ca数字证书

1. 数据传输分类 在互联网上数据传输有两种：明文传输和加密传输。明文传输的协议有：ftp、http、smtp、telnet。但是为了数据的完整性和安全性，所以后来引用了加密等相关手段来保证数据的安全和完整性。 2. 案例引入 我在外地出差，因工作需要，公司主管要发给我一份重要资料给我，怎么才能让这个资料顺利的传到我的手上，而且我怀疑有人会窃取这个重要资料，若是被谁窃取到那公司损失就大了！ 3. 安全的特点 我能确定这个资料来来自公司 --- 数据来源认证 我能确保在通过因特网传输时没有被修改过 --- 数据的完整性保护（传输的过程中是否被修改） 确宝没有别人能够看到这份资料 --- 数据私密性 （不能被别看到） 主管不能事后否认他曾经发送过那份资料本给我 ---（不可否认性） 4. 角色说明 互联网 黑客 数据 加密 数据 5. 算法 (1). 密码学算法主要分为两个大类，对称加密算法和非对称加密算法，对称加密算法技术已经存在了很长的时间。最早在埃及使用！ (2). 我们很快就能看到，对称加密算法和非对称加密算法各有所长和弱点，所以现代密码系统都在努力做到适当地使用这两类算法以利用它们的长处，同时又避开它们各自的缺点。 6. 对称加密算法的加密和解密原理 对称加密算法概念： 使用相同密钥与算法进行加解密运算的算法就叫做对称加密算法 具体加密过程如下图： 7.

2013-09-07 Step 1. Create key (password protected) openssl genrsa -out prvtkey.pem 1024/2048 (with out password protected) openssl genrsa -des3 -out prvtkey.pem 1024/2048 (password protected) 这个命令会生成一个1024/2048位的密钥。 Step 2. Create certification request openssl req -new -key prvtkey.pem -out cert.csr openssl req -new -nodes -key prvtkey.pem -out cert.csr 这个命令将会生成一个证书请求，当然，用到了前面生成的密钥prvtkey.pem文件 这里将生成一个新的文件cert.csr，即一个证书请求文件，你可以拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书。CA会给你一个新的文件cacert.pem，那才是你的数字证书。 Step 3: Send certificate request to Certification Authority (CA) 如果是自己做测试，那么证书的申请机构和颁发机构都是自己

使用OpenSSL生成证书 首先得安装OpenSSL软件包openssl，安装了这个软件包之后，我们可以做这些事情： o Creation of RSA, DH and DSA Key Parameters # 创建密钥 key o Creation of X.509 Certificates, CSRs and CRLs # 创建证书 o Calculation of Message Digests # o Encryption and Decryption with Ciphers # 加密、解密 o SSL/TLS Client and Server Tests # SSL 服务器端/客户端测试 o Handling of S/MIME signed or encrypted Mail # 处理签名或加密了的邮件 1、生成RSA密钥的方法 openssl genrsa -des3 -out privkey.pem 2048这个命令会生成一个2048位的密钥，同时有一个des3方法加密的密码，如果你不想要每次都输入密码，可以改成：openssl genrsa -out privkey.pem 2048建议用2048位密钥，少于此可能会不安全或很快将不安全。2、生成一个证书请求 openssl req -new -key privkey.pem -out cert.csr

----------------------------------------------------SSL/TLS 介绍----------------------------------------------------------------------------------- 一: SSL/TLS 介绍 SSL 是安全套接层 (secure sockets layer)， TLS 是 SSL 的继任者，叫传输层安全 (transport layer security)。 在明文的上层和 TCP 层之间加上一层加密，这样就保证上层信息传输的安全。如 HTTP 协议是明文传输，加上 SSL 层之后，就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。 SSL协议实现的安全机制包括： 数据传输的机密性：利用对称密钥算法对传输的数据进行加密。 身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。 消息完整性验证：消息传输过程中使用MAC算法来检验消息的完整性。为了避免网络中传输的数据被非法篡改，SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 ----------------------------------------------------SSL/TLS 版本-----------------

漫谈iOS程序的证书和签名机制 P_Chou 6 天前 发布 推荐 4 推荐 收藏 42 收藏， 2.9k 浏览 原文： 漫谈iOS程序的证书和签名机制 接触iOS开发半年，曾经也被这个主题坑的摸不着头脑，也在淘宝上买过企业证书签名这些服务，有大神都做了一个全自动的发布打包（不过此大神现在不卖企业证书了），甚是羡慕和崇拜。于是，花了一点时间去研究了一下iOS这套证书和签名机制，并撰文分享给需要的朋友。由于本人才疏学浅，多有遗漏或错误之处，还请大神多多指教。 非对称加密和摘要 非对称加密的特性和用法 非对称加密算法可能是世界上最重要的算法，它是当今电子商务等领域的基石。简而言之，非对称加密就是指加密密钥和解密密钥是不同的，而且加密密钥和解密密钥是成对出现。非对称加密又叫公钥加密，也就是说成对的密钥，其中一个是对外公开的，所有人都可以获得，称为公钥，而与之相对应的称为私钥，只有这对密钥的生成者才能拥有。公私钥具有以下重要特性： 对于一个私钥，有且只有一个与之对应的公钥。生成者负责生成私钥和公钥，并保存私钥，公开公钥 公钥是公开的，但不可能通过公钥反推出私钥，或者说极难反推，只能穷举，所以只要密钥足够长度，要通过穷举而得到私钥，几乎是不可能的 通过私钥加密的密文只能通过公钥解密，公钥加密的密文只有通过私钥解密 由于上述特性，非对称加密具有以下的典型用法： 对信息保密，防止中间人攻击

