数字证书、公私钥小记

最新推荐文章于 2024-03-22 13:45:00 发布
最新推荐文章于 2024-03-22 13:45:00 发布
阅读量187 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java 密码学
原文链接:https://segmentfault.com/a/1190000004504995

术语

  • X.509

在密码学中,X.509是由ITU-T为了公开密钥基础建设(PKI)与授权管理基础建设(PMI)提出的产业标准。X.509标准,规范了公开密钥认证、证书吊销列表、授权证书、证书路径验证算法等。[1]

  • PKCS(Public Key Cryptography Standards)

PKCS是由RSA公司制定的一组关于公钥加密的标准,和存储相关的主要包括:

PKCS1:定义了RSA的数理基础、公私钥格式,以及加解密、签/验章的流程
PKCS8:定义了私钥消息的表示
PKCS12:定义了包含私钥与公钥证书的文件格式,其中私钥采密码保护

公私钥及证书的生成

以下操作会用到opensslkeytool两个工具。注意,如果不加声明,证书和密钥的存储都是PEM格式。

生成私钥

openssl genrsa -out ca.key 2048

openssl生成的私钥是按PKCS#1编码的,这种格式包括了密钥的所有信息(如n、e、d、p、q等)[2],所以genrsa只生成私钥。

如果需要PKCS\#8编码的私钥,还需要额外的转换:

openssl pkcs8 -topk8 -inform PEM in ca.key -outform PEM -nocrypt -out ca.pkcs8.key

如果需要公钥,需要使用如下的命令:

从私钥得到公钥

openssl rsa -in ca.key -pubout -outform PEM -out ca.pub

生成的公钥是按PKCS#8编码的。大多数地方都采用这种格式表示公钥。

生成根证书

openssl req -x509 -new -nodes -key ca.key -days 3000 -out ca.crt

生成的证书是按X.509编码的,有效期是3000天。

签发证书

有了根证书,就可以对证书签名了。为此,你需要先生成一个私钥,例如叫做host.key,然后通过私钥创建一个签名请求(CSR):

openssl req -new -key host.key -out host.csr

openssl会问你一些问题,务必注意CN这个选项,它应当是放置该证书的主机名(域名或者IP地址),如果开启了证书校验,它必须跟客户端建立连接时填写的host一致。

有了CSR,就可以用根证书和它的密钥来签发证书了:

openssl x509 -req -in host.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 1000 -out host.crt

证书依旧是按X.509编码的,有效期是1000天。

证书格式的转换

以上生成的公私钥和证书都是PEM格式的,但很多时候不同场景中还需要用到其他格式的证书:

p12/pfx

p12/pfx是按照PKCS#12编码的对象,它通常由X.509证书和对应的私钥组成。生成p12格式的方法如下:

openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.p12

由于文件中保存了私钥,因此执行该命令,openssl会要求用户输入密码,用于保护私钥。

jks

在Java中,免不了使用JKS格式,JKS是Java标准的密钥和证书保存格式,严格来说,Java的KeyStore存储的是多个密钥和证书。要生成它,需要用到keytool工具:

p12文件转换为jks

keytool -importkeystore -srckeystore cert.p12 -srcstoretype pkcs12 -destkeystore cert.jks

分别输入目标jks文件的密码和源p12文件的密码,即可生成。

crt文件转换为jks

keytool -import -file ca.crt -keystore ca.jks

不同环境/工具对密钥的需求

Java

在Java中,如果要使用java.security包中和RSA相关的算法,你需要PKCS#8编码的公私钥,分别使用PKCS8EncodedKeySpecX509EncodedKeySpec加载Base64解码后的数据即可。

如果要使用javax.net.ssl下的KeyStore或者TrustStore,最好使用jks格式,可以省去很多麻烦。

CSharp

在.Net中,System.Security.Cryptography下的X509Certificate2X509Certificate已经过时了)使用p12格式。

一些问题

.Net 证书验证

默认情况下,.Net会对证书做很严格的检验,包括但不限于证书链、吊销情况,SSL/TLS中还会检验主机名。但对于自签名证书,吊销情况是无法通过检查的,因此需要手动把吊销检验关闭:

var chain = new X509Chain();
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.Build(yourCert);

Java 证书验证

Java会自己维护一个证书链(位于JAVA_HOME/lib/security/cacerts),因此把证书加到系统的cacerts里似乎是无效的。对于 SSLContext,必须要自己把证书加到 TrustStore里。需要指出的是,如果使用JSSE,Java是不会验证主机名的,必须自己处理,这里有讨论。

