雙證書加密

1. 部署SSL雙證書有哪些作用

您好來！
雙證數字是指：自ECC和RSA兩種簽名SSL證書，我們常見的是RSA證書比較普遍，因為他的兼容性比較大很實用。ECC證書速度比較快，缺點老款的瀏覽器不支持。所以為了讓用戶瀏覽速度的提升，有的網站會注冊兩款不同加密類型的證書並且一起部署，從而增加用戶體驗。
同一伺服器上同時部署兩張不同品牌的SSL證書，主備證書同時在線，雙重保障更可靠。其中一個品牌的SSL證書出現運營或安全事故時，另一張證書可保障網站認證服務的連續性。

2. 如何給自己重要的文檔文件加密或者簽名

我國的《電子簽名法》已經明確了可靠電子簽名的法律效力等於與手寫簽字和單位蓋章，這個可靠的電子簽名指的就是數字簽名。數字簽名是使用數字證書來驗證簽名者的身份，並通過密碼演算法將簽名者身份綁定到文檔中來證明簽名行為的不可否認，已簽名文檔無需包含簽名過程審計報告，簽名者的身份驗證則由證書頒發機構(CA)或信任服務提供商(TSP)完成。

文檔簽名只是解決了文檔發布者的身份可信和防止被非法篡改的問題，但是對於機密文檔，還需要用證書加密，確保即使電子文檔被泄密，由於無法獲得加密證書而無法解密，從而保證了文檔的安全，這也就是為何GDPR第34條說的只要加密的，出現數據泄露事件也可以減輕責任。
密信App會自動為每一個用戶自動配置簽名證書用於數字簽名。獨創的雙證書雙演算法雙時間戳對同一文檔進行數字簽名確保了已數字簽名的文件是國密合規和全球信任的，不僅證明每次合同簽署和文檔簽名的可信時間，而且支持Adobe LTV(簽名長期有效)，確保已簽署的合同文件和文檔即使簽名證書過期而簽名仍然長期有效。
用戶在使用密信App簽名文檔時會提示用戶是否需要加密此文檔，用戶可以選擇：不加密、僅用自己的證書加密只能自己閱讀、用指定人員的證書加密文檔使得該文檔只有這些用戶才能正常閱讀此文檔。此加密功能能有效地防止機密文檔泄密，但又不影響有權閱讀此文檔的人員無感解密閱讀此文檔。無感解密的意思是有權閱讀者可以直接使用Adobe閱讀器正常打開閱讀，根本覺察不到此文檔已加密，由Adobe閱讀器自動用加密證書解密。但是無權閱讀者則在打開此文檔時Adobe閱讀器會提示「此文檔數字證書加密，但不存在用於解密的數字證書。」等告警信息。

3. 什麼是SSL雙證書

您好！
雙證數字是指：ECC和RSA兩種簽名SSL證書，我們常見的是RSA證書比較普遍專，因為他的兼容性比屬較大很實用。ECC證書速度比較快，缺點老款的瀏覽器不支持。所以為了讓用戶瀏覽速度的提升，有的網站會注冊兩款不同加密類型的證書並且一起部署，從而增加用戶體驗。
同一伺服器上同時部署兩張不同品牌的SSL證書，主備證書同時在線，雙重保障更可靠。其中一個品牌的SSL證書出現運營或安全事故時，另一張證書可保障網站認證服務的連續性。

