根证书合并

❶ 老师你好，在ssl证书中，cer是公钥证书，key是私钥证书，crt是证书链对吗

一、SSL证书文件

如图所示，就是一些SSL证书文件。上图带有root CA 字样的证书文件就是根证书， 然后带intermediate ca 字样的就是中间证书文件， 最后一个 ssl servercertificate 字样的证书即为证书文件。

了解认识SSL证书文件，才能更好的去安装SSL证书。虽然大部分时候直接安装证书文件，浏览器也会显示安全，但是由于一些浏览器会自动补齐证书链，但是证书链缺失的话，一些手机端或者部分浏览器可能会报不安全的提醒，所以在安装的时候建议安装完整的证书文件，补齐证书链。

二、SSL证书格式

在SSL证书源文件中你会发现有很多格式。不同的web服务器对于证书的格式是有要求的，接下来也带大家了解下不同格式的证书文件。

PEM：- Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.上述一般证书文件 ，中间证书和根证书，证书文件很多都是pem格式的。Apache和NIgnix服务器偏向于使用这种编码格式.

DER：这种格式也是常见的证书格式，跟pem类似，中间证书和根证书，证书文件很多都是DER的，Java和Windows服务器偏向于使用这种编码格式。

JKS ：jks是Java密钥库(KeyStore)比较常见的一种格式。一般可用通过cer 或者pem 格式的证书以及私钥的进行转化为jks格式，有密码保护。所以它是带有私钥的证书文件，一般用户tomcat环境的安装

PFX：pfx格式的证书 也是由cer 或者pem格式的证书文件以及私钥转化而来，所以该证书文件也是带有私钥的证书文件，一般用于iis 环境的证书安装。

❷ 根证书，中间证书和底层证书怎么合并一个证书链

所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必回须有一个受答信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先根证书。

❸ GlobalSign的证书下载之后怎么使用

证书下载后合并KEY私钥使用。

解释原因：

1. CSR生成后获得KEY私钥保存好。

2. 下载SSL证书，然后进入SSL证书工具转成需要的SSL证书格式。

3. Apache、Nginx服务器环境无需转换就可以使用，下载会有CA根证书与公证书文件Nginx合并使用，Apache分开使用就可以。

4. SSL证书就提安装教程：网页链接
   

解决办法：可以让签发机构直接转换格式给您使用。Gworg用户下载的SSL证书可以直接打开使用对应的文件夹证书安装。

❹ 如何制作和应用数字签名证书

需要准备的工具：makecert.exe、cert2spc.exe、pvk2pfx.exe、signtool.exe。
在MS的SDK6.0中有个证书生成工具makecert.exe， 你可以使用这个工具来生成测试用的证书。
第一步，生成一个自签名的根证书（issuer，签发者）。
>makecert -n "CN=Root" -r -sv RootIssuer.pvk RootIssuer.cer
这个时候，会弹出提示框，首先给RootIssuer.pvk文件设置私钥保护口令；

然后，再次输入这个口令用私钥(在RootIssuer.pvk文件中）来给公钥（在RootIssuer.cer文件中）加密。

第二步，使用这个证书签发一个子证书（使用者，subject）。
>makecert -n "CN=Child" -iv RootIssuer.pvk -ic RootIssuer.cer -sv ChildSubject.pvk ChildSubject.cer
此时，会弹出提示框先给这个子证书的私钥文件ChildSubject.pvk设置保护口令；

