数字证书:签名证书&加密证书

  • 首先介绍一下基础技术铺垫
    • 这里可以复习一下数字签名和数字证书的知识
    • 进入正题:什么是加密证书和签名证书?
    • 下面是引用其它文章对国内双证书的介绍

首先介绍一下基础技术铺垫

数字证书是基于认证机构(可信第三方)实现的,若不懂请复习PKI相关知识,我国为了加强对数据机密性的管控,采用双证书体系(签名证书&加密证书),签名密钥对由用户自己产生,而加密密钥对则是由KMC(密钥管理中心)生成。
——————————————————————————————————————————

这里可以复习一下数字签名和数字证书的知识

数字签名是为了实现不可否认性或者叫抗抵赖性的一种技术,是使用自己的私钥进行签名,验证方用发送方的公钥对其进行验证,来确认发送方的身份。
但这个过程存在一定问题,这个公钥怎么确定是发送方的呢?存在中间人攻击的问题。
那么数字证书的出现,就解决了这个问题,数字证书是基于认证机构(可信第三方)进行认证,也就是PKI体系,前提是这个第三方是可信的,第三方也有一对公私钥,用其私钥对发起认证方的基本信息及公钥进行签名,上述的验证方就可以使用认证机构的公钥进行验证,来确定这个发送方公钥来源的真实性。

进入正题:什么是加密证书和签名证书?

数字证书可分为签名证书和加密证书。
签名证书主要用于对用户信息进行签名,以保证信息的有效性和不可否认性;
加密证书主要用于对用户传送信息进行加密,以保证信息的保密性和完整性。
每个证书都包含一对密钥即签名公钥和签名私钥,加密公钥和加密私钥,将签名证书和加密证书的公钥公布于外。
签名时,用签名证书的私钥进行签名,其他用户可以利用公布于外网的签名公钥对签名进行验证。
加密时,用户B利用用户A公布于外网的加密公钥对信息进行加密传送给用户A,用户A利用自己的加密私钥对加密后的信
息进行解密得到完整的明文信息。

下面是引用其它文章对国内双证书的介绍

既然单证书可以搞定一切,为何要使用双证书?
原文链接:https://blog.csdn.net/slikel/article/details/84288936

逻辑上:
如果签名私钥遗失,大不了用户再产生一对,并无多大影响,因此签名密钥没必要交给CA;

如果加密密钥遗失,别人发过来的信息我就没办法解密了,必须从CA那里获取存根。

单证书的话,如果私钥丢了,你如何恢复之前得到的信息呢?

因此从道理上来说两个密钥具有不同的属性,逻辑上应该分开处理。

安全性上:

单证书增加了用户签名被伪造的风险

国家意志:

国家要保证必要的时候有能力对某些通讯进行监控,如果采用单证书,除了自己谁也无法解密(理论上啦),不利于国家安全。因此很多国家法律规定使用双证书。

双证书签发流程:

虽然是双密钥和双证书,从流程上来看,一遍流程即可搞定。

1,用户产生签名密钥对,发送证书请求给RA/CA(请求中包含1个公钥)

2,RA/CA向KMC请求加密密钥对

3,签发两张证书,连同加密密钥一起发送给用户(采用签名证书加密)

4,用户使用自己的签名私钥解密,获得两张证书+加密密钥。

数字证书:签名证书加密证书相关推荐

  1. IdentityServer4之JWT签名(RSA加密证书)及验签

    一.前言 在IdentityServer4中有两种令牌,一个是JWT和Reference Token,在IDS4中默认用的是JWT,那么这两者有什么区别呢? 二.JWT与Reference Token ...

  2. 使用openssl生成双向加密证书(转)

    要生成证书的目录下建立几个文件和文件夹,有 ./demoCA/ ./demoCA/newcerts/ ./demoCA/private/ ./demoCA/index.txt (空文件,生成证书时会将 ...

  3. SSL数字证书之CA根证书、CA中间证书和SSL证书

    [前言] 说一下大背景吧,我们的一个后台服务需要部署在一个没法上外网的环境,但是我们的后台服务需要访问七牛云进行对象存储,于是乎,需要一个代理来完成这个访问,我门采用nginx七层来做这个代理,因为七 ...