4. 電子合同中的數字簽名防篡改，有什麼原理

這里我們舉個例子來說明數字簽名的原理：假設甲公司要給乙公司發送一份機密的文件，那麼這次傳輸需要確保以下幾點：

1、文件內容不能被讀取————（方案：加密）

2、只有乙公司能接收—————（方案：數字信封）

3、證明發送方是甲公司————（方案：數字簽名）

4、文件內容不能被篡改————（方案：對比摘要）

5、文件不能被調包——————（方案：數字證書）

由於對稱加密的高效性，對文件的加密處理，通常採用對稱加密方案。對稱加密需要用同一份密鑰，這一份密鑰的約定就有被中途截獲的可能。

因此可以採用非對稱加密演算法加密對稱密鑰的方式來加密內容，也就是「用接收方的公鑰加密對稱密鑰」，這就叫「給乙的數字信封」，並用這個對稱密鑰加密文件內容。

假設這份文件被黑客截獲，但是黑客沒有乙的私鑰無法解出對稱密鑰，也就無法解密文件內容。但是這里還有個風險，雖然黑客無法解密文件內容，但他可以自己生成一份密鑰並用乙的公鑰加密，再用這份密鑰加密一份偽造的文件發給乙，這種情況下乙收到的就是被假冒的文件。

這個問題就需要使用數字簽名的方式來解決。

也就是說使用數字簽名可以確保乙的身份真實、簽署後的文檔不可修改、簽署行為不可抵賴。數字簽名技術是目前最符合可靠電子簽名要求、應用最普遍、可操作性最強的技術之一。

數字簽名就是用摘要演算法提取出源文件的摘要並用發送人的私鑰進行加密後的內容。

甲在發送文件時再附帶上源文件的數字簽名。如果被黑客截取到加密後的文件和數字簽名，黑客即使使用甲的公鑰解出了文件摘要，由於摘要演算法的特性黑客也無法還原出原始內容。但乙可以解密出文件內容再用同樣的摘要演算法提取出摘要來和數字簽名里的摘要進行比對，摘要一致則說明文件沒有被篡改過。

5. 什麼是SSL雙證書

同時支持ECC、RSA兩種類型的SSL證書，需要申請2本SSL證書，並且使用不同的演算法。
兩本SSL證書配置到同一台伺服器使用，這種情況下支持ECC瀏覽器的會自動訪問。
SSL證書可以在Gworg進行申請，可以同時申請RSA與ECC證書。

6. 簽電子合同時電子簽名是怎麼保證安全的

簡單來說，電子簽名是利用哈希演算法與加密演算法實現的電子文件上直接簽字、蓋章的技術。為了保障簽署後的電子文件具備法律有效性，使用電子簽名簽署後的電子文件還需要具備簽署身份可識別、簽署內容不可篡改的特性。

但是，通過上述技術名詞解釋並不能直觀、易懂的說明電子簽名的原理，以下是通過還原電子簽名簽署的過程簡介電子簽名是如何保證安全保密的：

場景：由於業務需要，你和我需要簽署一份合作協議。為方便起見，你將擬好的電子版合同文本在線發送給我簽署。

怎樣確保合同只有我可查看且不被他人惡意竊取？我又怎樣才能確定文件的發送人就是你呢？

關鍵點1：公鑰私鑰登場

為了滿足電子合同內容保密性和發送人認證的要求，我們了解到非對稱加密的加密方式。

非對稱加密：具有唯一對應的一對秘鑰，一個公鑰一個私鑰，公鑰所有人可見，而私鑰僅自己可見。

非對稱加密具有這樣的特性：用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。

發送合同時，你將擬好的電子合同使用自己的私鑰加密後發送；接收合同時，如果能夠使用你的公鑰解密，則說明這份文件就是你發送的。

但是，我怎麼才能知道你的公鑰呢？

關鍵點2：政府出了個CA來幫忙

我了解到，政府授權了一個權威機構叫CA，可以提供網路身份認證的服務。

CA (Certificate Authority) ：全稱證書管理機構，即數字證書的申請、簽發及管理機關。其主要功能為： 產生密鑰對、生成數字證書、分發密鑰、密鑰管理等。

數字證書：是由CA機構頒發的證明，它包含公鑰、公鑰擁有者名稱、CA 的數字簽名、有效期、授權中心名稱、證書序列號等信息，可以通俗為理解個人或企業在「網路身份證」。

