公鑰公鑰證書

『壹』 公鑰證書的證書使用

因為證書通常用來為實現安全的信息交換建立身份並創建信任，所以證書頒發機構 (CA) 可以把證書頒發給人員、設備（例如計算機）和計算機上運行的服務（例如 IPSec）。
某些情況下，計算機必須能夠在高度信任涉及交易的其他設備、服務或個人的身份的情況下進行信息交換。某些情況下，人們需要在高度信任涉及交易的其他設備、服務或個人的身份的情況下進行信息交換。運行在計算機上的應用程序和服務也頻繁地需要確認它們正在訪問的信息來自可信任的信息源。
當兩個實體（例如設備、個人、應用程序或服務）試圖建立身份和信任時，如果兩個實體都信任相同的證書頒發機構，就能夠在它們之間實現身份和信任的結合。一旦證書主題已呈現由受信任的 CA 所頒發的證書，那麼，通過將證書主題的證書存儲在它自己的證書存儲區中，並且（如果適用）使用包含在證書中的公鑰來加密會話密鑰以便所有與證書主題隨後進行的通訊都是安全的，試圖建立信任的實體就可以繼續進行信息交換，。
例如，使用 Internet 進行聯機銀行業務時，知道您的 Web 瀏覽器正在與銀行的 Web 伺服器直接和安全地通訊就是很重要的。在發生安全的交易之前，您的 Web 瀏覽器必須能夠簽定 Web 伺服器的身份。就是說，進行交易之前，Web 伺服器必須能夠向您的 Web 瀏覽器證明它的身份。Microsoft Internet Explorer 使用安全套接字層 (SSL) 來加密消息並在 Internet 上安全地傳輸它們，而大多數其他新式 Web 瀏覽器和 Web 伺服器也使用該技術。
當您使用啟用 SSL 的瀏覽器連接到聯機銀行的 Web 伺服器時，如果該伺服器擁有證書頒發機構（例如 Verisign）頒發的伺服器證書，那麼將發生如下事件：
您使用 Web 瀏覽器訪問銀行的安全聯機銀行登錄網頁。如果使用的是 Internet Explorer，一個鎖形圖標將出現在瀏覽器狀態欄的右下角，以表示瀏覽器連接到的是安全 Web 站點。其他瀏覽器以其他方式表示安全連接。
銀行的 Web 伺服器將伺服器證書自動地發送到您的 Web 瀏覽器。
為了驗證 Web 伺服器的身份，您的 Web 瀏覽器將檢查您計算機中的證書存儲區。如果向銀行頒發證書的證書頒發機構是可信任的，則交易可以繼續，並且將把銀行證書存儲在您的證書存儲區中。
要加密與銀行 Web 伺服器的所有通訊，您的 Web 瀏覽器可創建唯一的會話密鑰。您的 Web 瀏覽器用銀行 Web 伺服器證書來加密該會話密鑰，以便只有銀行 Web 伺服器可以讀取您的瀏覽器所發送的消息。（這些消息中的一部分將包含您的登錄名和密碼以及其他敏感信息，所以該等級的安全性是必需的。）
建立安全會話，並且在您的 Web 瀏覽器和銀行的 Web 伺服器之間以安全方式發送敏感信息。
詳細信息，請參閱證書安全性
當您將軟體代碼從 Internet 下載、從公司 intranet 上安裝、或者購買光碟並安裝在計算機上時，還可以用證書來確認在這些軟體代碼的真實性。無簽名軟體（沒有有效的軟體發布商證書的軟體）可以威脅到計算機和存儲在計算機上的信息。
如果用信任的證書頒發機構所頒發的有效證書對軟體進行了簽名，您就知道軟體代碼沒有被篡改，可以安全安裝在計算機上。在軟體安裝期間，系統會提示您確認是否信任軟體製造商（例如，Microsoft Corporation）。您還可以看到其他選項，問您是否始終信任來自特定軟體製造商的軟體內容。如果您選擇信任該製造商的內容，那麼他們的證書將存入您的證書存儲區，並且它們的其他軟體產品就可以在預定義的信任環境下安裝到您的計算機。在預定義信任的環境中，您可以安裝製造商的軟體，而不會被提示是否信任它們，因為您的計算機上的證書已聲明您信任該軟體的製造商。
與其他證書一樣，這些用來確認軟體真實性和軟體發布商身份的證書可還以用於其他目的。例如，如果把「證書」管理單元設置為按目的查看證書，則「代碼簽名」文件夾可能包含由 Microsoft Root Authority 頒發給 Microsoft Windows Hardware Compatibility 的證書。這個證書有三個目的：
確保軟體來自該軟體發布商
保護軟體在發布之後不發生改變
提供 Windows 硬體驅動程序確認

