数字证书的生成、验证原理

最新推荐文章于 2023-12-21 23:36:16 发布
最新推荐文章于 2023-12-21 23:36:16 发布
阅读量2.9k 收藏 8
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bbhnnvcf/article/details/115416028
版权

注:摘录自各个文章,把关键点整合了一下。

CA记为证书签发机构
证书生成过程:
CA产生一对RSA公私钥。
生成一个文件,记为P,包含:公钥、签发者ID、有效期、其他信息。
计算P的hash值,记为H。用私钥对H进行RSA加密,得到S。
则数字证书是(P,S)

别人验证证书的过程:
验证上述数字证书(P,S)过程:
从P中获得公钥,用公钥解密S得到H1。
计算P的hash值,得到H2。
若H1=H2,证明这个证书是有签发者签发给它的证书。(证书要在有效期内)
若H1!=H2,说明 P被篡改过 或者 证书不是CA签发的,总之有问题。

怎么判断证书是否有效
按上面说的,黑客可以自己给自己颁发证书,宣称自己是CA。所以如何来验证这个证书是黑客自己的呢还是那个著名的CA呢?
首先找到为CA颁发证书的上层CA,一层一层往上,直到找到一个可信的CA或者验证出错。比如往上找到了操作系统中颁发的根证书。根证书被认为绝对可信,是CA让厂商嵌在电子产品或软件里的。总之,根证书绝对可信。

