双证书加密

1. 部署SSL双证书有哪些作用

您好来！
双证数字是指：自ECC和RSA两种签名SSL证书，我们常见的是RSA证书比较普遍，因为他的兼容性比较大很实用。ECC证书速度比较快，缺点老款的浏览器不支持。所以为了让用户浏览速度的提升，有的网站会注册两款不同加密类型的证书并且一起部署，从而增加用户体验。
同一服务器上同时部署两张不同品牌的SSL证书，主备证书同时在线，双重保障更可靠。其中一个品牌的SSL证书出现运营或安全事故时，另一张证书可保障网站认证服务的连续性。

2. 如何给自己重要的文档文件加密或者签名

我国的《电子签名法》已经明确了可靠电子签名的法律效力等于与手写签字和单位盖章，这个可靠的电子签名指的就是数字签名。数字签名是使用数字证书来验证签名者的身份，并通过密码算法将签名者身份绑定到文档中来证明签名行为的不可否认，已签名文档无需包含签名过程审计报告，签名者的身份验证则由证书颁发机构(CA)或信任服务提供商(TSP)完成。

文档签名只是解决了文档发布者的身份可信和防止被非法篡改的问题，但是对于机密文档，还需要用证书加密，确保即使电子文档被泄密，由于无法获得加密证书而无法解密，从而保证了文档的安全，这也就是为何GDPR第34条说的只要加密的，出现数据泄露事件也可以减轻责任。
密信App会自动为每一个用户自动配置签名证书用于数字签名。独创的双证书双算法双时间戳对同一文档进行数字签名确保了已数字签名的文件是国密合规和全球信任的，不仅证明每次合同签署和文档签名的可信时间，而且支持Adobe LTV(签名长期有效)，确保已签署的合同文件和文档即使签名证书过期而签名仍然长期有效。
用户在使用密信App签名文档时会提示用户是否需要加密此文档，用户可以选择：不加密、仅用自己的证书加密只能自己阅读、用指定人员的证书加密文档使得该文档只有这些用户才能正常阅读此文档。此加密功能能有效地防止机密文档泄密，但又不影响有权阅读此文档的人员无感解密阅读此文档。无感解密的意思是有权阅读者可以直接使用Adobe阅读器正常打开阅读，根本觉察不到此文档已加密，由Adobe阅读器自动用加密证书解密。但是无权阅读者则在打开此文档时Adobe阅读器会提示“此文档数字证书加密，但不存在用于解密的数字证书。”等告警信息。

3. 什么是SSL双证书

您好！
双证数字是指：ECC和RSA两种签名SSL证书，我们常见的是RSA证书比较普遍专，因为他的兼容性比属较大很实用。ECC证书速度比较快，缺点老款的浏览器不支持。所以为了让用户浏览速度的提升，有的网站会注册两款不同加密类型的证书并且一起部署，从而增加用户体验。
同一服务器上同时部署两张不同品牌的SSL证书，主备证书同时在线，双重保障更可靠。其中一个品牌的SSL证书出现运营或安全事故时，另一张证书可保障网站认证服务的连续性。

4. 电子合同中的数字签名防篡改，有什么原理

这里我们举个例子来说明数字签名的原理：假设甲公司要给乙公司发送一份机密的文件，那么这次传输需要确保以下几点：

1、文件内容不能被读取————（方案：加密）

2、只有乙公司能接收—————（方案：数字信封）

3、证明发送方是甲公司————（方案：数字签名）

4、文件内容不能被篡改————（方案：对比摘要）

5、文件不能被调包——————（方案：数字证书）

由于对称加密的高效性，对文件的加密处理，通常采用对称加密方案。对称加密需要用同一份密钥，这一份密钥的约定就有被中途截获的可能。

因此可以采用非对称加密算法加密对称密钥的方式来加密内容，也就是“用接收方的公钥加密对称密钥”，这就叫“给乙的数字信封”，并用这个对称密钥加密文件内容。

假设这份文件被黑客截获，但是黑客没有乙的私钥无法解出对称密钥，也就无法解密文件内容。但是这里还有个风险，虽然黑客无法解密文件内容，但他可以自己生成一份密钥并用乙的公钥加密，再用这份密钥加密一份伪造的文件发给乙，这种情况下乙收到的就是被假冒的文件。