然后，输入这个子证书的私钥(在ChildSubject.pvk中)口令来保护子证书的公钥(在ChildSubject.cer中)。

接下来会提示输入根证书私钥(在RootIssuer.pvk中)口令来签发整个子证书(公钥和用户信息)。

如果你还要签发更多的子证书，类似的，使用这个证书来签发再下层的证书，前提是ChildSubject证书也可以用于签发(作为Issuer)用途。
备注：
(1)如果你需要一个交互证书，用于安全通信，那么，加入选项 -sky exchange；
(2)如果你需要一个签名证书来签发证书或者二进制文件，那么，加入选项 -sky signature.
(3)如果你需要一个客户端证书来标志你的身份，或者个人信息保护（电子邮件），那么，选项-n 中的E字段是不可缺少的。
举例：-n "CN=公司名称, E=E-MAIL地址, O=组织名称, OU=组织单位, C=国家, S=省份(州), P=县城"
其他辅助工具:
1) 公钥证书格式转换成SPC。 cert2spc.exe
>cert2spc TestRoot.cer TestRoot.spc
.spc 意思是 软件发布者证书（Software Pulisher Cerificate）.
2) 将公钥证书和私钥合并成一个PFX格式的证书文件。pvk2pfx.exe
>pvk2pfx -pvk TestRoot.pvk -spc TestRoot.spc -pfx TestRoot.pfx
输入TestRoot.pvk的保护口令来合并.pvk和.spc文件，如果你不设置即将合并出来的TestRoot.pfx的保护口令的话，这个保护口令和输入文件TestRoot.pvk的保护口令一样。(备注：直接从cer文件也可以，不一定要得到SPC文件).
3) 签名工具。signtool.exe
二进制文件数字签名.为了保证二进制文件的完整性，数字签名是一个好的方法。
以下命令启动一个有图形界面的文件签名工具向导:
>signtool wizard
以下是命令行方式的签名:
>signtool sign /f "pfx文件的全路径" /p "pfx文件的保护口令" /t "http://timestamp.verisign.com/scripts/timstamp.dll" /d "本次签名的描述" "被签名的程序的全路径"