我向CA機構申請獲取你的公鑰，使用它對電子合同解密，解密成功則說明發送人就是你。文件發送人的身份確認了，那怎麼保障電子合同傳輸過程中未被篡改呢？

關鍵點3：哈希兄弟出場

有技術人員推薦了哈希演算法（摘要演算法），可以證明電子合同傳輸過程中是否被篡改。

哈希演算法：通過加密演算法將文本內容生成為一段代碼，即信息摘要，其主要特徵是加密過程不需要密鑰，經加密的數據無法被反向還原。也就是說，只有兩份完全相同的合同經過相同的哈希演算法才能得到相同的摘要。

發送合同時，你將電子合同原文和經哈希運算的摘要一起發送給我接收合同時，通過對合同原文進行同樣的哈希運算得到新的摘要，對比兩組摘要是否一致即可證明我接收的文件是否被篡改

但是，如果傳輸過程中文件原文與摘要同時被替換了怎麼辦？

關鍵點4：對稱加密來幫忙

除了上述的哈希演算法、非對稱加密、CA，為確保合同由發送到接收滿足三個要求，即：由你發送、只能發給我、不能被篡改，我們還需要應用新的加密方式：對稱加密。

對稱加密：採用單鑰密碼系統的加密方法，信息的加密和解密只能使用同一個密碼。

發送文件時：

1、你通過哈希運算得到原文摘要並使用私鑰對其加密，得到你的數字簽名，再將數字簽名和合同原文進行對稱加密，得到密文A——對原文加密

2、再通過CA獲得我的公鑰，對上述步驟中對稱加密的秘鑰進行非對稱加密，即我的「數字信封」——對秘鑰加密

3、將密文A和我的數字信封一起發送給我

數字簽名：用哈希演算法提取出源文件的摘要並用發送人的私鑰進行加密後的內容。

數字信封：用接收方的公鑰加密對稱秘鑰」，這就叫「給乙的數字信封。

接收文件時：

1、我使用自己的私鑰解密數字信封得到對稱秘鑰——能解開，說明是發給我的

2、再使用對稱秘鑰解密密文A，得到帶有你的數字簽名的原文

3、使用你的公鑰解密你的數字簽名，得到簽名中的原文摘要——能解開，說明發送者是你

4、使用相同的摘要演算法獲取原文摘要並與解密簽名中的摘要對比——摘要一致，則說明原文沒有被篡改

除了文件內容不可篡改，精確記錄簽署時間固定合同生效期限也十分重要，網路環境中怎樣怎麼確保合同簽署時間不可篡改呢？

關鍵點5：時間戳來證明

我又請教了專家，原來我們國家還有專門確定時間的法定授時中心，它可以在我們簽署的文件上加蓋「時間印跡」，即時間戳。

時間戳（time-stamp）：書面簽署文件的時間是由簽署人自己寫上，而數字時間戳則由第三方認證單位（DTS）添加，以DTS收到文件的時間為依據，更精準、更有公信力。

至此，我們簽合同的時間精準記錄、合同內容不可篡改、雙方身份也真實有效，這下沒問題了！但是，簽署完的電子合同怎麼存儲呢？不管是哪一方簽署，日後產生糾紛都難免對合同存儲期間的安全性產生質疑。

關鍵點6：找個權威第三方來存證

聽說有專門的第三方電子數據存證機構，可以保存已簽署的電子合同數據，當用戶雙方對合同內容產生爭議時可申請出具具有公信力的證明。

合同簽署的最後一個問題：存儲問題也解決了！但唯一不足之處就是：簽署過程太麻煩！為保障電子合同有效性，我們用到了非對稱加密、哈希運算、時間戳等技術，還要CA機構、公證處等機構協助；

