证书密钥链

A. 什么是数字证书认证中心给用户频发的证书是信任链的起始点

B. 手机管理器中的密钥链，有什么作用

就是danxi手机资料出现，才使用这样的功能呢，其实稳定软件是没有问题的。

正常的进行管理着手机上的各项资料呢。

应用宝或者谷歌软件上的文件管理进行着资料管理着就好了。

比较稳定的来把资料管理着的呢。

正常的在手机上安装使用着软件还是很稳定的呢，就不需要上面那样的东西很麻烦的了。

设置下就正常的进行着管理呢。

C. 什么是数字证书的证书链

数字证书由颁发该证书的CA签名。多个证书可以绑定到一个信息或交易上形成证书链，证书链中每一个证书都由其前面的数字证书进行鉴别。最高级的CA必须是受接受者信任的、独立的机构。

D. 如何从KeyStore中获取证书链

这个文件的路径用右划线，keystoreFile="C:\ProgramFiles\Java\jdk1.6.0_02\jre\lib\security\server.keystore"

E. SSL教程：什么是SSL证书链

证书包含的内来容可以自概述为三部分，用户的信息、用户的公钥、还有CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候，会逐级去寻找签发者的证书，直至根证书为结束，然后通过公钥一级一级验证数字签名的正确性。
证书链(certificate chain)可以有任意环节的长度：CA证书包括根CA证书、二级CA证书（中间证书）、三级证书.....，以下是对证书链的图解：

F. 老师你好，在ssl证书中，cer是公钥证书，key是私钥证书，crt是证书链对吗

一、SSL证书文件

如图所示，就是一些SSL证书文件。上图带有root CA 字样的证书文件就是根证书， 然后带intermediate ca 字样的就是中间证书文件， 最后一个 ssl servercertificate 字样的证书即为证书文件。

了解认识SSL证书文件，才能更好的去安装SSL证书。虽然大部分时候直接安装证书文件，浏览器也会显示安全，但是由于一些浏览器会自动补齐证书链，但是证书链缺失的话，一些手机端或者部分浏览器可能会报不安全的提醒，所以在安装的时候建议安装完整的证书文件，补齐证书链。

二、SSL证书格式

在SSL证书源文件中你会发现有很多格式。不同的web服务器对于证书的格式是有要求的，接下来也带大家了解下不同格式的证书文件。

PEM：- Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.上述一般证书文件 ，中间证书和根证书，证书文件很多都是pem格式的。Apache和NIgnix服务器偏向于使用这种编码格式.

DER：这种格式也是常见的证书格式，跟pem类似，中间证书和根证书，证书文件很多都是DER的，Java和Windows服务器偏向于使用这种编码格式。

JKS ：jks是Java密钥库(KeyStore)比较常见的一种格式。一般可用通过cer 或者pem 格式的证书以及私钥的进行转化为jks格式，有密码保护。所以它是带有私钥的证书文件，一般用户tomcat环境的安装

PFX：pfx格式的证书 也是由cer 或者pem格式的证书文件以及私钥转化而来，所以该证书文件也是带有私钥的证书文件，一般用于iis 环境的证书安装。

G. 根证书，中间证书和底层证书怎么合并一个证书链

所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必回须有一个受答信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先根证书。

H. openssl证书生成工具如何生成证书链

2. 生成Root CA私钥与证书： .1 先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。 3. 生成二级CA 私钥与证书：（假如有两个二级CA， 分别负责管理服务器端和客户端证书） 3.1 先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。 3.2 先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。 4. 生成服务器端与客户端的私钥与证书： 4.1 先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成三级证书。 4.2 先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。 4.3 先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书 。。。。可以生成N个客户端证书证书结构：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...| 5. 导出RootCA的根证书、服务器端和客户端的私钥和证书。 导出时都使用pem格式。 RootCA.pem-------根证书（PEM ） ServerA.pem------服务器端证书（PEM with Certificate chain） ClientA.pem------客户端证书（PEM with Certificate chain） ClientB.pem------客户端证书（PEM with Certificate chain） ServerAKey.pem------服务器端私钥（PEM ） ClientAKey.pem------客户端私钥（PEM ） ClientBKey.pem------客户端私钥（PEM ） 6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能导入私钥，需要利用到weblogic 提供的一个工具，需要把weblogic.jar加到CLASSPATH。 6.1 生成服务器和客户端的信任证书库： keytool -import -alias rootca -file RootCA.pem -keystore trust.jks 6.2 生成服务器端身份密钥库： java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem 6.3 生成客户端身份密钥库： java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客户端身份密钥库 7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的证书链关系。

