基于OpenSSL的时间戳签名和验证

OpenSSL时间戳签名与验证实践
最新推荐文章于 2023-11-22 19:00:00 发布
最新推荐文章于 2023-11-22 19:00:00 发布
阅读量8.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/flyspace/article/details/22698293
该博客详细介绍了如何使用OpenSSL进行时间戳签名和验证。首先,自建CA并生成时间戳签名证书,接着利用数据文件创建时间戳签名请求,通过时间戳证书签署请求得到签名值。然后,使用CA证书和时间戳证书进行签名值验证,最后验证时间戳与原文的一致性。


  • 首先自建CA,并生成时间戳签名证书.

REM 生成CA证书

openssl req -new -x509 -keyout ca.key -out ca.crt

REM 生成时间戳签名证书

openssl genrsa -des3 -out tsakey.pem 1024


REM 去除私钥密码

openssl rsa -in tsakey.pem -out tsakey.pem


REM 生成证书请求

openssl req -new -key tsakey.pem -out tsakey.csr

REM extKey.cnf格式: extendedKeyUsage = critical,timeStamping

REM 使用扩展用法文件签署时间戳签名证书

openssl x509 -req -days
最低0.47元/天 解锁文章

200万优质内容无限畅学
FlySpace
关注
时间戳 + 签名机制
weixin_42759398的博客
07-31 863
本文提出了一种基于时间戳+签名机制的无登录动态鉴权方案,通过客户端生成动态签名(包含时间戳、随机字符串业务参数)实现安全访问。方案包含前后端完整实现:后端采用拦截器验证签名有效性、时间戳时效性随机数唯一性;前端通过加密函数生成动态签名。该方案具备防重放、防篡改特性,既保障接口安全又无需强制登录,适用于门户网站等场景。关键点包括前后端签名规则一致性、HTTPS传输安全保障以及随机数防重放机制。
openssl验证证书有效期_使用 Openssl 验证签名证书
weixin_39856269的博客
12-18 930
iOS的 security framework 框架前面已经介绍。这个框架提供有限的功能,使用它能做到的,比你想象的要少。笔者一直想找一个iOS 下比较好的功能全面的安全算法库,结果却一无所获。不知道谁能介绍下这方面。最终还是只有求助于闻名已久的Openssl library。Openssl 确实十分强大,然而其糟糕文档仍让人难以满意。当然,网络上使用Openssl 的例子非常多,不过能写这个的似...
openssl 时间戳
好习惯成就伟大
10-21 961
【代码】openssl 时间戳
关于时间戳与数字签名
04-04
了解学习,关于数字签名时间戳服务 时间戳的机制及有了数字签名为什么还要上时间戳 时间戳的种类
OpenSSL命令---tsget
VitalityShow(网络通讯)
11-21 2956
时间戳处理工具(HTTP/HTTPS客户端)。该命令发送一个时间戳请求(RFC3161)到一个HTTP/HTTPS时间戳服务器,服务器储存一个时间戳相应到文件中。这个工具不能用于创建一个请求验证响应,可以用ts命令来执行这项操作。该命令可以在一个未关闭的TCP连接中发送多个请求。
使用java实现rfc3161,openssl验证用自签名证书签名的RFC3161时间戳
weixin_29638987的博客
03-11 569
我使用openssl从rfc 3161 timestampreq生成了一个rfc3161 timestampresp。因此,我使用了自签名CA证书签名CA使用以下命令颁发的TSA证书:openssl ts -reply -queryfile request.tsq -signer TSAcert.pem -out response.tsr已创建响应。openssl ts -reply -tex...
使用 openssl 对文件签名验签
@evan_wu163
10-12 5910
这里介绍:文件签名验签做了什么,openssl 命令行工具进行签名验签
使用openssl创建三级带时间戳扩展证书的方法
student_zz的博客
06-06 3184
使用openssl创建三级带时间戳扩展证书的方法     直接进入主题,首先先下载好openssl,下载地址https://www.openssl.org/source/。具体看下图:         至于openssl的安装网上有很多教程,查一下就好了,你只要保证安装好它就行...
