證機關（CA）簽發的對用戶的公鑰的認證。 證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509 國際標准。 加密：我們將文字轉換成不能直接閱讀的形式（即密文）的過程稱為加密。即把我們平時看到的「http」加密成「https」來傳輸，這樣保證了信息在傳輸的過程中不被竊聽。目前國內可以完成這個工作的CA是GlobalSign。 解密：我們將密文轉換成能夠直接閱讀的文字（即明文）的過程稱為解密。 如何在電子文檔上實現簽名的目的呢？我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名， 方法：信息發送者用其私鑰對從所傳報文中提取出的特徵數據（或稱數字指紋）進行RSA演算法操作，以保證發信人無法抵賴曾發過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文後，就可以用發送者的公鑰對數字簽名進行驗證。 在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數) 生成的。 流程：CA證書簽發過程．接受的輸入報文數據沒有長度限制； 2．對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出； 3．從報文能方便地算出摘要； 4．難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要； 5．難以生成兩個不同的報文具有相同的摘要。 驗證：收方在收到信息後用如下的步驟驗證簽名： 1．使用自己的私鑰將信息轉為明文； 2．使用發信方的公鑰從數字簽名部分得到原摘要； 3．收方對您所發送的源信息進行hash運算，也產生一個摘要； 4．收方比較兩個摘要，如果兩者相同，則可以證明信息簽名者的身份。 如果兩摘要內容不符，會說明什麼原因呢？ 可能對摘要進行簽名所用的私鑰不是簽名者的私鑰，這就表明信息的簽名者不可信；也可能收到的信息根本就不是簽名者發送的信息，信息在傳輸過程中已經遭到破壞或篡改。 數字證書：數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。 安裝方式：在很多情況下，安裝CA證書並不是必要的。大多數操作系統的CA證書是默認安裝的。這些默認的CA證書由GoDaddy或VeriSign等知名的商業證書頒發機構頒發。因此，如果設備需要信任不知名的或本土的證書頒發機構，只需要安裝CA證書。 下載和安裝CA證書並沒有真正的標准流程。採用的方法依賴於許多因素，如正在使用的伺服器類型可作為一個證書頒發機構，證書頒發機構的配置方式以及設備上所使用的想安裝CA證書的操作系統。 如果Windows伺服器被配置為一台證書頒發機構，通常情況下，管理員可通過一個Web界面生成並下載證書。這個Web界面的地址通常是https://<the server's FQDN>/CertSRV。該Web界面中有下載CA證書的選項。 如果一台Windows PC上安裝了CA證書，該證書是由證書控制台進行安裝的。 在Windows 8個人電腦上，可以通過本地的運行功能進入CertLM.msc，從而訪問證書商店。CA證書通常安裝在第三方根認證機構容器中的受信任的根證書頒發機構中。 通常，如果想在移動設備上安裝一個CA證書，可以將證書通過電子郵件發送到該移動設備上的郵箱賬號。打開附件，證書將被安裝到該設備上。[ 證書原理：數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之於眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件，發送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發件人的身份，發送者要用自己的私鑰對信件進行簽名；收件人可使用發送者的公鑰對簽名進行驗證，以確認發送者的身份。 在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現，電子郵件、在線交易和信用卡購物的安全才能得到保證。 證書作用： 保密性 - 只有收件人才能閱讀信息。 認證性 - 確認信息發送者的身份。 完整性 - 信息在傳遞過程中不會被篡改。 不可抵賴性 - 發送者不能否認已發送的信息。 保證請求者與服務者的數據交換的安全性。 希望對你有用和幫到你。