一、概述 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但PKI绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI作为国家信息化的基础设施，是相关技术、应用、组织、规范和法律法规的总和，是一个宏观体系，其本身就体现了强大的国家实力。PKI的核心是要解决信息网络空间中的信任问题

下文主要从加密算法的特征、常用加密算法和加密工具等方面，梳理和比较对称加密、单向加密和公钥加密的概念及其之间的联系。 对称加密 采用单钥密码的加密方法，同一个密钥可以同时用来加密和解密，这种加密方法称为对称加密，也称为单密钥加密。常用的单向加密算法： DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合； 3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高； AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，支持128、192、256、512位密钥的加密； Blowfish 算法特征： 1、加密方和解密方使用同一个密钥； 2、加密解密的速度比较快，适合数据比较长时的使用； 3、密钥传输的过程不安全，且容易被破解，密钥管理也比较麻烦； 加密工具： openssl，它使用了libcrypto加密库、libssl库即TLS/SSL协议的实现库等。TLS/SSL是基于会话的、实现了身份认证、数据机密性和会话完整性的TLS/SSL库。openssl官网。 gpg 单向散列加密 单向加密又称为不可逆加密算法，其密钥是由加密散列函数生成的。单向散列函数一般用于产生消息摘要，密钥加密等，常见的有： 1、MD5

http基本概念 http是一个无状态 ，无连接的基于TCP协议的单向应用层协议 一、无连接 无连接即每次链接只处理一个请求，请求和应答后就断开链接 二、无状态 http的每次请求都是独立的，不相关的，协议对事物处理没有记忆功能。 HTTP无状态的特性严重阻碍了这些交互式应用程序的实现，毕竟交互是需要承前启后的，简单的购物车程序也要知道用户到底在之前选择了什么商品。于是，两种用于保持HTTP状态的技术就应运而生了，一个是Cookie，而另一个则是Session。 HTTP请求报文 HTTP请求报文由3部分组成（报文行+报文头+报文体）： 常见的HTTP响应报文头属性 Cache-Control 响应输出到客户端后，服务端通过该报文头属告诉客户端如何控制响应内容的缓存。 常见的取值有private、public、no-cache、max-age，no-store，默认为private。 private: 客户端可以缓存 public: 客户端和代理服务器都可缓存（前端的同学，可以认为public和private是一样的） max-age=xxx: 缓存的内容将在 xxx 秒后失效 no-cache: 需要使用对比缓存来验证缓存数据 no-store: 所有内容都不会缓存 默认为private，缓存时间为31536000秒（365天）也就是说，在365天内再次请求这条数据

我们经常听到数字证书，数字签名这些词。 这些证书，签名到底是什么？ 他们又起到什么样的作用？ 其原理是什么？ 了解这些我们需要先了解加密方式，以及什么是公钥？什么是私钥？ 1. 加密方式 先解释一下2种常用的加密方式。 ◆ 对称加密 加密的传统方法是对称加密。发出讯息者用一把钥匙对讯息加密。 接收讯息者需用这把钥匙将加密了的讯息解密。 这把钥匙必须以一种其他人没有机会得到它的方式给予接收讯息者。 如果其他人得到了这把钥匙，这种加密方式就没用了。 ◆ 非对称加密算法 非对称加密算法需要两个密钥：公开密钥(publickey)和私有密钥(privatekey) 公开密钥与私有密钥是一对，可以相互加密和解密。 如果用公钥对数据进行加密，只有用对应的密钥才能解密。 如果用密钥对数据进行加密，那么只有用对应的公钥才能解密。 因为非对称加密算法安全性比较高，所以下面的数字签名，数字证书都是用了非对称加密算法。 2. 数字签名digital signature 在现实生活中，签名是为了表示这是签名者写的。计算机中，数字签名也是相同的含义。 举一个例子如果A，B两台计算机相互通讯： A计算机传输给B计算机信息的时候，A计算机会在消息的最后写上去自己的签名，以代表这些信息是A计算机的。 B计算机接到消息后，先看签名是不是A计算机判断不是别人冒充A计算机发送不安全或是无效的信息(有效性)。 除此之外

加密算法 1、加密的两种方法： 　　对称（私钥）密码体制 　　非对称（公钥）密码体制 2、对称密码体制 　　加密密钥与解密密钥相同 　　保密强度高，但密钥管理难且可抵赖 　　从加密模式来看，分为两类： 　　a、序列密码 　　有限状态机产生伪随机序列——>使用该序列逐比特加密信息流 　　b、分组密码 　　明文按照固定长度分组——>用固定长度密钥单独加密每个分组 　　分组算法：DES、3DES、IDEA、IDEA、Skip-jack、Safer-64、LOK189、Shark 3、非对称加密体制 　　加密密钥（公开密钥）与解密密钥（专用密钥）不同 　　基本过程：A生成一对密钥——>公开其中的公开密钥PK——>C使用PK加密并将密文发送给A——>A用其中的专用密钥ZK解密 　　非对称密码体制中的每个用户都有一对选定的密钥 　　非对称密码体制，密钥管理简单，不可抵赖，但所需密钥长度较长，处理速度较慢 WPKI 　　 1、PKI：公钥基础设施 　　PKI系统：提供公钥加密和数字签名的系统 　　数字证书组成：用户身份，用户公钥，认证中心的数字签名 2、PKI系统的组成：认证中心CA、注册中心RA、证书库、客户端软件 　　a、认证中心 　　验证用户身份——>对含有用户身份与公钥的数据结构数字签名，捆绑用户身份和密钥——>生成公钥证书 　　根证书：直接被用户终端信任的CA