这个问题就需要使用数字签名的方式来解决。

也就是说使用数字签名可以确保乙的身份真实、签署后的文档不可修改、签署行为不可抵赖。数字签名技术是目前最符合可靠电子签名要求、应用最普遍、可操作性最强的技术之一。

数字签名就是用摘要算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

甲在发送文件时再附带上源文件的数字签名。如果被黑客截取到加密后的文件和数字签名，黑客即使使用甲的公钥解出了文件摘要，由于摘要算法的特性黑客也无法还原出原始内容。但乙可以解密出文件内容再用同样的摘要算法提取出摘要来和数字签名里的摘要进行比对，摘要一致则说明文件没有被篡改过。

5. 什么是SSL双证书

同时支持ECC、RSA两种类型的SSL证书，需要申请2本SSL证书，并且使用不同的算法。
两本SSL证书配置到同一台服务器使用，这种情况下支持ECC浏览器的会自动访问。
SSL证书可以在Gworg进行申请，可以同时申请RSA与ECC证书。

6. 签电子合同时电子签名是怎么保证安全的

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。

但是，通过上述技术名词解释并不能直观、易懂的说明电子签名的原理，以下是通过还原电子签名签署的过程简介电子签名是如何保证安全保密的：

场景：由于业务需要，你和我需要签署一份合作协议。为方便起见，你将拟好的电子版合同文本在线发送给我签署。

怎样确保合同只有我可查看且不被他人恶意窃取？我又怎样才能确定文件的发送人就是你呢？

关键点1：公钥私钥登场

为了满足电子合同内容保密性和发送人认证的要求，我们了解到非对称加密的加密方式。

非对称加密：具有唯一对应的一对秘钥，一个公钥一个私钥，公钥所有人可见，而私钥仅自己可见。

非对称加密具有这样的特性：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。

发送合同时，你将拟好的电子合同使用自己的私钥加密后发送；接收合同时，如果能够使用你的公钥解密，则说明这份文件就是你发送的。

但是，我怎么才能知道你的公钥呢？

关键点2：政府出了个CA来帮忙

我了解到，政府授权了一个权威机构叫CA，可以提供网络身份认证的服务。

CA (Certificate Authority) ：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为： 产生密钥对、生成数字证书、分发密钥、密钥管理等。

数字证书：是由CA机构颁发的证明，它包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息，可以通俗为理解个人或企业在“网络身份证”。

我向CA机构申请获取你的公钥，使用它对电子合同解密，解密成功则说明发送人就是你。文件发送人的身份确认了，那怎么保障电子合同传输过程中未被篡改呢？

关键点3：哈希兄弟出场

有技术人员推荐了哈希算法（摘要算法），可以证明电子合同传输过程中是否被篡改。

哈希算法：通过加密算法将文本内容生成为一段代码，即信息摘要，其主要特征是加密过程不需要密钥，经加密的数据无法被反向还原。也就是说，只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。

发送合同时，你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时，通过对合同原文进行同样的哈希运算得到新的摘要，对比两组摘要是否一致即可证明我接收的文件是否被篡改