❺ cors站数据每小时一个文件,如何合并

在windows系统中，往往会有多的文件或者是文件夹，但是这些数据有时没有保存好，那么就会丢失或者是删除掉，那么要怎么的利用数据保护器进行数据备份呢!我们一起去看看吧! 对你的数据进行备份是至关重要的，但是如果你不知道如何恢复这些数据，那些备份对你来说根本没有用处。这里是一个用微软系统中心数据保护管理器(DPM)进行数据恢复的选项列表。 数据保护管理器通过对你的数据进行卷影复制来工作。数据保护管理器默认被设置成每隔一小时进行数据保护并且每天进行三次卷影复制。它把每次对一个文件进行的卷影复制做为一个独立的版本。如果数据保护管理器服务器有足够的磁盘空间，数据保护管理器可以最多保存一个文件的最多64个不同版本。 当数据保护管理器检测到一个文件被修改了，它并不把这个文件的修改部分做为一个独立的文件版本(除非这个时候正好进行一次卷影复制)。取而代之的是，这个修改部分将被应用到最近的卷影复制。这样，数据保护管理器可以确保超过一个小时的数据永远不会丢失，而且将有三个独立版本的文件在一天内能够被保存(默认情况下)。 为什么数据保护管理器不执行每个小时的卷影复制呢?首先，这么做将需要数据保护管理器使用更多的系统资源。第二，每天进行三次卷影复制可以允许大概21天的文件版本被保留。如果卷影复制每小时执行一次，那么文件版本保留将不超过三天(因为64位的限制)。 然而，数据保护管理器的一个最大功能就是它保留不同文件版本的能力。如果你需要恢复一个文件，第一件事情就是找出哪个文件的版本是你要恢复的。你可能通常通过查看这个文件的日期和时间标志来完成这个任务。 执行一个基本恢复 一个基本恢复包括通过数据保护管理器2006管理控制台来恢复一个文件。要按照以下步骤: 配置终端用户恢复 你可以配置数据保护管理器，这样它能允许终端用户自己去恢复文件，而不是来找你。首先你必需要使用活动目录的schema，这个本身并不是一个很大的问题，但是我推荐你在使用其之前备份你的域控制器(Domain Control)。如果在这个进程中有什么问题出现，你的活动目录可能会出现问题。 要配置数据保护管理器来支持终端用户恢复: 选择“恢复”，并且点击“配置终端用户恢复”链接。 当工具栏的选项打开之后，选择终端用户恢复的部分。 点击配置活动目录的按纽 你将被提示输入一个管理员证书，当你做这个时候，你能看到你一个提醒你活动目录将被修改的消息，并询问你是否要继续，点击“确定”。 在这个过程中等待一下。进程可能要持续几分钟。 一旦这个进程结束。选择在工具栏上面的“启动终端用户恢复”的选项。现在服务器就能支持终端用户恢复了。然而你必须在用户的工作站上安装一个数据保护管理器须知卷影复制客户端。你可以下载这个卷影复制客户端。 注意:这个卷影复制客户端的版本需要运行Windows XP运行着SP2。 打开数据保护管理器管理控制台并且选择恢复 你能看到保护的服务器的列表，包括你要恢复的数据所在服务器的列表。你能看到两个子容器(sub-containers):所有共享和所有卷。 选择合适的容器(取决于这个服务器是在共享级别还是卷级别被保护的)并它。 你能看到日期和时间的列表，在多数例子中，这些日期/时间文件夹中的一个能够符合你要恢复的文件的日期/时间类。如果你看到了一个容器包含着合适的日期/时间标志，这个容器来显示被保护的文件和文件夹。 右键点击你要恢复的文件或者文件夹，并且从菜单中选择恢复命令。 假如一个容器中没有包含合适的日期/时间标志，这是不是意味着这个时间周期内的文件就无效了呢?不是的，数据保护管理器仅仅展示的是最近的复制容器。 如果那你需要一个比容器中展示出来的文件版本更旧的版本，到任何容器中找到你要恢复的文件或者文件夹。右键点击这个文件或者文件夹，然后选择“显示所有版本”的命令，数据保护管理器将显示所有版本的对话框，这可能要需要几分钟，但是最终这个对话框将展示出来这个文件或者文件夹的所有可用版本。选出你要用的版本，然后点击“恢复”按纽。 查找要恢复的数据 你能够使用数据保护管理器的内置搜索引擎来定位要恢复的数据。设想一个用户要恢复一个名为Tuseday.doc的文件，但是不能记住这个文件存放在那儿了。如果你不知道这个文件存放的地址，如果你通过浏览整个目录来找到这个文件，将永远找不到它。幸运的是，通过点击“恢复”，然后选择“查找”，你将看到一个搜索引擎，这将允许你为特殊文件来搜索数据库。 我们在windows系统中的数据的保存一般都是比较重要的，所以以上就是关于利用数据保护器进行数据备份的具体解决的办法，只有备份了，才会使得数据即使是丢失也不会有很大的关系的。因此在系统中进行使用数据备份很重要哦!

❻ 如何生成CA证书

1. 创建根证书密钥文件(自己做CA)root.key：

2. 创建根证书的申请文件root.csr：

3. 创建一个自当前日期起为期十年的根证书root.crt：

4. 创建服务器证书密钥server.key：

5. 创建服务器证书的申请文件server.csr

6. 创建自当前日期起有效期为期两年的服务器证书server.crt

7. 创建客户端证书密钥文件client.key

8. 创建客户端证书的申请文件client.csr

9. 创建一个自当前日期起有效期为两年的客户端证书client.crt

10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx

11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件 .crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）