『貳』 公鑰證書的證書

可以為各種功能頒發證書，例如 Web 用戶身份驗證、Web 伺服器身份驗證、安全電子郵件（安全/多用途 Internet 郵件擴展 (S/MIME)）、Internet 協議安全 (IPSec)、傳輸層安全 (TLS)以及和代碼簽名。證書還可以從一個證書頒發機構(CA) 頒發給另一個證書頒發機構，以便創建證書層次結構。
接收證書的實體是證書的「主題」。證書的頒發者和簽名者是證書頒發機構。
通常，證書包含以下信息：
主體的公鑰值
主體標識符信息（如名稱和電子郵件地址）
有效期（證書的有效時間）
頒發者標識符信息
頒發者的數字簽名，用來證實主題的公鑰和主題的標識符信息之間綁定關系的有效性
證書只有在指定的期限內才有效；每個證書都包含有效期的起止日期，它們是有效期的界限。一旦到了證書的有效期，到期證書的主題就必須申請一個新的證書。
某些情況下有必要撤消證書中所聲明的綁定關系，這時，可以由頒發者吊銷該證書。每個頒發者維護一個證書吊銷列表，程序可以使用該列表檢查任意給定證書的有效性。
證書的主要好處之一是主機不必再為單個主題維護一套密碼，這些單個主題進行訪問的先決條件的是需要通過身份驗證。相反，主機只需在證書頒發者中建立信任。
當主機（如安全 Web 伺服器）指派某個頒發者為受信任的根頒發機構時，主機實際上是信任該頒發者過去常用來建立所頒發證書的綁定關系的策略。事實上，主機信任頒發者已經驗證了證書主體的身份。主機通過將包含頒發者公鑰的頒發者自簽名證書放到主機的受信任根證書頒發機構的證書存儲區，將該頒發者指定為受信任的根頒發機構。中間的或從屬的證書頒發機構受到信任的條件是，他們擁有受信任根證書頒發機構的有效證書路徑。
有關證書的詳細信息，請參閱理解證書。

『叄』 老師你好，在ssl證書中，cer是公鑰證書，key是私鑰證書，crt是證書鏈對嗎

一、SSL證書文件

如圖所示，就是一些SSL證書文件。上圖帶有root CA 字樣的證書文件就是根證書， 然後帶intermediate ca 字樣的就是中間證書文件， 最後一個 ssl servercertificate 字樣的證書即為證書文件。

了解認識SSL證書文件，才能更好的去安裝SSL證書。雖然大部分時候直接安裝證書文件，瀏覽器也會顯示安全，但是由於一些瀏覽器會自動補齊證書鏈，但是證書鏈缺失的話，一些手機端或者部分瀏覽器可能會報不安全的提醒，所以在安裝的時候建議安裝完整的證書文件，補齊證書鏈。

二、SSL證書格式

在SSL證書源文件中你會發現有很多格式。不同的web伺服器對於證書的格式是有要求的，接下來也帶大家了解下不同格式的證書文件。

PEM：- Privacy Enhanced Mail,打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是BASE64編碼.上述一般證書文件 ，中間證書和根證書，證書文件很多都是pem格式的。Apache和NIgnix伺服器偏向於使用這種編碼格式.

DER：這種格式也是常見的證書格式，跟pem類似，中間證書和根證書，證書文件很多都是DER的，Java和Windows伺服器偏向於使用這種編碼格式。

JKS ：jks是Java密鑰庫(KeyStore)比較常見的一種格式。一般可用通過cer 或者pem 格式的證書以及私鑰的進行轉化為jks格式，有密碼保護。所以它是帶有私鑰的證書文件，一般用戶tomcat環境的安裝

PFX：pfx格式的證書 也是由cer 或者pem格式的證書文件以及私鑰轉化而來，所以該證書文件也是帶有私鑰的證書文件，一般用於iis 環境的證書安裝。

『肆』 什麼是公鑰證書

所謂的公鑰認證，實際上是使用一對加密字元串，一個稱為公鑰(public key)，任何人都可以看到其內容，用於加密；另一個稱為密鑰(private key)，只有擁有者才能看到，用於解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但根據公鑰來猜測密鑰卻十分困難。