怎樣更簡單快捷地簽一份有效的電子合同呢？

關鍵點7：選擇可靠的第三方電子合同平台

根據《電子簽名法》規定，使用可靠的電子簽名簽署的電子合同具備與手寫簽字或蓋章的紙質合同同等的法律效力。

根據《電子簽名法》規定，符合下列條件的，視為可靠的電子簽名：

1）電子簽名製作數據用於電子簽名時，屬於電子簽名人專有

2）簽署時電子簽名製作數據僅由電子簽名人控制

3）簽署後對電子簽名的任何改動能夠被發現

4）簽署後對數據電文內容和形式的任何改動能夠被發現

結合上述電子合同簽署過程，我們可歸納總結有效的電子合同應關注以下幾個核心點：內容保密性、內容防篡改、明確簽訂身份、明確簽訂時間。

同時，為保障電子合同作為書面形式的證據能力，合同簽署全程還應當由權威第三方機構存儲公證。

商務部在《電子合同在線訂立流程規范》指出：「通過第三方（電子合同服務提供商）的電子合同訂立系統中訂立電子合同，才能保證其過程的公正性和結果的有效性」。

7. 什麼是數字證書從哪辦理歸什麼單位管理

數字證書就是一串數據，裡麵包括數字證書使用者的姓名、身份證號等信息，等於將數字證書與現實人員進行綁定，當您在網路中使用數字證書時就可以通過解析數字證書得到真實人員信息了。

數字證書也分好幾類，有人員證書，伺服器證書等等。也有企業證書。不一樣的。根據發放數字證書模板來定。

數字證書分為兩種一種是軟證書，是安裝在IE里的。一種是在USBKey里生成的證書，後者因為私鑰是在Key里生成，不可導出，在一定程序上保證了證書的安全性。

數字證書管理單位一般為該證書的頒發機構來管理，比如：證書過期呀、丟失需要凍解、重新申請，等等。

(7)雙證書加密擴展閱讀：

數字證書「過期」：

依照國家《電子簽名法》相關規定，數字證書頒發企業必須設定證書有效期，通常為一年或兩年。至於具體期限是多久，在客戶端左下角一看便知。

數字證書到期，處理方式自然是重新更新了，如果數字證書到期時間不超過三個月的話可進入「網上服務大廳」進行更新 ，超過三個月的話就得需要你走一趟業務受理點來辦理了。

特點

安全性

（1）為了避免傳統數字證書方案中，由於使用不當造成的證書丟失等安全隱患，支付寶創造性的推出雙證書解決方案：支付寶會員在申請數字證書時，將同時獲得兩張證書，一張用於驗證支付寶賬戶，另一張用於驗證會員當前所使用的計算機。

（2）第二張證書不能備份，會員必須為每一台計算機重新申請一張。這樣即使會員的數字證書被他人非法竊取，仍可保證其賬戶不會受到損失。

（3）支付盾是一個類似於U盤的實體安全工具，它內置的微型智能卡處理器能阻擋各種的風險，讓您的賬戶始終處於安全的環境下。

唯一性

（1）支付寶數字證書根據用戶身份給予相應的網路資源訪問許可權

（2）申請使用數字證書後，如果在其他電腦登錄支付寶賬戶，沒有導入數字證書備份的情況下，只能查詢賬戶，不能進行任何操作，這樣就相當於您擁有了類似「鑰匙」一樣的數字憑證，增強賬戶使用安全。

方便性

（1）即時申請、即時開通、即時使用。

（2）量身定製多種途徑維護數字證書，例如通過簡訊，安全問題等。

（3）不需要使用者掌握任何數字證書相關知識，也能輕松掌握。

8. 關於PkI里簽名證書和加密證書(俗稱雙證書）的問題

數字簽名私鑰沒必要給第三方備份，反而增加了簽名偽造的風險，同時節約不必要的支出。私鑰掉了或者過期了大不了再產生一對，不過加密證書的私鑰丟失加密數據就無法恢復了。

9. 電子合同里的電子簽名是什麼原理

簡單來說，電子簽名是利用哈希演算法與加密演算法實現的電子文件上直接簽字、蓋章的技術。為了保障簽署後的電子文件具備法律有效性，使用電子簽名簽署後的電子文件還需要具備簽署身份可識別、簽署內容不可篡改的特性。