❼ 如何生成CA证书

一般情况下，如果能找到可用的证书，就可以直接使用，只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效，但这并不影响使用。
需要手工生成证书的情况有：
找不到可用的证书
需要配置双向SSL，但缺少客户端证书
需要对证书作特别的定制
首先，无论是在Linux下还是在Windows下的Cygwin中，进行下面的操作前都须确认已安装OpenSSL软件包。
1. 创建根证书密钥文件(自己做CA)root.key：
openssl genrsa -des3 -out root.key
输出内容为：
[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 输入一个新密码
Verifying – Enter pass phrase for root.key: ← 重新输入一遍密码
2. 创建根证书的申请文件root.csr：
openssl req -new -key root.key -out root.csr
输出内容为：
[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 输入前面创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家代号，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []: ← 此时不输入
Email Address []:[email protected] ← 电子邮箱，可随意填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入
3. 创建一个自当前日期起为期十年的根证书root.crt：
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt
输出内容为：
[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 输入前面创建的密码
4. 创建服务器证书密钥server.key：
openssl genrsa –des3 -out server.key 2048
输出内容为：
[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
5.创建服务器证书的申请文件server.csr：
openssl req -new -key server.key -out server.csr
输出内容为：
[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []:www.mycompany.com ← 服务器主机名，若填写不正确，浏览器会报告证书无效，但并不影响使用
Email Address []:[email protected] ← 电子邮箱，可随便填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入
6. 创建自当前日期起有效期为期两年的服务器证书server.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
输出内容为：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 输入前面创建的密码
7. 创建客户端证书密钥文件client.key：
openssl genrsa -des3 -out client.key 2048
输出内容为：
[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 输入一个新密码
Verifying – Enter pass phrase for client.key: ← 重新输入一遍密码
8. 创建客户端证书的申请文件client.csr：
openssl req -new -key client.key -out client.csr
输出内容为：
[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 输入上一步中创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名称，拼音
Locality Name (eg, city) []:BeiJing ← 市名称，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以随便填
Email Address []:[email protected] ← 电子邮箱，可以随便填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填
9. 创建一个自当前日期起有效期为两年的客户端证书client.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
输出内容为：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 输入上面创建的密码
10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
输出内容为：
[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 输入上面创建的密码
Enter Export Password: ← 输入一个新的密码，用作客户端证书的保护密码，在客户端安装证书时需要输入此密码
Verifying – Enter Export Password: ← 确认密码
11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件
.crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）
参考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509证书一般会用到三类文，key，csr，crt。
Key是私用密钥openssl格，通常是rsa算法。
Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。
crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

1.key的生成
opensslgenrsa -des3 -out server.key 2048
这样是生成rsa私钥，des3算法，openssl格式，2048位强度。server.key是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
opensslrsa -in server.key -out server.key

server.key就是没有密码的版本了。

2.生成CA的crt
opensslreq -new -x509 -key server.key -out ca.crt -days3650
生成的ca.crt文件是用来签署下面的server.csr文件。

3.csr的生成方法
opensslreq -new -key server.key -outserver.csr
需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。

4.crt生成方法
CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。
opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt
输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。
最后生成了私用密钥：server.key和自己认证的SSL证书：server.crt
证书合并：
catserver.key server.crt > server.pem

❽ 如何使用自己的根证书

删除certs文件夹，CA.crt原来的CA.crt与CA.key合并为新的CA.crt了

❾ 如何使用邮件合并打印有存根的准考证

在Office中，先建立两个文档：一个WORD包括所有文件共有内容的主文档（比如未填写的信封等）和一个包括变化信息的数据源EXCEL（填写的收件人、发件人、邮编等），然后使用邮件合并功能在主文档中插入变化的信息，合成后的文件用户可以保存为Word文档，可以打印出来，也可以以邮件形式发出去 。
邮件合并的应用领域：
1、批量打印信封：按统一的格式，将电子表格中的邮编、收件人地址和收件人打印出来。
2、批量打印信件：主要是换从电子表格中调用收件人，换一下称呼，信件内容基本固定不变。
3、批量打印请柬：同上2。
4、批量打印工资条：从电子表格调用数据。
5、批量打印个人简历：从电子表格中调用不同字段数据，每人一页，对应不同信息。
6、批量打印学生成绩单：从电子表格成绩中取出个人信息，并设置评语字段，编写不同评语。
7、批量打印各类获奖证书：在电子表格中设置姓名、获奖名称和等资，在WORD中设置打印格式，可以打印众多证书。
8、批量打印准考证、准考证、明信片、信封等个人报表。
总之，只要有数据源（电子表格、数据库）等，只要是一个标准的二维数表，就可以很方便的按一个记录一页的方式从WROD中用邮件合并功能打印出来！