PS:12306网站之前是自己给自己颁发证书,众多浏览器都会提醒用户该网站不安全。

bbhnnvcf
关注
数字证书与身份验证之HTTPS证书生成
qq_44559060的博客
10-28 807
数字证书与身份验证之HTTPS证书生成 简单快捷的生成个人的https证书 前期准备之工具 软件:需要安装nodejs,openssl,ie 环境:win10,nodejs和openssl需要位于系统环境变量中 简介 HTTPS: HTTPS 区别于 HTTP,它多了加密(encryption),认证(verification),鉴定(identification)。它的安全源自非对称加密以及第三方的 CA 认证。 运行过程: 客户端生成一个随机数 random-client,传到服务器端(Say Hel
数字证书实验详细步骤及原理
12-11
实验二 数字证书应用 数字证书实验详细步骤原理 利用数字证书建立安全Web通信 利用数字证书实现电子邮件安全
https中的数字证书认证过程解析
Just Do IT
06-30 9338
RSA非对称加密的2个用途:加密(防窃听) RSA非对称加密会用到一对密钥,分别称为公钥和私钥,公钥加密之后的数据可以通过私钥来进行解密,私钥加密的数据也同样可以用对应的公钥进行解密。在web数据传输过程中,由于客户端和服务器端是多对一的关系,因此可以让所有的客户端持有相同的公钥,服务器持有私钥,这样一来就能方便地实现数据的加密传输。 签名(防篡改) 由于私钥只在某一个体手中,因此可以通过这
数字证书生成
01-21
数字证书生成doc命令 1.1生成服务端证书 开始-运行-CMD-在dos窗口执行下执行命令: keytool -genkey -v -alias tomcat -keyalg RSA -keystore C:/self-file/server/tomcat.keystore -dname "CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650 -storepass zljzlj -keypass zljzlj 说明: keytool 是JDK提供的证书生成工具,所有参数的用法参见keytool –help -genkey 创建新证书 -v 详细信息 -alias tomcat 以”tomcat”作为该证书的别名。这里可以根据需要修改 -keyalg RSA 指定算法 -keystore D:/self-file/server/tomcat.keystore 保存路径及文件名 -dname "CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" 证书发行者身份,这里的CN要与发布后的访问域名一致。但由于我们是自己发行的证书,如果在浏览器访问,仍然会有警告提示。 -validity 3650证书有效期,单位为天 -storepass zljzlj 证书的存取密码 -keypass zljzlj 证书的私钥 1.2 生成客户端证书 执行命令: keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore C:/self-file/client/client.p12 -dname "CN=client,OU=zlj,O=zlj,L=bj,ST=bj,C=CN" -validity 3650 -storepass client -keypass client 说明: 参数说明同上。这里的-dname 证书发行者身份可以和前面不同,到目前为止,这2个证书可以没有任何关系。下面要做的工作才是建立2者之间的信任关系。 1.3 导出客户端证书 执行命令: keytool ‐export ‐alias client ‐keystore D:/self-file/client/client.p12 ‐storetype PKCS12 ‐storepass client ‐rfc ‐file D:/self-file/client/client.cer 说明: -export 执行导出 -file 导出文件的文件路径 1.4 把客户端证书加入服务端证书信任列表 执行命令: keytool ‐import ‐alias client ‐v ‐file D:/self-file/client/client.cer ‐keystore D:/self-file/server/tomcat.keystore ‐storepass zljzl 说明: 参数说明同前。这里提供的密码是服务端证书的存取密码。 1.5 导出服务端证书 执行命令: keytool -export -alias tomcat -keystore D:/self-file/server/tomcat.keystore -storepass zljzlj -rfc -file D:/self-file/server/tomcat.cer 说明: 把服务端证书导出。这里提供的密码也是服务端证书的密码。 1.6 生成客户端信任列表 执行命令: keytool -import -file D:/self-file/server/tomcat.cer -storepass zljzlj -keystore D:/self-file/client/client.truststore -alias tomcat –noprompt 说明: 让客户端信任服务端证书 2. 配置服务端为只允许HTTPS连接 2.1 配置Tomcat 目录下的/conf/server.xml
创建数字证书
01-08 1011
创建环境为Ubuntu16.04 一、生成私钥 使用openssl工具生成一个RSA私钥 输入:openssl genrsa -des3 -out kibana.key 2048 根据提示输入pass 二、生成CSR 生成私钥之后,便可以创建csr文件了。 输入:openssl req -new -key kibana.key -out kibana.csr 根据提示输入pass,与上面一致 说明...
数字证书及其认证过程
热门推荐
cyy089074316的专栏
06-10 3万+