参考资料


原文链接: https://dangfan.me/zh-Hans/posts/certificates
JhonXie
关注
小记】从公钥私钥理解HTTPS
shellhard的博客
01-26 474
2021-09-07 我们在平时在使用浏览器浏览网页时,通常会看到网址前面写的是https,这表明当前网站通过https协议来进行数据的传输。那么https和http有什么不同的呢? 本文将通过介绍HTTP和HTTPS、公钥私钥、加密、数字证书等方面的内容来帮助读者理解HTTPS。 HTTPS(全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目的的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程中的安全性。HT
数字证书原理
weixin_30737363的博客
06-24 2037
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容...
公钥私钥数字签名数字证书详解
01-20
公钥私钥数字签名数字证书详解
密码学总结_公钥_私钥_数字签名_数字证书完全解析
10-22
1、很多刚接触加解密的同学会对单钥、双钥加密、公钥、私钥数字证书、数字签名的概念感到头疼,这篇文章就是给你治病的。 2、童叟无欺,保证你看了过后会很满意。
一文看懂公钥、私钥、数字签名、数字证书
Karka_的博客
03-22 1797
好文章,记录下来!!鲍勃有两把钥匙,一把是公钥,另一把是私钥。!鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。!苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。!鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。!鲍勃给苏珊回信,决定采用"数字签名"。他写完后先用Hash函数,生成信件的摘要(digest)。!
公钥,私钥数字证书关系
KobeHoo的博客
02-28 882
主角介绍:Bob and Alice 提起RSA加密算法,公钥和私钥,多数文章都要使用Bob和Alice这两位人物。他们的创造者名叫Rivest,是RSA之父。他为了在避免在描述中使用A和B,就以这两个字母开头,创建一男一女两个角色,就是我们在任何文章上都能看到的Alice和Bob了。这是一些题外话,下面就来进入我们的数字证书入门学习吧。 什么是数字证书 Bob有两把钥匙,一把叫公钥(p...
shh -- 中的公玥和私玥
dongmelon的博客
09-25 2236
大家知道,公私玥是一种不对称的加密方法。 举个例子:假设有甲和乙两台服务器,如果各自都有一对公私玥,并且甲乙都给对方分享了自己的公钥,这样当甲乙之间通信时,就有两种选择: 1、甲使用乙的公钥加密数据并发送给乙,乙使用自己的私钥并且也只能使用自己的私钥解密。如果别人没有乙的私钥,即使的截取到了甲发给乙的数据也无法解密。 2、甲使用自己的私钥加密数据并发送给乙,因为甲的私钥只有它自己
Beatles小记
03-02
这篇小记主要处于两方面考虑:首先,希望打破一提到海量数据分析,就只有hadoop基础上的一系列工具,更多的时候很多企业需要的是更轻量的设计(办喜酒杀猪杀鸡未必都要用一把刀),因此将开放平台基础分析组件重构...
python进行爬虫小记
01-15
Python爬虫技术是一种用于自动化网页数据抓取的编程方法,尤其适合初学者快速入门。Python在爬虫领域具有显著优势,因为其拥有丰富的第三方库,如requests、lxml和parsel等,使得编写爬虫代码变得简洁高效。...
Scrum过程实践小记
02-26
严格来说,不能算是真正的scrum实践,但实践敏捷的过程本身也是一种“敏捷方法”,所以就算是“敏捷实践之敏捷开发方法-scrum过程”吧。1.Scrum团队(5-7个人的小项目组)。 2.Backlog:急待完成的一系列任务,包括...
详解公钥、私钥数字证书的概念
学海无涯,回头是岸........
01-03 1596
详解公钥、私钥数字证书的概念 加密和认证   首先我们需要区分加密和认证这两个基本概念。   加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的真实性。两者的侧重点是不同
我理解的数字证书-1-公钥,私钥数字证书
weixin_34302798的博客
11-22 1821
英文原文地址: http://www.youdzone.com/signature.html 若下文有任何错误,请告知我,谢谢。79996286@qq.com 主角介绍:Bob and Alice 提起RSA加密算法,公钥和私钥,多数文章都要使用Bob和Alice这两位人物。他们的创造者名叫Rivest,是RSA之父。他为了在避免在描述中使用A和B,就以这两个字母开头,创建一男一女两个角色...
公钥私钥与数字签名
tyh1579152915的博客
11-11 4020
英文原文网址:http://www.youdzone.com/signature.html 原文:http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html 最近看到一篇很好的文章分享给大家 首先给大家科普一下什么是公钥私钥: 公钥是与私钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),其中的
数字证书、公钥和私钥这三者之间的关系
hongbinchen的专栏
08-11 5659
转载: 数字证书、公钥和私钥这三者之间的关系是什么  (来源:google 作者:不详)        根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字