但是，通過上述技術名詞解釋並不能直觀、易懂的說明電子簽名的原理，以下是通過還原電子簽名簽署的過程簡介實現原理：

場景：由於業務需要，你和我需要簽署一份合作協議。為方便起見，你將擬好的電子版合同文本在線發送給我簽署。

怎樣確保合同只有我可查看且不被他人惡意竊取？我又怎樣才能確定文件的發送人就是你呢？

關鍵點1：公鑰私鑰登場

為了滿足電子合同內容保密性和發送人認證的要求，我們了解到非對稱加密的加密方式。

• 非對稱加密：具有唯一對應的一對秘鑰，一個公鑰一個私鑰，公鑰所有人可見，而私鑰僅自己可見。

• 非對稱加密具有這樣的特性：用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。

發送合同時，你將擬好的電子合同使用自己的私鑰加密後發送；接收合同時，如果能夠使用你的公鑰解密，則說明這份文件就是你發送的。

但是，我怎麼才能知道你的公鑰呢？

關鍵點2：政府出了個CA來幫忙

我了解到，政府授權了一個權威機構叫CA，可以提供網路身份認證的服務。

• CA(Certificate Authority)：全稱證書管理機構，即數字證書的申請、簽發及管理機關。其主要功能為：產生密鑰對、生成數字證書、分發密鑰、密鑰管理等。

• 數字證書：是由CA機構頒發的證明，它包含公鑰、公鑰擁有者名稱、CA的數字簽名、有效期、授權中心名稱、證書序列號等信息，可以通俗為理解個人或企業在「網路身份證」。

我向CA機構申請獲取你的公鑰，使用它對電子合同解密，解密成功則說明發送人就是你。文件發送人的身份確認了，那怎麼保障電子合同傳輸過程中未被篡改呢？

關鍵點3：哈希兄弟出場

有技術人員推薦了哈希演算法（摘要演算法），可以證明電子合同傳輸過程中是否被篡改。

• 哈希演算法：通過加密演算法將文本內容生成為一段代碼，即信息摘要，其主要特徵是加密過程不需要密鑰，經加密的數據無法被反向還原。也就是說，只有兩份完全相同的合同經過相同的哈希演算法才能得到相同的摘要。

發送合同時，你將電子合同原文和經哈希運算的摘要一起發送給我接收合同時，通過對合同原文進行同樣的哈希運算得到新的摘要，對比兩組摘要是否一致即可證明我接收的文件是否被篡改

