单证书和双证书的签发流程

最新推荐文章于 2025-01-15 17:18:13 发布
原创 最新推荐文章于 2025-01-15 17:18:13 发布 · 8.6k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#加密 #ssl #解密 #ie #c

1. 单证书的签发

1) 用户填写信息注册(或者由RA的业务操作员注册用户)。

2) 用户信息传递到RA。

3) RA审核通过

4) 用户请求发证

5) RA审核通过

6) 用户签发证书请求。

7) RA把用户信息传递到CA。 

8) CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。

9) CA把用户信息和从KMC中取到的公钥制作成证书。

10) CA用自己的私钥给用户证书签名。

11) CA把自己的用户证书和用户的私钥通过SSL通路传递给RA。

12) 用户从RA下载证书。

13) 用户安装证书。



2. 双证书的签发

1) 签名证书的签发

a) 用户填写信息注册(或者由RA的业务操作员注册用户)。

b) 用户本地ACTIVE控件调用IE中的加密机生成签名证书的密钥对。

c) 用户填写的信息和签名证书的公钥传递给RA。

d) RA把用户信息和公钥传递给CA。

e) CA把用户信息和从KMC中取到的公钥制作成证书。

f) CA用自己的私钥给用户证书签名。

g) CA把生成的用户证书传递给RA。

h) 用户从RA下载证书。

i) 用户安装签名证书。

2) 加密证书的签发

a) 用户把用户的签名证书传递到RA。

b) RA用户的签名证书传递到CA。

c) CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。

d) CA把从签名证书中得到的用户信息和从KMC中取到的公钥制作成证书。

e) CA用自己的私钥给用户证书签名。

f) CA调用签名证书的公钥给加密证书和用户加密证书的私钥加密。

g) CA把加密之后的加密证书和加密证书的私钥传递给RA。

h) 用户从RA加密之后的加密证书和加密证书的私钥。

i) 用户在本地调用签名证书的私钥解密加密证书和加密证书的私钥。

j) 用户安装加密证书。

使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
PKI证书双证书
wzw_wwl的博客
03-13 1028
PKI证书双证书内容详细解读
签发双证书流程
Guozr7的博客
11-03 372
ca签发双证书流程
openssl证书签发流程详解
魏志标的博客
06-13 4834
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。构成部分密码算法库密钥证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.509 证书证书签名请求(CSR)CRLs(证书回收列表)计算消息摘要使用各种 Cipher加密/解密SSL/TLS 客户端以及服务器的测试处理S/MIME 或者加密邮件数字证书标准X.509版本号。
国密双证书签发及国密数据信封解析
Followcuit的博客
11-24 1万+
国密双证书签发,及国密数字信封解析 产生签名密钥对 gmssl ecparam -genkey -name sm2p256v1 -text -out server_sign.key 产生p10签名请求 gmssl req -new -key server_sign.key -out sign_pub_key_csr.req 3.得到第三方国密ca签发双证书国密p7数据信封 sign.p7b、encrypt.p7b、private.data 这里面最关键是提取private.data中的加
istio证书签发流程
yevvzi的博客
08-07 1333
envoy 中的证书验证 combined_validation_context 组合的证书验证上下文包含默认的CertificateValidationContextSDS配置。 当SDS服务器返回动态CertificateValidationContext时,动态默认的CertificateValidationContext都将合并到新的CertificateValidationContext中以进行验证。 此合并是通过Message::MergeFrom()完成的,因此动态的Certifica
Gmssl两种证书demo
03-17
本教程将详细讲解GMSSL的两种证书类型及其生成流程。 一、GMSSL证书类型 1. 标准证书:这种证书主要用于网站的身份验证,它包含了发行机构的信息、公钥私钥的所有者(即网站的域名)、证书的有效期等。标准GMSSL...
使用golang进行证书签发双向认证
