A. openssl证书生成工具如何生成证书链
2. 生成Root CA私钥与证书: .1 先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。 3. 生成二级CA 私钥与证书:(假如有两个二级CA, 分别负责管理服务器端和客户端证书) 3.1 先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。 3.2 先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。 4. 生成服务器端与客户端的私钥与证书: 4.1 先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成三级证书。 4.2 先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。 4.3 先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书 。。。。可以生成N个客户端证书证书结构:RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...| 5. 导出RootCA的根证书、服务器端和客户端的私钥和证书。 导出时都使用pem格式。 RootCA.pem-------根证书(PEM ) ServerA.pem------服务器端证书(PEM with Certificate chain) ClientA.pem------客户端证书(PEM with Certificate chain) ClientB.pem------客户端证书(PEM with Certificate chain) ServerAKey.pem------服务器端私钥(PEM ) ClientAKey.pem------客户端私钥(PEM ) ClientBKey.pem------客户端私钥(PEM ) 6.下面是最重要的一步:生成需要使用的JKS文件。keytool工具不能导入私钥,需要利用到weblogic 提供的一个工具,需要把weblogic.jar加到CLASSPATH。 6.1 生成服务器和客户端的信任证书库: keytool -import -alias rootca -file RootCA.pem -keystore trust.jks 6.2 生成服务器端身份密钥库: java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem 6.3 生成客户端身份密钥库: java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客户端身份密钥库 7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的证书链关系。
B. 根证书,中间证书和底层证书怎么合并一个证书链
所谓根证书,是CA认证中心与用户建立信任关系的基础,用户的数字证书必回须有一个受答信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故需要该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?答案就是根证书,根证书是一份特殊的证书,它的签发者是它本身,根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先根证书。
C. 什么叫证书链
证书链由两个环节组成—信任锚(CA 证书)环节和已签名证书环节。自我签名的证书仅有内一个环节的长度—容信任锚环节就是已签名证书本身。
证书链可以有任意环节的长度,所以在三节的链中,信任锚证书CA 环节可以对中间证书签名;中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以验证有效性,也可以用来构造这些信任链。
D. "证书链信息"是什么意思
证书链由两个环节组成—信任锚(ca
证书)环节和已签名证书环节。自我签内名的证书仅有一个环节的长度容—信任锚环节就是已签名证书本身。
证书链可以有任意环节的长度,所以在三节的链中,信任锚证书ca
环节可以对中间证书签名;中间证书的所有者可以用自己的私钥对另一个证书签名。certpath
api
可以用来遍历证书链以验证有效性,也可以用来构造这些信任链。
E. 怎么取得ca证书链啊
网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的专公钥和交易对象通信属,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行,验证需要包括以下的内容: ·证书完整性验证。即确认这个证书没有被别人篡改过。这项验证可以通过验证证书中CA的数字签名而完成。 ·证书可信性验证。即确认该证书是由一个可信的CA颁发的。为此验证者必须验证证书链,即从对方的CA信任域的底层开始,逐层向上查询,一直追溯到信任链的终点,通常是根CA为止,找到权威的根CA的签名,这才完成验证。(有关证书链的概念,可参阅《晨曦》07年第期知识园地“证书链是怎么回事”一文。) ·证书有效性验证。即确认该证书是否已经失效。 ·有关证书使用策略限制的验证。即确认证书的当前使用有没有超出证书中规定的策略限制。t=10955
F. openssl 怎么生成证书链
使用VS2005下的Visual Studio 2005 Command Prompt进入控制台模式(这个模式会自动设置各种环境变量)
、解压缩openssl的包,进入openssl的目录
、perl configure VC-WIN32
尽量在这个目录下执行该命令,否则找不到Configure文件,或者指定完整的Configure文件路径。
、ms\do_ms
在解压目录下执行ms\do_ms命令
、nmake -f ms\ntdll.mak编译后在openssl解压目录下执行,完成编译后。输出的文件在out32dll里面,包括应用程序的可执行文件、lib文件和dll文件
注意:在运行第五步时,cl编译器会抱怨说.\crypto\des\enc_read.c文件的read是The POSIX name for this item is deprecated(不被推荐的),建议使用_read。呵呵,我可不想将OpenSSL中的所有的read函数修改为_read。再看cl的错误代码 error C2220,于是上MSDN上查找:
warning treated as error - no object file generated
/WX tells the compiler to treat all warnings as errors. Since an error occurred, no object or executable file was generated.