❹ ssl證書的公鑰私鑰需要設置嗎

需要設置的，具體設置方法可以咨詢SSL證書提供商。
SSL證書的公鑰內密碼體制分為三個容部分，即公鑰、私鑰和加密解密演算法，顧名思義，加密是通過加密演算法和公鑰對明文傳輸數據進行加密，得到密文，加密過程是需要用到公鑰的。
解密是反過來，通過解密演算法和私鑰對密文進行解密，得到明文。解密過程需要用到解密演算法和私鑰。所以上文提到由公鑰加密的內容，只能由對應的私鑰進行解密，如果是公鑰加密的內容，不知道私鑰那是無法解密的，公鑰和私鑰保證了數據傳輸的安全性。
公鑰和演算法都是公開的，私鑰是保密的，是需要自己手動設置的。大家都用公鑰進行加密，但是只有私鑰的持有者才能解密。在實際的使用中，有需要的人會生成一對公鑰和私鑰，把公鑰發布出去給別人使用，自己保留私鑰。
數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。所以ssl證書中肯定包含唯一匹配的公鑰和私鑰。網站擁有者向CA機構申請ssl證書時，證書請求文件中只包含公鑰，不包含私鑰。證書私鑰由網站保存，證書請求文件提交給CA機構進行認證和簽名後對外公開。

❺ 我用了別的登陸器，那個私鑰和公鑰是什麼意思

公鑰和私鑰 1，公鑰和私鑰成對出現 2，公開的密鑰叫公鑰，只有自己知道的叫私鑰 3，用公鑰加密的數據只有對應的私鑰可以解密 4，用私鑰加密的數據只有對應的公鑰可以解密 5，如果可以用公鑰解密，則必然是對應的私鑰加的密 6，如果可以用私鑰解密，則必然是對應的公鑰加的密 假設一下，我找了兩個數字，一個是1，一個是2。我喜歡2這個數字，就保留起來，不告訴你們，然後我告訴大家，1是我的公鑰。 我有一個文件，不能讓別人看，我就用1加密了。別人找到了這個文件，但是他不知道2就是解密的私鑰啊，所以他解不開，只有我可以用數字2，就是我的私鑰，來解密。這樣我就可以保護數據了。 我的好朋友x用我的公鑰1加密了字元a，加密後成了b，放在網上。別人偷到了這個文件，但是別人解不開，因為別人不知道2就是我的私鑰，只有我才能解密，解密後就得到a。這樣，我們就可以傳送加密的數據了。 現在我們知道用公鑰加密，然後用私鑰來解密，就可以解決安全傳輸的問題了。如果我用私鑰加密一段數據（當然只有我可以用私鑰加密，因為只有我知道2是我的私鑰），結果所有的人都看到我的內容了，因為他們都知道我的公鑰是1，那麼這種加密有什麼用處呢？ 但是我的好朋友x說有人冒充我給他發信。怎麼辦呢？我把我要發的信，內容是c，用我的私鑰2，加密，加密後的內容是d，發給x，再告訴他解密看是不是c。他用我的公鑰1解密，發現果然是c。這個時候，他會想到，能夠用我的公鑰解密的數據，必然是用我的私鑰加的密。只有我知道我得私鑰，因此他就可以確認確實是我發的東西。這樣我們就能確認發送方身份了。這個過程叫做數字簽名。當然具體的過程要稍微復雜一些。用私鑰來加密數據，用途就是數字簽名。 好，我們復習一下： 1，公鑰私鑰成對出現 2，私鑰只有我知道 3，大家可以用我的公鑰給我發加密的信了 4，大家用我的公鑰解密信的內容，看看能不能解開，能解開，說明是經過我的私鑰加密了，就可以確認確實是我發的了。 總結一下結論： 1，用公鑰加密數據，用私鑰來解密數據 2，用私鑰加密數據（數字簽名），用公鑰來驗證數字簽名。 在實際的使用中，公鑰不會單獨出現，總是以數字證書的方式出現，這樣是為了公鑰的安全性和有效性。 數字證書的原理 數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密. 在公開密鑰密碼體制中，常用的一種是RSA體制。 用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點： （1）保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認； （2）保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。 我的解釋： 每個用戶都有一對私鑰和公鑰。 私鑰用來進行解密和簽名，是給自己用的。 公鑰由本人公開，用於加密和驗證簽名，是給別人用的。 當該用戶發送文件時，用私鑰簽名，別人用他給的公鑰解密，可以保證該信息是由他發送的。即數字簽名。 當該用戶接受文件時，別人用他的公鑰加密，他用私鑰解密，可以保證該信息只能由他接收到。可以避免被其他人看到。 數字證書 是數字形式的標識，與護照或駕駛員執照十分相似。數字證書是數字憑據，它提供有關實體標識的信息以及其他支持信息。數字證書是由成為證書頒發機構（CA）的權威機構頒發的。由於數字證書有證書權威機構頒發，因此由該權威機構擔保證書信息的有效性。此外，數字證書只在特定的時間段內有效。 數字證書包含證書中所標識的實體的公鑰（就是說你的證書里有你的公鑰），由於證書將公鑰與特定的個人匹配，並且該證書的真實性由頒發機構保證（就是說可以讓大家相信你的證書是真的），因此，數字證書為如何找到用戶的公鑰並知道它是否有效這一問題提供了解決方案。 綜上所述,公鑰 私鑰都是保存在數字證書之中的,並不以單獨的文件格式存在.