weixin_34419326的博客
06-05 3452
前言 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书签发涉及到了非对称加密方面的知识,这里介绍使用golang中的x509标准库进行证书签发,还有证书签发后如何使用golang进行双向认证. 自签发证书 生成根证书证书是CA认证中心给自己颁发的证书,是信任链的起始点.这里我们自己做CA使用ope...
openssl自签名CA根证书、服务端客户端证书生成并模拟向/双向证书验证
赴前尘
02-03 2322
openssl自签名CA根证书、服务端客户端证书生成并模拟向/双向证书验证
CA系统详解系列:数字证书的申请、签发验证流程
qq_52825648的博客
01-15 5651
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息数据等以加密解密的形式保证了信息数据的完整性安全性。本问将详细讲解数字证书的申请、签发验证流程
CA证书签发流程详情
热门推荐
m0_61979385的博客
12-17 1万+
一,什么是CA证书: CA证书是电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA证书一般用于HTTPS服务中的SSL或TSL协议中,是一种确保服务器或客户端的合法性的一种证书 二,CA证书签发流程: CA证书签发流程一般可以分为六步,分别是 1.申请认证 , 2.审核信息, 3.签发证书 ...
项目组使用的PKI技术采用双密钥、双证书机制,请简述双密钥证书的生成过程。...
weixin_35755562的博客
01-12 1081
双密钥证书的生成过程包括以下步骤: 首先,用户需要生成一对公钥私钥。这对密钥是非常重要的,私钥用于签名加密,而公钥用于验证签名解密。 用户将公钥发送给证书颁发机构 (CA),请求颁发证书。 CA收到公钥后,会验证该公钥的真实性有效性。如果通过了验证,CA会签发一个数字证书,其中包括了用户的公钥一些其他的信息,如用户名证书有效期。 数字证书签发完成后,CA会用自己的私钥对该证书进...
证书申请、签发部署流程
shuangyug的博客
04-15 1942
通常情况下,作为文件形式存在的证书一般有三种格式:第一种:带有私钥的证书,由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥私钥的二进制格式的证书形式,以.pfx作为证书文件后缀名。第二种:DER Encoded Binary (.cer) 二进制编码的证书证书中没有私钥,DER 编码二进制格式的证书文件,以.cer作为证书文件后缀名。
PKI双证书机制及其产生过程
Aragorn_XH的博客
05-30 9554
以下内容参考了网上的部分帖子,结合个人理解,整理而成
国家为什么要使用双证书体系?
weixin_45575405的博客
07-25 1686
签名时用户A(简称A)使用自己的私钥加密信息的摘要,即签名操作;B)使用A的公钥进行解密,对比该摘要是否正确,若正确,则B就确定了A的身份,即。加密加密证书在传递加密数据时使用,其私钥公钥由CA产生,并由CA保管(存。加密时A用B的公钥将信息加密传递给B,B使用自己的私钥解密,进而获得信息。签名时签名证书仅仅用来验证身份使用,其公钥私钥均由A自己产生,并且由自己。双证书如果签名私钥遗失,用户再产生一对即可,影响不大,因此签名密钥没。4.用户使用自己的签名私钥解密,获得双证书加密密钥。...
CA证书说明与使用
qq_54089476的博客
09-02 8345
对于私钥/公钥的文件后缀有时候用 key/crt,有时候用 pem,其实这不重要,重要的是文件中的内容格式。主要功能为:证书发放、证书更新、证书撤销证书验证。生成CA证书之后可以直接部署在服务器上,也可以通过下面的步骤,用CA证书签署服务器公钥生成服务器证书,然后部署到服务器上。2、CA机构对请求文件进行身份确认,邮箱、第三方数据库、当面认证身份确认等,根据身份认证等级来划分不同的认证方式。通过openssl生成证书,需要生成CA密钥对CA证书,而第三方CA机构颁发只需要提供一个请求文件即可。
OpenSSL 密码库实现证书签发流程详解
zhuguanlin121的博客
10-20 1730
基础理论 openssl简介 对称加密非对称加密 生成证书流程原理 CA签发流程 openssl基础操作
用户NOC证书设备NOC证书双向认证流程
最新发布
09-10