众所周知,公钥密码学通过使用公钥和私钥这一密钥对,使数字签名和加密通讯等密钥服务变得容易起来。公钥技术之所以能得到广泛的应用,原因就在于对那些使用密钥对中的公钥来获得安全服务的实体,他们能很方便地取得公钥,即密钥分发与管理比起对称密钥的分发与管理变得简单了。所以有人称,非对称密码算法是计算机安全通讯的一次技术革命。     当然,公钥的分发也需要数据完整性保护措施,即需要数据完整性服务来保障公钥
Java 数字签名、数字证书生成源码.7z
07-06
在这个"Java 数字签名、数字证书生成源码"压缩包中,包含了实现这些功能的源代码,对于理解Java安全编程和实际应用具有很高的价值。 1. **数字签名** 数字签名是一种用于验证电子文档完整性和发送者身份的技术。在...
基于java的数字签名、数字证书生成源码.zip
05-28
在给定的压缩包"基于java的数字签名、数字证书生成源码.zip"中,可能包含了一些示例代码,例如如何使用Java API来实现数字签名的生成验证,以及如何生成自签名的数字证书。这些源码可能涵盖了以下步骤: 1. 导入...
数字证书原理,公钥私钥加密原理
08-07
以下是对数字证书原理和公钥私钥加密原理的详细解读。 数字证书是一种安全证书,用来证明某一实体(如个人、服务器或组织)的身份,它是由一个权威的认证机构(CA)签发的。数字证书包含的主要信息有证书拥有者的...
数字证书原理
07-22
数字证书原理是网络安全领域中的关键概念,主要用于身份验证和数据加密。在互联网通信中,确保信息的机密性、完整性和来源的可靠性至关重要。数字证书提供了一种方式来验证通信双方的身份,同时允许安全的数据交换。...
一个生成数字证书工具
09-21
从一个高人那里得到的. 根目录难得的数字证书生成软件下,其中zxpca100.exe文件是用来生成数字证书的,zxpfp100.exe文件是用来给文件加密解密的. 功能强大,唯一的不足的地方时作者版权思想太强了,经常弹出版权信息
个人数字ca证书制作步骤
03-30
ca证书制作步骤ca证书制作步骤ca证书制作步骤
数字证书验证过程
arlaichin的专栏
03-30 6358
介绍X509证书验证过程
数字证书应用综合揭秘(包括证书生成、加密、解密、签名、验签)
weixin_34112208的博客
08-30 2149
引言 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。为现实网络安全化标准,如今大部分的 B2B、B2C、P2P、O2O 等商业网站,含有重要企业资料个人资料的信息资信网站,政府机构金融机构等服务网站大部分都使用了数字证书来加强网络的安全性。数字证书一般由经过国家认证的权威机构颁发,即CA(例如中国各地方的CA公司)中心签发的证书,也可以由企业级CA系统进行签发,...
如何创建和管理数字证书
最新发布
2301_78256174的博客
12-21 291
1.主要环节(1).了解XCA软件的基本功能(2).通过XCA创建根证书(3).通过XCA创建证书模板(4).创建实体证书2.理论介绍数字证书是网络通信中标志通信实体身份信息的一系列数据,其作用类似于现实生活中的身份证。身份证中包含人的姓名等描述信息,数字证书中也包含了通信实体的基本描述信息:身份证中包含身份证号,用来标识每一个人,数字证书中包含通信实体的公钥。
CA数字证书构成及验证过程及openssl生成证书
shy871的博客
06-04 995
CA数字证书的构成与生成过程 网站信息+网站公钥 ==== hash算法 == 》 摘要 ===== CA私钥加密 ====== 》数字签名 网站公钥+网站信息+数字签名========== 构成 ===========》数字证书 客户端B访问服务端A证书校验过程 Client B======== 访问 ===========》服务端A(返回给B自己的数字证书) Client B: 1)判别证书有效性,证书有效期,证书颁发机构,证书是否被吊销(需连通CA校验CRL,CRL有效期,超过有效期浏览器或者服
生成自己的数字证书
分享建筑软件的乐趣
06-05 2772
ActiveX控件的安全性是一件很麻烦的事情。标准的做法是通过数字证书来解决。有数字证书的控件,在缺省的安全性设置下,IE就会提示安装,并显示数字签名的来源。买一个数字证书非常贵。那是不是必须向授权的厂家购买数字证书呢? 其实不是的。完全可以自己生成数字证书分为对证书颁发机构的验证和对产品的验证两种。只有受信任的证书颁发机构才能颁发受信任的产品证书。所以可以自己生成证书颁发机构的证书和产品的证
数字证书生成和签发
wzfgd的博客
03-08 1091
数字证书生成和签发 生成服务器端的私钥 openssl genrsa -des3 -out server.key 1024 注意: 执行上面的命令会提示输入密码,用于加密私钥文件。可以使用下面的命令去除掉私钥文件的密码保护: openssl rsa -in server.key -out server.key 生成服务端 CSR(Certificate Signing Request) openssl req -new -key server.key -out server.csr -co
创建和管理数字证书
csyH1111的博客
12-18 1603
数字证书是网络通信中标志通信实体身份信息的一系列数据,其作用类似于现实生活中的身份证。身份证中包含人的姓名等描述信息,数字证书中也包含了通信实体的基本描述信息:身份证中包含身份证号,用来标识每一个人,数字证书中包含通信实体的公钥。身份证中包含国家公共安全机关的签章,所以具有权威性,数字证书中包含可信任的签发机构的数字签名,这个签发机构称为CA(CertificateAuthority,证书颁发机构)。
数字证书登录验证功能开发示例
2. 数字证书登录验证工作原理 在登录验证的过程中,用户需提供其数字证书,该证书包含了用户的公钥。服务器端持有相应的CA的根证书,能够验证证书的真实性和有效性。在验证通过后,服务器使用用户的公钥加密一段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值