生产证书链

① 如何从KeyStore中获取证书链

这个文件的路径用右划线，keystoreFile="C:\ProgramFiles\Java\jdk1.6.0_02\jre\lib\security\server.keystore"

② "证书链信息"是什么意思

证书链由两个环节组成—信任锚（ca
证书）环节和已签名证书环节。自我签内名的证书仅有一个环节的长度容—信任锚环节就是已签名证书本身。
证书链可以有任意环节的长度，所以在三节的链中，信任锚证书ca
环节可以对中间证书签名；中间证书的所有者可以用自己的私钥对另一个证书签名。certpath
api
可以用来遍历证书链以验证有效性，也可以用来构造这些信任链。

③ openssl证书生成工具如何生成证书链

2. 生成Root CA私钥与证书： .1 先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。 3. 生成二级CA 私钥与证书：（假如有两个二级CA， 分别负责管理服务器端和客户端证书） 3.1 先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。 3.2 先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。 4. 生成服务器端与客户端的私钥与证书： 4.1 先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成三级证书。 4.2 先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。 4.3 先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书 。。。。可以生成N个客户端证书证书结构：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...| 5. 导出RootCA的根证书、服务器端和客户端的私钥和证书。 导出时都使用pem格式。 RootCA.pem-------根证书（PEM ） ServerA.pem------服务器端证书（PEM with Certificate chain） ClientA.pem------客户端证书（PEM with Certificate chain） ClientB.pem------客户端证书（PEM with Certificate chain） ServerAKey.pem------服务器端私钥（PEM ） ClientAKey.pem------客户端私钥（PEM ） ClientBKey.pem------客户端私钥（PEM ） 6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能导入私钥，需要利用到weblogic 提供的一个工具，需要把weblogic.jar加到CLASSPATH。 6.1 生成服务器和客户端的信任证书库： keytool -import -alias rootca -file RootCA.pem -keystore trust.jks 6.2 生成服务器端身份密钥库： java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem 6.3 生成客户端身份密钥库： java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客户端身份密钥库 7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的证书链关系。

④ 什么是数字证书的证书链

数字证书由颁发该证书的CA签名。多个证书可以绑定到一个信息或交易上形成证书链，证书链中每一个证书都由其前面的数字证书进行鉴别。最高级的CA必须是受接受者信任的、独立的机构。

⑤ 根证书，中间证书和底层证书怎么合并一个证书链

所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必回须有一个受答信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先根证书。

⑥ SSL教程：什么是SSL证书链

证书包含的内来容可以自概述为三部分，用户的信息、用户的公钥、还有CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候，会逐级去寻找签发者的证书，直至根证书为结束，然后通过公钥一级一级验证数字签名的正确性。
证书链(certificate chain)可以有任意环节的长度：CA证书包括根CA证书、二级CA证书（中间证书）、三级证书.....，以下是对证书链的图解：

⑦ 什么叫证书链

证书链由两个环节组成—信任锚（CA 证书）环节和已签名证书环节。自我签名的证书仅有内一个环节的长度—容信任锚环节就是已签名证书本身。
证书链可以有任意环节的长度，所以在三节的链中，信任锚证书CA 环节可以对中间证书签名；中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以验证有效性，也可以用来构造这些信任链。

⑧ 【求助】每次打开百付宝的网址都显示证书错误，所有浏览器都一样

如果你使用WindowsXP + IE7，使用网银无法给百付宝充值，充值时出现以下提示：

“此网站的安全证书有问题，该网站提供的安全证书不是由受信任的证书办法机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据”

同时浏览器上方出现一行提示让你下载安装ActiveX控件，但是安装后依然会出现以下提示：“数据元素个人的签名数据（base64编码不能为空）”

如果你打开IE－》工具－》Internet选项－》内容－》证书，你会发现有个证书，Windows给出的提示是：windows没有足够的信息，不能验证该证书。

你可以试试以下的解决方案。

（我用的中信加强版网银，WindowsXP，IE7，无法给百付宝充值，用此法解决掉的）

1.到http://www.cfca.com.cn/（中国金融认证中心）去下载证书链。

首页左上方有一个“证书链下载”，在生产系统证书链右边有一个“证书链安装包”，把他下载下来解压缩得到一个执行文件CFCAChain.exe。

你可以在这里直接下载：http://www.cfca.com.cn/file/CFCAChain.rar

2.执行CFCAChain.exe,按照屏幕提示安装，一般就是点下一步，确定，完成之类的，我记不太清了。

3.关掉所有的IE窗口，然后重新打开。

4.打开IE－》工具－》Internet选项－》内容－》证书，找到原来有问题的证书，（这个证书可能到了“其它”类里。）你会发现Windows现在的提示是：所有应用程序策略。

这表示这个证书已经被认证了。再进行网银支付就没有问题了

⑨ openssl 怎么生成证书链

使用VS2005下的Visual Studio 2005 Command Prompt进入控制台模式（这个模式会自动设置各种环境变量）
、解压缩openssl的包,进入openssl的目录
、perl configure VC-WIN32
尽量在这个目录下执行该命令，否则找不到Configure文件，或者指定完整的Configure文件路径。
、ms\do_ms
在解压目录下执行ms\do_ms命令
、nmake -f ms\ntdll.mak编译后在openssl解压目录下执行，完成编译后。输出的文件在out32dll里面，包括应用程序的可执行文件、lib文件和dll文件
注意：在运行第五步时，cl编译器会抱怨说.\crypto\des\enc_read.c文件的read是The POSIX name for this item is deprecated（不被推荐的），建议使用_read。呵呵，我可不想将OpenSSL中的所有的read函数修改为_read。再看cl的错误代码 error C2220，于是上MSDN上查找：
warning treated as error - no object file generated
/WX tells the compiler to treat all warnings as errors. Since an error occurred, no object or executable file was generated.
是由于设置了/WX选项，将所有的警告都作为错误对待，所以。。。
于是打开OpenSSL目录下的MS目录下的ntdll.mak文件，将CFLAG的/WX选项去掉，存盘。