<think> 我们之前讨论过两种NOC认证:一种是加拿大国家职业分类(移民相关),另一种是网络运维中心(技术认证)。现在用户提到“NOC证书“设备NOC证书”的双向认证流程,这明显属于技术领域的网络认证,特别是设备认证场景。 需要明确概念: - 用户NOC证书:指网络运维人员持有的身份证书(如之前描述的NOC认证) - 设备NOC证书:指网络设备(路由器、交换机等)的硬件身份证书 双向认证流程指在设备管理过程中,运维人员与设备之间相互验证身份的过程,常见于零信任网络架构。 回答结构: 1. 解释双向认证的必要性(防止未授权访问设备伪造) 2. 分步骤描述认证流程(使用技术术语但保持清晰) 3. 给出典型协议实现(如TLS双向认证) 4. 提供配置示例片段(如OpenSSL命令) 5. 注意事项(证书管理、吊销机制等) 特别注意:需严格遵循输出规则,末尾必须带3-5个相关问题 </think> ### 用户NOC证书与设备NOC证书双向认证流程详解 双向认证是网络安全的核心机制,确保运维人员(用户NOC证书持有者)与网络设备(设备NOC证书)的**双向身份合法性**。以下是完整流程(以TLS双向认证为例): #### 认证流程架构 ```mermaid sequenceDiagram participant User as 用户终端 participant Device as 网络设备 User->>Device: 发起连接请求(含用户NOC证书) Device->>User: 下发设备NOC证书+随机挑战码 User->>Device: 用设备公钥加密挑战码+数字签名 Device->>User: 用用户公钥验证签名+返回认证结果 ``` --- ### 核心步骤说明 #### 1. **证书预配置阶段** | 角色 | 证书内容要求 | 存储位置 | |--------------|----------------------------------|-----------------------| | **用户证书** | ▸ 持有者姓名/工号 | 硬件令牌/USB Key | | | ▸ 公钥 + CA签名 | 或PKI智能卡 | | **设备证书** | ▸ 设备序列号/MAC地址 | TPM安全芯片 | | | ▸ 公钥 + 同一CA签名 | 或设备安全存储区 | > 📌 **必要条件**:双方证书必须由**同一根CA**签发,且CRL(证书吊销列表)实时同步 #### 2. 双向握手流程(基于TLS 1.3) 1. **ClientHello**: - 用户端发送支持的密码套件列表+用户证书指纹 2. **ServerHello**: - 设备端返回选定的密码套件+设备证书+随机数R1 3. **证书验证**: ```python # 用户端验证设备证书示例(Python伪代码) if verify_cert(device_cert, ROOT_CA) and check_crl(device_cert): encrypt(R1, device_pub_key) # 用设备公钥加密R1 else: terminate_connection() # 立即终止连接 ``` 4. **Finished报文**: - 双方交换HMAC摘要,验证握手完整性 #### 3. 会话密钥生成 ```mermaid flowchart TB A[用户随机数R2] --> B[ECDH密钥交换] C[设备随机数R1] --> B B --> D[生成主密钥MS] D --> E[派生会话密钥<br>加密密钥/完整性密钥] ``` --- ### 关键安全机制 1. **防重放攻击**: - 每次会话使用唯一随机挑战码 - 时间戳±30秒有效期限制 2. **证书吊销检查**: - OCSP(在线证书状态协议)实时查询 - 本地CRL缓存更新周期≤5分钟 3. **密钥保护**: - 用户私钥:硬件加密模块(HSM)保护 - 设备私钥:TPM 2.0安全存储 --- ### 典型配置示例(OpenSSL实现) ```bash # 设备端配置(Nginx示例) ssl_client_certificate /ca/user_ca.crt; # 信任的用户CA ssl_verify_client on; # 强制验证客户端证书 ssl_verify_depth 2; # 用户端连接命令 openssl s_client -connect device_ip:443 \ -cert user_noc.pem -key user_private.key \ -CAfile device_ca.crt ``` --- ### 故障排查要点 | 错误代码 | 原因 | 解决方案 | |----------|-----------------------|------------------------| | **ERR_BAD_CERT** | 设备证书过期 | 更新设备证书 | | **SSL_HANDSHAKE_FAIL** | 双方CA不一致 | 统一根CA证书 | | **OCSP_INVALID** | 吊销状态验证失败 | 检查OCSP响应服务器 | > ⚠️ 审计要求:所有双向认证日志必须保留≥180天
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值