时间戳
拒绝黑盒,享受开源
09-05 638
http://unixtime.51240.com/ 时间戳是自 1970 年 1 月 1 日(00:00:00 GMT)以来的 秒数 。它也被称为 Unix 时间戳(Unix Timestamp)。 date +%s Unix时间戳(Unix timestamp),或称Unix时间(Unix time)、POSIX时间(POSIX time),是一种时间表示方式,定义为从格林威治时间19
date、openssl命令的深入理解
AMimiDou_212
01-18 3265
openssl命令一、date 命令时间戳二、Openssl 查看证书常用命令: 一、date 命令时间戳 常用参数 date - 打印或设置系统日期时间 根据指定格式显示当前时间或设置系统时间. -d, --date=STRING 显示由 STRING 指定的时间, 而不是当前时间 -f, --file=DATEFILE 显示 DATEFILE 中每一行指定的时间, 如...
API接口的安全设计验证:ticket,签名时间戳
weixin_37097680的博客
02-10 173
作者:一剑天门cnblogs.com/dslx/p/14116294.html概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围...
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 7066
openssl 证书 自签名 私有CA
OpenSSL命令---ts
VitalityShow(网络通讯)
11-21 5224
时间戳处理工具(客户端/服务器模式)。该命令是一个基本的时间戳权威认证机构(TSA)的客户端服务器端应用程序(遵循RFC3161协议)。TSA是一个PKI调度工具中的一部分,它的角色是提供一个证明:证明某个数据在一段时间内存在。下面是协议的摘要: 1、 TSA客户端对一个数据文件计算一个哈希值,并将它发送到TSA。 2、 TSA将当前时间依附到所接收到的hash值的后面,并签名,发送时间戳标记到客户端。在创建这个标记是根据原始数据来产生的。 3、 TSA客户端接收到时间戳标记并验证签名
WIN7安装NET4.6/4.7/4.8 时间戳签名或证书无法验证或已损坏
sonadorje的专栏
05-10 9543
最近遇到怪异的事情,同一个dotnet安装包,在一台win7可以正常安装,另一台上就报:时间戳签名或证书无法验证或已损坏。网络上介绍的什么导入证书,打这个那个补丁都试了(补丁也安装不了),无果。经过研究发现问题还是出在系统的根证书上,从一台正常的机器上打开:开始——运行:certmgr.msc,把所有根证书导出到一个文件:microsoft.sst。然后有问题的机器上,删除所有根证书,再导入microsoft.sst,重启后就可以正常安装了。
时间戳 TSA
a516476037的博客
09-07 1161
定义 时间戳(Timestamp)是一份能够唯一地标识一份电子数据在特定时间已经存在的、完整的、可验证的电子数据。 可信的时间戳才具有法律效力 组成 三部分 需要加时间戳的文件的摘要 DTS收到文件的日期时间 DTS的有效数字签名 名词解释:DTS:Decode Time Stamp,解码时间戳,一般为时间戳服务商。 我国唯一可信时间戳服务机构:联合信...
openssl ts
艾小小雨的博客
04-11 663
用途:时间戳处理工具(客户端/服务器模式)。该命令是一个基本的时间戳权威认证机构(TSA)的客户端服务器端应用程序(RFC3161协议)。TSA是一个PKI调度工具中的不部分,它的角色是提供一个证明:证明某个数据在一段时间内存在。a.TSA客户端对一个数据文件计算一个哈希值,并将它发送到TSAb.TSA将当时时间衣服到所接受到的hash值后面,并签名,发送时间戳标记到客户端。在创建这个...
openssl不是内部或外部命令_OpenSSL新架构蓝图
weixin_39587113的博客
12-06 1258
概述日前OpenSSL官网公布了未来OpenSSL的架构蓝图。作为战略性的架构目标,需要大量的版本迭代本文档概述了OpenSSL战略架构。它需要多个版本的迭代从目前最新的版本1.1开始直到3.0甚至是4.0最终实现。由于版本架构变动非常大,涉及大量的变化迭代,力争在OpenSSL 3.0.0版本中实现对绝大多数应用程序的影响最小,并能高性能的编译迁移。3.0后对目前版本的功能将通过API来实现,...
openssl详解
热门推荐
修行之路
02-26 1万+
OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用.  SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性可靠性,可在服务器端用户端
从0到1之可信时间戳
黑白的博客
11-22 4396
先来看这么一段话提炼出三个要点说到可信,做甲方安全的第一个想到的必然是PKI、证书、签名验签加密机等等,以前用到的签名,用在完整性、不可否认性、真实性,已经可信了,为啥又多出来一个时间戳呢?签名,是指用私钥对Hash进行签名,乍一看跟上面的第2条很类似,但是可信时间戳正是在此基础上加了权威时间的概念,私钥已经能说明一定是你做的,再加上一个时间戳,便是可信时间戳TSA(Time Stamping Authority),这下时间、人物、事件都有了,记叙文三个要素都具备,更好拿捏了。
时间戳签名格式
最新发布
03-23
<think>好的,用户想了解时间戳签名的标准格式及生成方法。首先,我需要回忆一下相关标准流程。记得RFC 3161是时间戳协议的标准,所以应该先提到这个。时间戳签名通常包含哪些部分呢?比如摘要算法、时间值、序列号、证书信息等,可能需要详细说明每个部分的作用。 然后生成方法,用户可能想知道具体的步骤,比如如何生成摘要,发送请求,TSA的处理步骤,以及验证过程。可能需要分点说明,使用OpenSSL这样的工具作为例子会更具体,用户可能更容易理解。此外,引用中的内容也很重要,比如引用3提到了使用Spire.PDF添加时间戳,引用4是关于OpenSSL验证命令,这些都需要整合到回答里,确保信息的准确性。 还要注意用户可能的实际需求,比如他们可能在开发中需要生成验证时间戳,所以需要提供实用的步骤注意事项,比如时间同步、证书信任链等。同时,相关问题的部分要考虑用户接下来可能遇到的问题,比如如何选择TSA,时间戳的法律效力,以及如何防止重放攻击,这样能帮助他们进一步解决问题。 最后,确保回答结构清晰,按照标准格式、生成方法、注意事项相关问题的顺序组织,每个部分简明扼要,同时正确引用提供的资料,比如引用RFC 3161相关的工具命令。检查一下是否有遗漏的关键点,比如时间戳签名中的随机数或证书链的处理,这些都需要涵盖进去。确保语言通俗易懂,避免过于技术化的术语,但又要准确无误。</think>### 时间戳签名的标准格式及生成方法 #### 1. **时间戳签名的标准格式(RFC 3161)** 时间戳签名需符合RFC 3161标准,核心结构包含以下内容[^3][^4]: - **摘要算法标识**:如SHA-256,用于生成原始数据的哈希值。 - **时间值(GeneralizedTime格式)**:精确到毫秒的UTC时间,例如:`20230815T143050.123Z`。 - **序列号(SerialNumber)**:时间戳的唯一标识符。 - **TSA证书信息**:颁发时间戳的权威机构(TSA)的证书链,用于验证签名合法性。 - **签名算法**:如RSA-PSS或ECDSA,用于TSA对时间戳签名。 - **扩展字段**:可选,可包含策略标识、时间精度等信息。 #### 2. **时间戳签名生成方法** **步骤1:生成数据摘要** 对需签名的数据计算哈希值(如SHA-256),例如: ```bash openssl dgst -sha256 -binary data.txt > data_hash.bin ``` **步骤2:发送时间戳请求(TimeStampReq)** 向TSA发送请求,包含以下字段: - **版本号**:固定为1。 - **哈希算法**:如SHA-256的OID标识。 - **数据哈希值**:步骤1生成的二进制哈希。 - **随机数(Nonce)**:防止重放攻击的随机数[^1]。 **步骤3:TSA生成时间戳响应(TimeStampResp)** TSA验证请求后,返回包含以下内容的时间戳签名: - **时间戳令牌(TimeStampToken)**:基于PKCS#7/CMS格式的签名数据。 - **状态码**:标识请求是否成功。 **步骤4:验证时间戳签名** 使用TSA的公钥证书验证签名合法性,例如OpenSSL命令: ```bash openssl ts -verify -data data_hash.bin -in response.tsr -CAfile CAcert.pem ``` #### 3. **注意事项** - **时间同步**:客户端与TSA需通过NTP协议保持时间同步,防止时间篡改[^1]。 - **证书信任链**:需确保TSA证书受信任(如预置根证书)。 - **抗重放攻击**:通过随机数(Nonce)请求有效期限制实现。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值