是由于设置了/WX选项,将所有的警告都作为错误对待,所以。。。
于是打开OpenSSL目录下的MS目录下的ntdll.mak文件,将CFLAG的/WX选项去掉,存盘。
G. 什么是数字证书的证书链
数字证书由颁发该证书的CA签名。多个证书可以绑定到一个信息或交易上形成证书链,证书链中每一个证书都由其前面的数字证书进行鉴别。最高级的CA必须是受接受者信任的、独立的机构。
H. SSL教程:什么是SSL证书链
证书包含的内来容可以自概述为三部分,用户的信息、用户的公钥、还有CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候,会逐级去寻找签发者的证书,直至根证书为结束,然后通过公钥一级一级验证数字签名的正确性。
证书链(certificate chain)可以有任意环节的长度:CA证书包括根CA证书、二级CA证书(中间证书)、三级证书.....,以下是对证书链的图解:
I. 什么是数字证书它有什么作用如何为浏览器申请证书,请写出详细过程
1.数字证书基本功能
数字证书,是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
从证书的用途来看,数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名,以保证信息完整性和行为的不可抵赖;加密证书主要用于对用户传送信息进行加密,以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。
身份认证
在各应用系统中,常常需要完成对使用者的身份认证,以确定谁在使用系统,可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系,其中,利用数字证书完成身份认证是其中最安全有效的一种技术手段。
利用数字证书完成身份认证,被认证方(甲)必须先到相关数字证书运营机构申请数字证书,然后才能向应用系统认证方(乙)提交证书,完成身份认证。
通常,使用数字证书的身份认证流程如下图所示:
被认证方(甲),使用自己的签名私钥,对随机数进行加密;
被认证方(甲)将自己的签名证书和密文发送给认证方(乙);
乙验证甲所提供的签名证书的有效期、证书链,并完成黑名单检查,失败则放弃;
有效期、证书链和黑名单验证通过后,乙即使用甲的签名证书对甲所提供的密文进行解密,成功则表明可以接受由甲提交的签名证书所申明的身份。
在上述流程中,步骤3描述的是对证书本身的验证,依次分别验证有效期、证书链和黑名单,某个步骤如果验证失败,则验证流程立即终止,不必再执行下一个验证。同时,有效期、证书链和黑名单的依次验证顺序是最合理的顺序,能够让验证流程达到最佳性能。
通过步骤3的验证后,甲所提交的证书可以得到验证,但这与甲本身是否和该证书所申明的实体相等没有必然联系,甲必须表明其是这个签名证书对应的唯一私钥的拥有者。因此,当步骤4执行成功后,即该签名证书能够解密,则说明甲拥有该私钥,从而完成了对甲所申明身份的认证。
上面具体描述的是单向认证,即只有乙认证甲的身份,而甲没有认证乙的身份。单向认证不是完善的安全措施,诚实可信的用户甲可能会碰到类似“钓鱼网站”的欺骗。因此在需要高度安全的应用环境中,还需要实现双向认证。即乙也需要向甲提供其签名证书,由甲来完成上述验证流程,以确认乙的身份。如下图。
数字签名
数字签名是数字证书的重要应用功能之一,所谓数字签名是指证书用户(甲)用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者(乙)使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要,并对收到的原始数据采用相同的杂凑算法计算其消息摘要,将二者进行对比,即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护,和传送数据行为不可抵赖性的保护。
使用数字证书完成数字签名功能,需要向相关数字证书运营机构申请具备数字签名功能的数字证书,然后才能在业务过程中使用数字证书的签名功能。
通常,使用数字证书的签名和验证数字证书签名的流程如图所示:
签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要;
甲使用其签名私钥对摘要进行加密,得到密文;
甲将密文、明文和签名证书发送给签名验证方乙;
乙一方面将甲发送的密文通过甲的签名证书解密得到摘要,另一方面将明文采用相同的杂凑算法计算出摘要;
乙对比两个摘要,如果相同,则可以确认明文在传输过程中没有被更改,并且信息是由证书所申明身份的实体发送的。
如果需要确认甲的身份是否和证书所申明的身份一致,则需要执行身份认证过程,如前一节所述。
在上述流程中,签名私钥配合杂凑算法的使用,可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为,提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认,需要通过身份认证过程明确。
数字信封
数字信封是数字证书另一个重要应用功能,其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。
数字信封中采用了对称密码机制和公钥密码机制。信息发送者(甲)首先利用随机产生的对称密钥对信息进行加密,再利用接收方(乙)的公钥加密对称密钥,被公钥加密后的对称密钥被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密钥,才能利用对称密钥解密所得到的信息。通过数字信封可以指定数据接收者,并保证数据传递过程的机密性。
使用数字证书完成数字信封功能,需要向相关数字证书运营机构申请具备加密功能的数字证书,然后才能在业务过程中使用数字证书的数字信封功能。
通常,数字信封和数字信封拆解的流程如图所示:
信息发送方(甲)生成对称密钥;
甲使用对称密钥对需要发送的信息执行加密,得到密文;
甲使用信息接收方(乙)的加密证书中的公钥,加密对称密钥,得到数字信封;
甲将密文和数字信封发送给乙;
乙使用自己的加密私钥拆解数字信封,得到对称密钥;
乙使用对称密钥解密密文,得到明文。
在上述流程中,信息发送方(甲)对用于加密明文信息的对称密钥使用接收方(乙)的加密证书进行加密得到数字信封,利用私钥的唯一性保证只有拥有对应私钥的乙才能拆解数字信封,从而阅读明文信息。据此,甲可以确认只有乙才能阅读信息,乙可以确认信息在传递过程中保持机密。
1、证书申请
CFCA授权的证书的注册审核机构(Registration Authority,简称RA)(各商业银行、证券公司等机构),面向最终用户,负责接受各自的持卡人和商户的证书申请并进行资格审核,具体的证书审批方式和流程由各授权审核机构规定。
证书申请表直接到RA处领取。
2、证书审批
经审批后,RA将审核通过的证书申请信息发送给CFCA,由CFCA签发证书。
● 系统--CFCA将同时产生的二个码(参考号、授权码)发送到RA系统。为安全起见,RA采用两种途径将以上两个码交到证书申请者手中: RA管理员将其中授权码打印在密码信封里当面交给证书申请者;将参考号发送到证书申请者的电子邮箱里。
● SET系统--持卡人/商户到RA各网点直接领取专用密码信封。
3、证书发放/下载
CA签发的证书格式符合X.509 V3标准。具体的证书发放方式各个RA的规定有所不同。可以登陆CFCF网站http://www.cfca.com.cn联机下载证书或者到银行领取。
4、证书生成
证书在本地生成,证书由CFCA颁发,用户私钥由客户自己保管