I. SSL中，公钥，私钥，证书的后缀名都是些啥

SSL证书后缀
CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
KEY– 通常用来存放一个RSA 公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
CRT– CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。本站提供的CRT格式等同于CER,等同于PEM。
PEM – Privacy Enhanced Mail的缩写，以文本的方式进行存储。打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是编码. 查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.
CER– 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
DER – Distinguished Encoding Rules的缩写，以二进制方式进行存储，文件结构无法直接预览，查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows服务器偏向于使用这种编码格式.
PFX/P12 – predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会,PFX通常会有一个”提取密码”,你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码？
JKS – 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫”keytool”的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS。

J. 请问BitLocker的证书是什么是加密时那个记录恢复密钥的TXT文件吗如果不是，那证书到哪里备份

EFS(加密文件系统)使用加密密钥对数据进行加密，加密密钥与证书绑定在一起。在Windows Vista中，首次加密计算机上的文件/文件夹后，Windows Vista将会自动为用户生成EFS证书，该证书与加密密钥相关联，EFS 使用该密钥来加密和解密数据。

需要再次强调的是，对EFS而言，其加密密钥始终链接到一个特定的加密证书，而一旦加密密钥受损比如说意外删除时，加密数据将无法读取，因此，为保护您的数据，在给文件/文件夹加密后，要注意将加密证书备份。

而当我们加密了某个文件后，该文件便只能被我们读取、操作，其他用户无法将其打开。那么，如果需要将加密文件共享，应该怎么办?是不是必须要将文件解密以未加密的方式才能共享呢?
当然不必。当要共享加密文件时，我们所要做的只是将待共享该文件的用户的加密证书添加到该文件中。而要实现这一点，需要首先取得对方的加密证书，因此，在讨论如何共享加密文件前，本节先来谈谈EFS证书的导出与导入。

EFS(加密文件系统)证书的导出

要实现文件的共享，首先需要加密文件的证书与密钥，这也即是说，要进入加密证书的导出过程。

1、在开始菜单搜索框中输入“CertMgr.msc”，打开“证书管理器”。这是一个触发UAC的操作，需要用户输入输入管理员密码或进行确认。
2、单击“个人”文件夹旁边的箭头将其展开，然后单击要导出的EFS 证书。
3、单击“操作”菜单，指向“所有任务”，然后单击“导出”。
4、在证书导出向导中，单击“下一步”。
5、单击“是，导出私钥”，然后单击“下一步”。
6、在“导出文件格式”页面上，选择“个人信息交换”，单击“下一步”。
7、键入要使用的密码，确认该密码，然后单击“下一步”。
8、导出过程将创建一个存储证书的文件。键入该文件的名称和位置(包括完整路径)。
9、单击“完成”。

EFS(加密文件系统)证书的导入

当获得 EFS 加密证书后，需要将该证书导入。

1、在开始菜单搜索框中输入“CertMgr.msc”，打开“证书管理器”。这是一个触发UAC的操作，需要用户输入输入管理员密码或进行确认。
2、选择“个人”文件夹。
3、单击“操作”菜单，指向“所有任务”，然后单击“导入”。
4、在证书导入向导中，单击“下一步”。
5、键入包含该证书的文件的位置，或者单击“浏览”，导航至该文件的位置，然后单击“下一步”。
6、输入该证书的密码，选中“标记此密钥为可导出的”复选框，然后单击“下一步”。
7、单击“将所有的证书放入下列存储区”，选择“个人”，然后单击“下一步”。