  4. 自签名证书和私有CA签名的证书的区别 创建自签名证书 创建私有CA 证书类型 证书扩展名

    自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信 如果你的规划需要创建多个证书,那么使用私有CA ...

  5. java和签名工具_java 证书工具keytool生成自签名证书和自签CA证书

    jdk自带的证书管理工具叫keytool,在jdk/bin目录下,可以用来生成自签名证书.导入导出证书.打印证书信息等. 1. 名词 自签名证书:用自己的私钥签发自己的公钥即主体信息生成的证书. 证书 ...

  6. 不要签名证书将网页打包封装成苹果APP,无需苹果企业签名,IPA证书签名,ios签名证书,免越狱安装...

    不用签名证书将网页封装成苹果APP,无需苹果企业证书 签名,IPA证书签名,ios证书签名,免越狱安装 (本方法只支持网站封装app,原生的用不了,详细请咨询客服) 近期很多朋友问我把网站变成app的 ...

  7. 使用苹果企业证书签名的绿色游戏应用有以下几个优势:

    避免了越狱风险 使用苹果企业证书签名的应用不需要越狱设备就可以安装和使用,因此可以避免越狱风险.越狱是一种非法行为,会给设备带来安全隐患,而苹果企业证书签名的应用则遵循苹果公司的安全规范,保证了应用的 ...

  8. SSL证书的根证书和中间根证书的区别

    SSL证书的根证书和中间根证书的区别. 什么是根证书? 根证书是指CA机构颁发SSL证书的核心,是信任链的起始点. 根证书是浏览器是否对SSL证书每个浏览器都有一个根证书库?有的浏览器是采用自主的根证 ...

  9. sm2证书生成(双证书)

    国密双证书 双证书:包括签名证书和加密证书 双证书需要用硬件加密机生成,用gmssl命令无法生成 cfca下载双证书 1.访问https://cstest.cfca.com.cn/ 2.选:Web服务 ...

  10. OpenSSL命令大全,CA证书生成,客户端证书生成实例

    1.X509证书链 x509证书一般会用到三类文件,key,csr,crt. Key是私用密钥,openssl格式,通常是rsa算法. csr是证书请求文件,用于申请证书.在制作csr文件的时候,必须 ...

最新文章

  1. 第一代电子计算机诞生的国家是( ),计算机基础知识习题.doc
  2. 女生学编程有哪些好处呢?
  3. wifi定位算法 java_记一次APP的so层算法逆向(七)
  4. 三十八、Scrapy 下载中间件Middleware
  5. opengl加载显示3D模型FBX类型文件)
  6. redis——客户端
  7. Crypto.com宣布将在2021年1月19日下架XRP
  8. python代码示例-Python numpy.cov()用法及代码示例
  9. Android复习强化笔记(二)
  10. Xamarin iOS教程之使用按钮接接收用户输入
  11. #0的作用及time slot的划分
  12. [收藏]判断文本框中的内容必须全为数字
  13. 查看oracle数据库版本
  14. 推荐一款非常好用的文本替换工具“Replace Pioneer”
  15. 四川大学计算机学院优秀毕业论文,(完整版)四川大学本科_毕业论文(设计)_有关规定...
  16. 公务员备考(十) 行测 资料分析
  17. 影楼——Lr基础操作PS动作及批处理
  18. Java文件操作——简单文件搜索优化版本Lambda优化
  19. 计算机博士有哪些专业方向,国内计算机专业博士研究方向-20210619140356.docx-原创力文档...
  20. Scheme语言基础之数据类型

热门文章

  1. JavaSE基础笔记——JOptionPane编写员工管理系统;GUI使用;写一个超级数组
  2. 集成mybatis-generator-maven-plugin报错A required class was missing while ..org/mybatis/generator/api/dom
  3. Java中Switch-Case用法小结
  4. MEMS:万物智联技术关键
  5. 100ask imx6ull开发板移植NXP官方UBOOT
  6. 高以翔死因曝光!猝死前最后4分钟,他本还有一次活的机会...
  7. Cesium 多边形(polygon)extrudedHeight 和 height 的区别
  8. 微信小程序 在wxml写过滤器 脱敏手机号
  9. iphone win7无法识别_win7系统电脑插入苹果设备提示“无法识别IOS设备”的原因和解决方法...
  10. Oauth2认证图解