数字证书、公钥和私钥这三者之间的关系是什么
kavenyang的专栏
12-22 3188
根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解 密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意 保密。 数字证书则是由证书认证机构 ( CA ) 对证书申请者真实身份验证之后, 用 CA 的根证书 对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形 成的一个数字文件。  
公钥、私钥、数字签名和数字证书
qq_41644069的博客
11-13 5431
Bob有两把钥匙,一把叫公钥(public key),一把叫私钥(private key)。 Bob的公钥可以公开供其他人使用,他只保留自己的私钥。公钥和私钥用来加解密数据,如果使用任意一把来加密数据,那么只有使用另外一把才能解密数据。 Susan想给Bob写信,她可以使用Bob的公钥将内容加密以后发送给Bob,Bob收到以后,使用私钥解密以便阅读内容。Bob的的其他同事即使截获了Susan发送给Bob的信件,由于没有Bob的私钥,也无法解密,从而确保数据安全。以上就是使用公钥和私钥加解密...
HTTPS(一):公钥、私钥数字证书
ArtAndLife的博客
02-28 8527
1. 从一个加密通信的演化过程 看各种加密技术的由来及作用: 1.1 传统HTTP的明文传输:   传统的HTTP方式在网络传输时,传输数据都是明文的,很容易出现数据被监听和窃取的情况:   另外,传输的数据还有可能被一些别有用心的人篡改,导致浏览器与服务器之间收发的内容不一致:   也就是说,使用HTTP明文传输至少存在着 数据被监听 以及 数据被篡改 这两大风险,因此HTTP是一种不安全的协议。 1.2 对称加密:   既然HTTP明文传输是一种不安全的协议,那么显然就需要在网络传输过程中对数据进
数字证书及公钥、私钥
wyqwilliam的博客
04-29 4012
用户在访问一个网站的时候,用户不知道这个网站是合法网站还是钓鱼网站,但是浏览器会弹出提醒用户,意思就是说有可能是一个钓鱼网站,问主人是否继续访问。如果用户点击“允许”,那么就说明即使访问到了钓鱼网站造成了损失,这个锅是由用户自己承担的。 这样即使访问正常的网站,也会一直提醒,好麻烦呀。有没有解决办法呢,答案是有的。当用户访问的时候,这个服务器底层完成给浏览器显示自己合法的证明材料,这个证明材料即...
公钥私钥加密解密数字证书数字签名详解
热门推荐
大鹏
12-27 2万+
首先明确几个基本概念: 1、密钥对,在非对称加密技术中,有两种密钥,分为私钥和公钥,私钥是密钥对所有者持有,不可公布,公钥是密钥对持有者公布给他人的。 2、公钥,公钥用来给数据加密,用公钥加密的数据只能使用私钥解密。 3、私钥,如上,用来解密公钥加密的数据。 4、摘要,对需要传输的文本,做一个HASH计算,一般采用SHA1,SHA2来获得。 5、签名,使用私钥
小记账本 uniapp
最新发布
01-24
### 使用 UniApp 开发小记账本应用程序 #### 项目概述 生活记账小程序通过前端 Vue 和 UniApp 设计开发,后端采用 SpringBoot 提供数据接口支持。主要功能模块包括首页展示、分类记账以及微信登录状态管理[^1]。 #### 创建新项目 首先安装 HBuilderX 或者其他 IDE 工具来创建一个新的 UniApp 项目: ```bash npm install -g @dcloudio/uni-cli uni create myAccountBookProject ``` 进入项目目录并初始化必要的配置文件。 #### 配置 App.vue 生命周期函数 为了更好地控制应用生命周期,在 `App.vue` 中定义如下几个重要钩子函数用于处理不同场景下的逻辑操作: - **onLaunch**: 当整个程序启动时调用此方法, 可以在这里做一些全局性的初始化工作. - **onShow**: 页面每次从前台切到后台再返回前台都会触发这个事件, 合适用来刷新某些实时变化的内容. - **onHide**: 对应于当用户点击 Home 键使 APP 进入后台运行模式时执行的动作. 这些设置有助于提升用户体验流畅度和响应速度[^2]. #### 数据绑定与交互实现 确保所有的业务逻辑都放置在 methods 下面,并且避免 data 属性名称同 method 名冲突以免造成不必要的错误;另外注意检查 HTML 标签内部是否存在重复属性声明尤其是集成第三方 UI 组件库 uView-ui 的时候要格外小心[^3]: ```html <template> <!-- 记录条目输入框 --> </template> <script> export default { name: 'RecordEntry', data() { return { recordType: '', amount: null, date: '' } }, methods:{ addNewRecord(){ // 添加新的财务记录... } } } </script> ``` #### 接口对接与缓存机制 对于前后端分离架构的应用来说,合理的 API 路由规划至关重要。这里推荐使用 RESTful 风格的服务端点配合 axios 发起 HTTP 请求完成增删改查等基本 CRUD 功能。与此同时引入 Redis 做为临时存储介质加速频繁访问的数据读取效率降低 MySQL 查询压力。 #### 微信开放能力接入 如果计划让这款理财工具具备社交分享特性,则需按照官方文档指引注册成为微信公众平台开发者账号获得 appid 权限认证之后才能正常使用诸如支付等功能服务。此外还可以考虑加入直播营销插件吸引更多潜在客户群体关注产品动态[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值