生產證書鏈

① 如何從KeyStore中獲取證書鏈

這個文件的路徑用右劃線，keystoreFile="C:\ProgramFiles\Java\jdk1.6.0_02\jre\lib\security\server.keystore"

② "證書鏈信息"是什麼意思

證書鏈由兩個環節組成—信任錨（ca
證書）環節和已簽名證書環節。自我簽內名的證書僅有一個環節的長度容—信任錨環節就是已簽名證書本身。
證書鏈可以有任意環節的長度，所以在三節的鏈中，信任錨證書ca
環節可以對中間證書簽名；中間證書的所有者可以用自己的私鑰對另一個證書簽名。certpath
api
可以用來遍歷證書鏈以驗證有效性，也可以用來構造這些信任鏈。

③ openssl證書生成工具如何生成證書鏈

2. 生成Root CA私鑰與證書： .1 先生成RootCA私鑰--》使用私鑰生成CSR--》生成自簽名根證書。用來給二級CA證書簽名。 3. 生成二級CA 私鑰與證書：（假如有兩個二級CA， 分別負責管理伺服器端和客戶端證書） 3.1 先生成ServerCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給伺服器證書簽名。 3.2 先生成ClientCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給客戶端證書簽名。 4. 生成伺服器端與客戶端的私鑰與證書： 4.1 先生成ServerA私鑰--》使用私鑰生成CSR--》使用ServerCA證書簽名生成三級證書。 4.2 先生成ClientA私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書。 4.3 先生成ClientB私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書 。。。。可以生成N個客戶端證書證書結構：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...| 5. 導出RootCA的根證書、伺服器端和客戶端的私鑰和證書。 導出時都使用pem格式。 RootCA.pem-------根證書（PEM ） ServerA.pem------伺服器端證書（PEM with Certificate chain） ClientA.pem------客戶端證書（PEM with Certificate chain） ClientB.pem------客戶端證書（PEM with Certificate chain） ServerAKey.pem------伺服器端私鑰（PEM ） ClientAKey.pem------客戶端私鑰（PEM ） ClientBKey.pem------客戶端私鑰（PEM ） 6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能導入私鑰，需要利用到weblogic 提供的一個工具，需要把weblogic.jar加到CLASSPATH。 6.1 生成伺服器和客戶端的信任證書庫： keytool -import -alias rootca -file RootCA.pem -keystore trust.jks 6.2 生成伺服器端身份密鑰庫： java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem 6.3 生成客戶端身份密鑰庫： java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客戶端身份密鑰庫 7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的證書鏈關系。

④ 什麼是數字證書的證書鏈

數字證書由頒發該證書的CA簽名。多個證書可以綁定到一個信息或交易上形成證書鏈，證書鏈中每一個證書都由其前面的數字證書進行鑒別。最高級的CA必須是受接受者信任的、獨立的機構。

⑤ 根證書，中間證書和底層證書怎麼合並一個證書鏈

所謂根證書，是CA認證中心與用戶建立信任關系的基礎，用戶的數字證書必回須有一個受答信任的根證書，用戶的數字證書才是有效的。從技術上講，證書其實包含三部分，用戶的信息，用戶的公鑰，還有CA中心對該證書裡面的信息的簽名，要驗證一份證書的真偽（即驗證CA中心對該證書信息的簽名是否有效），需要用CA中心的公鑰驗證，而CA中心的公鑰存在於對這份證書進行簽名的證書內，故需要該證書，但使用該證書驗證又需先驗證該證書本身的真偽，故又要用簽發該證書的證書來驗證，這樣一來就構成一條證書鏈的關系，這條證書鏈在哪裡終結呢？答案就是根證書，根證書是一份特殊的證書，它的簽發者是它本身，根證書就表明您對該根證書以下所簽發的證書都表示信任，而技術上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結束。所以說用戶在使用自己的數字證書之前必須先根證書。