但是，如果傳輸過程中文件原文與摘要同時被替換了怎麼辦？

關鍵點4：對稱加密來幫忙

除了上述的哈希演算法、非對稱加密、CA，為確保合同由發送到接收滿足三個要求，即：由你發送、只能發給我、不能被篡改，我們還需要應用新的加密方式：對稱加密。

• 對稱加密：採用單鑰密碼系統的加密方法，信息的加密和解密只能使用同一個密碼。

發送文件時：

1、你通過哈希運算得到原文摘要並使用私鑰對其加密，得到你的數字簽名，再將數字簽名和合同原文進行對稱加密，得到密文A——對原文加密

2、再通過CA獲得我的公鑰，對上述步驟中對稱加密的秘鑰進行非對稱加密，即我的「數字信封」——對秘鑰加密

3、將密文A和我的數字信封一起發送給我

• 數字簽名：用哈希演算法提取出源文件的摘要並用發送人的私鑰進行加密後的內容。

• 數字信封：用接收方的公鑰加密對稱秘鑰」，這就叫「給乙的數字信封。

接收文件時：

1、我使用自己的私鑰解密數字信封得到對稱秘鑰——能解開，說明是發給我的

2、再使用對稱秘鑰解密密文A，得到帶有你的數字簽名的原文

3、使用你的公鑰解密你的數字簽名，得到簽名中的原文摘要——能解開，說明發送者是你

4、使用相同的摘要演算法獲取原文摘要並與解密簽名中的摘要對比——摘要一致，則說明原文沒有被篡改

除了文件內容不可篡改，精確記錄簽署時間固定合同生效期限也十分重要，網路環境中怎樣怎麼確保合同簽署時間不可篡改呢？

關鍵點5：時間戳來證明

我又請教了專家，原來我們國家還有專門確定時間的法定授時中心，它可以在我們簽署的文件上加蓋「時間印跡」，即時間戳。

• 時間戳（time-stamp）：書面簽署文件的時間是由簽署人自己寫上，而數字時間戳則由第三方認證單位（DTS）添加，以DTS收到文件的時間為依據，更精準、更有公信力。

至此，我們簽合同的時間精準記錄、合同內容不可篡改、雙方身份也真實有效，這下沒問題了！但是，簽署完的電子合同怎麼存儲呢？不管是哪一方簽署，日後產生糾紛都難免對合同存儲期間的安全性產生質疑。

關鍵點6：找個權威第三方來存證

聽說有專門的第三方電子數據存證機構，可以保存已簽署的電子合同數據，當用戶雙方對合同內容產生爭議時可申請出具具有公信力的證明。

合同簽署的最後一個問題：存儲問題也解決了！但唯一不足之處就是：簽署過程太麻煩！為保障電子合同有效性，我們用到了非對稱加密、哈希運算、時間戳等技術，還要CA機構、公證處等機構協助；

怎樣更簡單快捷地簽一份有效的電子合同呢？

關鍵點7：選擇可靠的第三方電子合同平台

根據《電子簽名法》規定，使用可靠的電子簽名簽署的電子合同具備與手寫簽字或蓋章的紙質合同同等的法律效力。

• 根據《電子簽名法》規定，符合下列條件的，視為可靠的電子簽名：

1）電子簽名製作數據用於電子簽名時，屬於電子簽名人專有

2）簽署時電子簽名製作數據僅由電子簽名人控制

3）簽署後對電子簽名的任何改動能夠被發現

4）簽署後對數據電文內容和形式的任何改動能夠被發現

結合上述電子合同簽署過程，我們可歸納總結有效的電子合同應關注以下幾個核心點：內容保密性、內容防篡改、明確簽訂身份、明確簽訂時間。

同時，為保障電子合同作為書面形式的證據能力，合同簽署全程還應當由權威第三方機構存儲公證。

商務部在《電子合同在線訂立流程規范》指出：「通過第三方（電子合同服務提供商）的電子合同訂立系統中訂立電子合同，才能保證其過程的公正性和結果的有效性」。

綜上，就是電子簽名各個環節中需涉及的實現原理。

10. 如何申請SM2/RSA雙演算法免費SSL證書

沃通提供國密SSL證書免費申請試用服務，一次申請可同時簽發SM2/RSA雙演算法證書，試用周期1個月，用於測試國密SM2 SSL證書的運行效果和SM2/RSA雙證書部署效果。

試用產品：SM2/RSA雙演算法證書(國密超快SSL V1證書、RSA超快SSL 證書)

申請鏈接：https://buy.wotrus.com/freetestv1

申請指南：國密SSL證書試用申請指南網頁鏈接

沃通國密超快SSL V1證書是提供給用戶測試試用的V1級別國密SSL證書，證書有效期1個月，參考國際標准中的DV級別身份驗證標准，並遵循國家標准GMT 0024-2014《SSL VPN技術規范》，支持SM2/SM3/SM4國密演算法和國密安全協議，採用國密演算法實現高強度SSL加密連接，通過自主可控的密碼技術，保護客戶端到伺服器之間的數據傳輸安全。

沃通國密超快SSL V1證書與沃通國密超真SSL V3、超安SSL V4證書遵循相同的國密技術標准，但身份驗證級別不同、簽發周期更短，方便用戶盡快獲取證書用於測試試用。配套提供的RSA DV SSL證書由全球信任頂級根簽發，支持所有瀏覽器和移動終端，證書有效期1個月。

產品特點：