❻ SSL中，公鑰，私鑰，證書的後綴名都是些啥

SSL證書後綴
CSR – Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(當然還附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.做過iOS APP的朋友都應該知道是怎麼向蘋果申請開發者證書的吧.
KEY– 通常用來存放一個RSA 公鑰或者私鑰,並非X.509證書,編碼同樣的,可能是PEM,也可能是DER.
CRT– CRT應該是certificate的三個字母,其實還是證書的意思,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,大多數應該是PEM編碼。本站提供的CRT格式等同於CER,等同於PEM。
PEM – Privacy Enhanced Mail的縮寫，以文本的方式進行存儲。打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是編碼. 查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX伺服器偏向於使用這種編碼格式.
CER– 還是certificate,還是證書,常見於Windows系統,同樣的,可能是PEM編碼,也可能是DER編碼,大多數應該是DER編碼.
DER – Distinguished Encoding Rules的縮寫，以二進制方式進行存儲，文件結構無法直接預覽，查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows伺服器偏向於使用這種編碼格式.
PFX/P12 – predecessor of PKCS#12,對*nix伺服器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全？應該不會,PFX通常會有一個」提取密碼」,你想把裡面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼？
JKS – 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫」keytool」的工具,可以將PFX轉為JKS,當然了,keytool也能直接生成JKS。

❼ 如何從pem格式私鑰文件中獲取公鑰

Linux 工具通使來用 base64 編碼文本格式相關用自綴：
* 證書：.crt, .pem
* 私鑰：.key
* 證書請求：.csr
.cer 像二進制證書證書 key 放同文件邊候擴展名通叫 .pemJava keystore 都二進制像自格式

其實類 UNIX 系統關注文件名綴程序並證書、密鑰都明顯標識所相關軟體（ openssl）處理管用擴展名亂用擴展名自識別便桌面環境能擴展名與默認操作、圖標關聯起

知道文件啥使用 file 命令識別試試經驗直接拿文本編輯器打看看
-

❽ 數字證書，公鑰和私鑰這三者之間的關系是什麼

公私鑰又稱非對稱密鑰，成對出現，只有相互可逆，一對公私鑰可集成為一張數字證書

❾ 私鑰、公鑰、證書的區別和關系

私鑰是要求你輸入個人密碼才可訪問的，一般網上銀行之類可用到。
公鑰不要求設專置密碼，是已屬經默認了的，一般上一些安全性要求不高的網站或共享資源，如區域網。
證書是一種網站加密瀏覽方式，只有允許了才可訪問，一般為安全性較高的網站，如網上銀行；可以訪止黑客盜取客戶資料。

❿ 怎樣根據已有的公鑰和私鑰生成數字證書

openssl genrsa -des3 -out server.key 1024
運行時來會提示輸入密碼,此密碼用源於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key！