⑥ SSL教程：什麼是SSL證書鏈

證書包含的內來容可以自概述為三部分，用戶的信息、用戶的公鑰、還有CA中心對該證書裡面的信息的簽名。我們在驗證證書的有效性的時候，會逐級去尋找簽發者的證書，直至根證書為結束，然後通過公鑰一級一級驗證數字簽名的正確性。
證書鏈(certificate chain)可以有任意環節的長度：CA證書包括根CA證書、二級CA證書（中間證書）、三級證書.....，以下是對證書鏈的圖解：

⑦ 什麼叫證書鏈

證書鏈由兩個環節組成—信任錨（CA 證書）環節和已簽名證書環節。自我簽名的證書僅有內一個環節的長度—容信任錨環節就是已簽名證書本身。
證書鏈可以有任意環節的長度，所以在三節的鏈中，信任錨證書CA 環節可以對中間證書簽名；中間證書的所有者可以用自己的私鑰對另一個證書簽名。CertPath API 可以用來遍歷證書鏈以驗證有效性，也可以用來構造這些信任鏈。

⑧ 【求助】每次打開百付寶的網址都顯示證書錯誤，所有瀏覽器都一樣

如果你使用WindowsXP + IE7，使用網銀無法給百付寶充值，充值時出現以下提示：

「此網站的安全證書有問題，該網站提供的安全證書不是由受信任的證書辦法機構頒發的，安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據」

同時瀏覽器上方出現一行提示讓你下載安裝ActiveX控制項，但是安裝後依然會出現以下提示：「數據元素個人的簽名數據（base64編碼不能為空）」

如果你打開IE－》工具－》Internet選項－》內容－》證書，你會發現有個證書，Windows給出的提示是：windows沒有足夠的信息，不能驗證該證書。

你可以試試以下的解決方案。

（我用的中信加強版網銀，WindowsXP，IE7，無法給百付寶充值，用此法解決掉的）

1.到http://www.cfca.com.cn/（中國金融認證中心）去下載證書鏈。

首頁左上方有一個「證書鏈下載」，在生產系統證書鏈右邊有一個「證書鏈安裝包」，把他下載下來解壓縮得到一個執行文件CFCAChain.exe。

你可以在這里直接下載：http://www.cfca.com.cn/file/CFCAChain.rar

2.執行CFCAChain.exe,按照屏幕提示安裝，一般就是點下一步，確定，完成之類的，我記不太清了。

3.關掉所有的IE窗口，然後重新打開。

4.打開IE－》工具－》Internet選項－》內容－》證書，找到原來有問題的證書，（這個證書可能到了「其它」類里。）你會發現Windows現在的提示是：所有應用程序策略。

這表示這個證書已經被認證了。再進行網銀支付就沒有問題了

⑨ openssl 怎麼生成證書鏈

使用VS2005下的Visual Studio 2005 Command Prompt進入控制台模式（這個模式會自動設置各種環境變數）
、解壓縮openssl的包,進入openssl的目錄
、perl configure VC-WIN32
盡量在這個目錄下執行該命令，否則找不到Configure文件，或者指定完整的Configure文件路徑。
、ms\do_ms
在解壓目錄下執行ms\do_ms命令
、nmake -f ms\ntdll.mak編譯後在openssl解壓目錄下執行，完成編譯後。輸出的文件在out32dll裡面，包括應用程序的可執行文件、lib文件和dll文件
注意：在運行第五步時，cl編譯器會抱怨說.\crypto\des\enc_read.c文件的read是The POSIX name for this item is deprecated（不被推薦的），建議使用_read。呵呵，我可不想將OpenSSL中的所有的read函數修改為_read。再看cl的錯誤代碼 error C2220，於是上MSDN上查找：
warning treated as error - no object file generated
/WX tells the compiler to treat all warnings as errors. Since an error occurred, no object or executable file was generated.
是由於設置了/WX選項，將所有的警告都作為錯誤對待，所以。。。
於是打開OpenSSL目錄下的MS目錄下的ntdll.mak文件，將CFLAG的/WX選項去掉，存檔。