但是，如果传输过程中文件原文与摘要同时被替换了怎么办？

关键点4：对称加密来帮忙

除了上述的哈希算法、非对称加密、CA，为确保合同由发送到接收满足三个要求，即：由你发送、只能发给我、不能被篡改，我们还需要应用新的加密方式：对称加密。

对称加密：采用单钥密码系统的加密方法，信息的加密和解密只能使用同一个密码。

发送文件时：

1、你通过哈希运算得到原文摘要并使用私钥对其加密，得到你的数字签名，再将数字签名和合同原文进行对称加密，得到密文A——对原文加密

2、再通过CA获得我的公钥，对上述步骤中对称加密的秘钥进行非对称加密，即我的“数字信封”——对秘钥加密

3、将密文A和我的数字信封一起发送给我

数字签名：用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

数字信封：用接收方的公钥加密对称秘钥”，这就叫“给乙的数字信封。

接收文件时：

1、我使用自己的私钥解密数字信封得到对称秘钥——能解开，说明是发给我的

2、再使用对称秘钥解密密文A，得到带有你的数字签名的原文

3、使用你的公钥解密你的数字签名，得到签名中的原文摘要——能解开，说明发送者是你

4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致，则说明原文没有被篡改

除了文件内容不可篡改，精确记录签署时间固定合同生效期限也十分重要，网络环境中怎样怎么确保合同签署时间不可篡改呢？

关键点5：时间戳来证明

我又请教了专家，原来我们国家还有专门确定时间的法定授时中心，它可以在我们签署的文件上加盖“时间印迹”，即时间戳。

时间戳（time-stamp）：书面签署文件的时间是由签署人自己写上，而数字时间戳则由第三方认证单位（DTS）添加，以DTS收到文件的时间为依据，更精准、更有公信力。

至此，我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效，这下没问题了！但是，签署完的电子合同怎么存储呢？不管是哪一方签署，日后产生纠纷都难免对合同存储期间的安全性产生质疑。

关键点6：找个权威第三方来存证

听说有专门的第三方电子数据存证机构，可以保存已签署的电子合同数据，当用户双方对合同内容产生争议时可申请出具具有公信力的证明。

合同签署的最后一个问题：存储问题也解决了！但唯一不足之处就是：签署过程太麻烦！为保障电子合同有效性，我们用到了非对称加密、哈希运算、时间戳等技术，还要CA机构、公证处等机构协助；

怎样更简单快捷地签一份有效的电子合同呢？

关键点7：选择可靠的第三方电子合同平台

根据《电子签名法》规定，使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。

根据《电子签名法》规定，符合下列条件的，视为可靠的电子签名：

1）电子签名制作数据用于电子签名时，属于电子签名人专有

2）签署时电子签名制作数据仅由电子签名人控制

3）签署后对电子签名的任何改动能够被发现

4）签署后对数据电文内容和形式的任何改动能够被发现

结合上述电子合同签署过程，我们可归纳总结有效的电子合同应关注以下几个核心点：内容保密性、内容防篡改、明确签订身份、明确签订时间。

同时，为保障电子合同作为书面形式的证据能力，合同签署全程还应当由权威第三方机构存储公证。

商务部在《电子合同在线订立流程规范》指出：“通过第三方（电子合同服务提供商）的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

7. 什么是数字证书从哪办理归什么单位管理

数字证书就是一串数据，里面包括数字证书使用者的姓名、身份证号等信息，等于将数字证书与现实人员进行绑定，当您在网络中使用数字证书时就可以通过解析数字证书得到真实人员信息了。

数字证书也分好几类，有人员证书，服务器证书等等。也有企业证书。不一样的。根据发放数字证书模板来定。

数字证书分为两种一种是软证书，是安装在IE里的。一种是在USBKey里生成的证书，后者因为私钥是在Key里生成，不可导出，在一定程序上保证了证书的安全性。

数字证书管理单位一般为该证书的颁发机构来管理，比如：证书过期呀、丢失需要冻解、重新申请，等等。

(7)双证书加密扩展阅读：

数字证书“过期”：

依照国家《电子签名法》相关规定，数字证书颁发企业必须设定证书有效期，通常为一年或两年。至于具体期限是多久，在客户端左下角一看便知。

数字证书到期，处理方式自然是重新更新了，如果数字证书到期时间不超过三个月的话可进入“网上服务大厅”进行更新 ，超过三个月的话就得需要你走一趟业务受理点来办理了。

特点

安全性

（1）为了避免传统数字证书方案中，由于使用不当造成的证书丢失等安全隐患，支付宝创造性的推出双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。

（2）第二张证书不能备份，会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失。

（3）支付盾是一个类似于U盘的实体安全工具，它内置的微型智能卡处理器能阻挡各种的风险，让您的账户始终处于安全的环境下。

唯一性

（1）支付宝数字证书根据用户身份给予相应的网络资源访问权限

（2）申请使用数字证书后，如果在其他电脑登录支付宝账户，没有导入数字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥有了类似“钥匙”一样的数字凭证，增强账户使用安全。