ssh 的公鑰認證就是使用了這一特性。伺服器和客戶端都各自擁有自己的公鑰和密鑰。為了說明方便，以下將使用這些符號。

Ac 客戶端公鑰
Bc 客戶端密鑰
As 伺服器公鑰
Bs 伺服器密鑰

在認證之前，客戶端需要通過某種方法將公鑰 Ac 登錄到伺服器上。

認證過程分為兩個步驟。

會話密鑰(session key)生成
客戶端請求連接伺服器，伺服器將 As 發送給客戶端。
伺服器生成會話ID(session id)，設為 p，發送給客戶端。
客戶端生成會話密鑰(session key)，設為 q，並計算 r = p xor q。
客戶端將 r 用 As 進行加密，結果發送給伺服器。
伺服器用 Bs 進行解密，獲得 r。
伺服器進行 r xor p 的運算，獲得 q。
至此伺服器和客戶端都知道了會話密鑰q，以後的傳輸都將被 q 加密。
認證
伺服器生成隨機數 x，並用 Ac 加密後生成結果 S(x)，發送給客戶端
客戶端使用 Bc 解密 S(x) 得到 x
客戶端計算 q + x 的 md5 值 n(q+x)，q為上一步得到的會話密鑰
伺服器計算 q + x 的 md5 值 m(q+x)
客戶端將 n(q+x) 發送給伺服器
伺服器比較 m(q+x) 和 n(q+x)，兩者相同則認證成功

『伍』 ca如何產生公鑰證書

CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，並對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。。
CA 也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。
如果用戶想得到一份屬於自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份後，便為他分配一個公鑰，並且 CA 將該公鑰與申請者的身份信息綁在一起，並為之簽字後，便形成證書發給申請者。
如果一個用戶想鑒別另一個證書的真偽，他就用 CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。

證書

證書實際是由證書簽證機關（CA）簽發的對用戶的公鑰的認證。

證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509 國際標准。

加密：

我們將文字轉換成不能直接閱讀的形式（即密文）的過程稱為加密。

解密：

我們將密文轉換成能夠直接閱讀的文字（即明文）的過程稱為解密。

如何在電子文檔上實現簽名的目的呢？我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名，方法如下：
信息發送者用其私鑰對從所傳報文中提取出的特徵數據（或稱數字指紋）進行RSA演算法操作，以保證發信人無法抵賴曾發過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文後，就可以用發送者的公鑰對數字簽名進行驗證。

在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數) 生成的。對這些HASH函數的特殊要求是：

1．接受的輸入報文數據沒有長度限制；
2．對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出；
3．從報文能方便地算出摘要；
4．難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；
5．難以生成兩個不同的報文具有相同的摘要。

驗證：

收方在收到信息後用如下的步驟驗證您的簽名：

1．使用自己的私鑰將信息轉為明文；
2．使用發信方的公鑰從數字簽名部分得到原摘要；
3．收方對您所發送的源信息進行hash運算，也產生一個摘要；
4．收方比較兩個摘要，如果兩者相同，則可以證明信息簽名者的身份。

如果兩摘要內容不符，會說明什麼原因呢？
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰，這就表明信息的簽名者不可信；也可能收到的信息根本就不是簽名者發送的信息，信息在傳輸過程中已經遭到破壞或篡改。

數字證書：

答: 數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中，使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真偽實現對證書持有者身份的認證。

使用數字證書能做什麼?

數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之於眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件，發送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發件人的身份，發送者要用自己的私鑰對信件進行簽名；收件人可使用發送者的公鑰對簽名進行驗證，以確認發送者的身份。
在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現，電子郵件、在線交易和信用卡購物的安全才能得到保證。

認證、數字證書和PKI解決的幾個問題?

保密性 - 只有收件人才能閱讀信息。
認證性 - 確認信息發送者的身份。
完整性 - 信息在傳遞過程中不會被篡改。
不可抵賴性 - 發送者不能否認已發送的信息。

『陸』 誰能講講根證書 公鑰 CA的概念

電子商務認證授權機構（CA, Certificate Authority），也稱為電子商務認證中心，是負責發放和回管理數字證書的權威機答構，並作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，並對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。。
CA 也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。
CA認證
如果用戶想得到一份屬於自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份後，便為他分配一個公鑰，並且 CA 將該公鑰與申請者的身份信息綁在一起，並為之簽字後，便形成證書發給申請者。
如果一個用戶想鑒別另一個證書的真偽，他就用 CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。

『柒』 公鑰證書的介紹

公鑰證書，通常簡稱為證書，是一種數字簽名的聲明，它將公鑰的值綁定到持有對應私鑰的個人、設備或服務的身份。大多數普通用途的證書基於 X.509v3 證書標准。要了解關於公鑰加密的更多信息，請參閱資源：公用密鑰結構。

『捌』 SSL中，公鑰，私鑰，證書的後綴名都是些啥

1_root_bundle.crt是根證書鏈(公鑰)
2_ domainname.com.key為私鑰
其中：證書公鑰、私鑰文件一般以域名命名;證書後綴名crt和cer

『玖』 私鑰、公鑰、證書的區別和關系

私鑰是要求你輸入個人密碼才可訪問的，一般網上銀行之類可用到。
公鑰不要求設專置密碼，是已屬經默認了的，一般上一些安全性要求不高的網站或共享資源，如區域網。
證書是一種網站加密瀏覽方式，只有允許了才可訪問，一般為安全性較高的網站，如網上銀行；可以訪止黑客盜取客戶資料。