方便性

（1）即时申请、即时开通、即时使用。

（2）量身定制多种途径维护数字证书，例如通过短信，安全问题等。

（3）不需要使用者掌握任何数字证书相关知识，也能轻松掌握。

8. 关于PkI里签名证书和加密证书(俗称双证书）的问题

数字签名私钥没必要给第三方备份，反而增加了签名伪造的风险，同时节约不必要的支出。私钥掉了或者过期了大不了再产生一对，不过加密证书的私钥丢失加密数据就无法恢复了。

9. 电子合同里的电子签名是什么原理

简单来说，电子签名是利用哈希算法与加密算法实现的电子文件上直接签字、盖章的技术。为了保障签署后的电子文件具备法律有效性，使用电子签名签署后的电子文件还需要具备签署身份可识别、签署内容不可篡改的特性。

但是，通过上述技术名词解释并不能直观、易懂的说明电子签名的原理，以下是通过还原电子签名签署的过程简介实现原理：

场景：由于业务需要，你和我需要签署一份合作协议。为方便起见，你将拟好的电子版合同文本在线发送给我签署。

怎样确保合同只有我可查看且不被他人恶意窃取？我又怎样才能确定文件的发送人就是你呢？

关键点1：公钥私钥登场

为了满足电子合同内容保密性和发送人认证的要求，我们了解到非对称加密的加密方式。

• 非对称加密：具有唯一对应的一对秘钥，一个公钥一个私钥，公钥所有人可见，而私钥仅自己可见。

• 非对称加密具有这样的特性：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。

发送合同时，你将拟好的电子合同使用自己的私钥加密后发送；接收合同时，如果能够使用你的公钥解密，则说明这份文件就是你发送的。

但是，我怎么才能知道你的公钥呢？

关键点2：政府出了个CA来帮忙

我了解到，政府授权了一个权威机构叫CA，可以提供网络身份认证的服务。

• CA(Certificate Authority)：全称证书管理机构，即数字证书的申请、签发及管理机关。其主要功能为：产生密钥对、生成数字证书、分发密钥、密钥管理等。

• 数字证书：是由CA机构颁发的证明，它包含公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息，可以通俗为理解个人或企业在“网络身份证”。

我向CA机构申请获取你的公钥，使用它对电子合同解密，解密成功则说明发送人就是你。文件发送人的身份确认了，那怎么保障电子合同传输过程中未被篡改呢？

关键点3：哈希兄弟出场

有技术人员推荐了哈希算法（摘要算法），可以证明电子合同传输过程中是否被篡改。

• 哈希算法：通过加密算法将文本内容生成为一段代码，即信息摘要，其主要特征是加密过程不需要密钥，经加密的数据无法被反向还原。也就是说，只有两份完全相同的合同经过相同的哈希算法才能得到相同的摘要。

发送合同时，你将电子合同原文和经哈希运算的摘要一起发送给我接收合同时，通过对合同原文进行同样的哈希运算得到新的摘要，对比两组摘要是否一致即可证明我接收的文件是否被篡改

但是，如果传输过程中文件原文与摘要同时被替换了怎么办？

关键点4：对称加密来帮忙

除了上述的哈希算法、非对称加密、CA，为确保合同由发送到接收满足三个要求，即：由你发送、只能发给我、不能被篡改，我们还需要应用新的加密方式：对称加密。

• 对称加密：采用单钥密码系统的加密方法，信息的加密和解密只能使用同一个密码。

发送文件时：

1、你通过哈希运算得到原文摘要并使用私钥对其加密，得到你的数字签名，再将数字签名和合同原文进行对称加密，得到密文A——对原文加密

2、再通过CA获得我的公钥，对上述步骤中对称加密的秘钥进行非对称加密，即我的“数字信封”——对秘钥加密

3、将密文A和我的数字信封一起发送给我

• 数字签名：用哈希算法提取出源文件的摘要并用发送人的私钥进行加密后的内容。

• 数字信封：用接收方的公钥加密对称秘钥”，这就叫“给乙的数字信封。

接收文件时：

1、我使用自己的私钥解密数字信封得到对称秘钥——能解开，说明是发给我的

2、再使用对称秘钥解密密文A，得到带有你的数字签名的原文

3、使用你的公钥解密你的数字签名，得到签名中的原文摘要——能解开，说明发送者是你

4、使用相同的摘要算法获取原文摘要并与解密签名中的摘要对比——摘要一致，则说明原文没有被篡改

除了文件内容不可篡改，精确记录签署时间固定合同生效期限也十分重要，网络环境中怎样怎么确保合同签署时间不可篡改呢？

关键点5：时间戳来证明

我又请教了专家，原来我们国家还有专门确定时间的法定授时中心，它可以在我们签署的文件上加盖“时间印迹”，即时间戳。

• 时间戳（time-stamp）：书面签署文件的时间是由签署人自己写上，而数字时间戳则由第三方认证单位（DTS）添加，以DTS收到文件的时间为依据，更精准、更有公信力。

至此，我们签合同的时间精准记录、合同内容不可篡改、双方身份也真实有效，这下没问题了！但是，签署完的电子合同怎么存储呢？不管是哪一方签署，日后产生纠纷都难免对合同存储期间的安全性产生质疑。

关键点6：找个权威第三方来存证

听说有专门的第三方电子数据存证机构，可以保存已签署的电子合同数据，当用户双方对合同内容产生争议时可申请出具具有公信力的证明。

合同签署的最后一个问题：存储问题也解决了！但唯一不足之处就是：签署过程太麻烦！为保障电子合同有效性，我们用到了非对称加密、哈希运算、时间戳等技术，还要CA机构、公证处等机构协助；

怎样更简单快捷地签一份有效的电子合同呢？

关键点7：选择可靠的第三方电子合同平台

根据《电子签名法》规定，使用可靠的电子签名签署的电子合同具备与手写签字或盖章的纸质合同同等的法律效力。

• 根据《电子签名法》规定，符合下列条件的，视为可靠的电子签名：

1）电子签名制作数据用于电子签名时，属于电子签名人专有

2）签署时电子签名制作数据仅由电子签名人控制

3）签署后对电子签名的任何改动能够被发现

4）签署后对数据电文内容和形式的任何改动能够被发现

结合上述电子合同签署过程，我们可归纳总结有效的电子合同应关注以下几个核心点：内容保密性、内容防篡改、明确签订身份、明确签订时间。

同时，为保障电子合同作为书面形式的证据能力，合同签署全程还应当由权威第三方机构存储公证。

商务部在《电子合同在线订立流程规范》指出：“通过第三方（电子合同服务提供商）的电子合同订立系统中订立电子合同，才能保证其过程的公正性和结果的有效性”。

综上，就是电子签名各个环节中需涉及的实现原理。

10. 如何申请SM2/RSA双算法免费SSL证书

沃通提供国密SSL证书免费申请试用服务，一次申请可同时签发SM2/RSA双算法证书，试用周期1个月，用于测试国密SM2 SSL证书的运行效果和SM2/RSA双证书部署效果。

试用产品：SM2/RSA双算法证书(国密超快SSL V1证书、RSA超快SSL 证书)

申请链接：https://buy.wotrus.com/freetestv1

申请指南：国密SSL证书试用申请指南网页链接

沃通国密超快SSL V1证书是提供给用户测试试用的V1级别国密SSL证书，证书有效期1个月，参考国际标准中的DV级别身份验证标准，并遵循国家标准GMT 0024-2014《SSL VPN技术规范》，支持SM2/SM3/SM4国密算法和国密安全协议，采用国密算法实现高强度SSL加密连接，通过自主可控的密码技术，保护客户端到服务器之间的数据传输安全。

沃通国密超快SSL V1证书与沃通国密超真SSL V3、超安SSL V4证书遵循相同的国密技术标准，但身份验证级别不同、签发周期更短，方便用户尽快获取证书用于测试试用。配套提供的RSA DV SSL证书由全球信任顶级根签发，支持所有浏览器和移动终端，证书有效期1个月。

产品特点：