CA学习指南.doc

CA学习指南 文档概述 本文讲解CA相关的PKI技术及数字证书业务。同时简单介绍信息安全行业的其它产品。文档供内部成员学习使用，禁止外传。 基础知识 2.1 数字证书公钥私钥 公钥和私钥，两把密钥可以互为加解密。公钥是公开的，不需要必威体育官网网址，而私钥是由证书持人自己持有，并且必须妥善保管和注意必威体育官网网址数字证书是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件CA完成签发证书后，会将证书发布在CA的证书库（目录服务器）中，任何人都可以查询和下载，因此数字证书和公钥一样是公开的。可以这样说，数字证书就是经过CA认证过的公钥，而私钥一般情况都是由证书持有者在本地生成，由证书持有者自己加密 手段：非对称密钥 描述：用接方的证书进行加密，发送方将密文发送给接收方，接方用自己的私钥进行解密得到明文。 发送方接方用发送方证书cer证书文件--可采用DER或Base64编码方式保存，不含私钥 pem证书文件--BASE64编码不含私钥 p7b证书文件 --树状证书链，包括证书同时也支持个证书，不含 私钥pfx/p12证书文件--以pkcs#12格式存储证书和私钥通常包含保护密 码，2进制方式 --pkcs10简称。证书请求p7r文件 --是CA对证书请求的回复，只用于导入 --Java格式存储的证书 密钥库文件格式【Keystore】 格式 扩展名 描述 特点 JKS .jks/.ks 【Java Keystore】密钥库的Java实现版本，provider为SUN 密钥库和私钥用不同的密码进行保护 JCEKS .jce 【JCE Keystore】密钥库的JCE实现版本，provider为SUN JCE 相对于JKS安全级别更高，保护Keystore私钥时采用TripleDES PKCS12 .p12/.pfx 【PKCS #12】个人信息交换语法标准 1、包含私钥、公钥及其证书2、密钥库和私钥用相同密码进行保护 BKS .bks 【Bouncycastle Keystore】密钥库的BC实现版本，provider为BC 基于JCE实现 UBER .ubr 【Bouncycastle UBER Keystore】密钥库的BC更安全实现版本，provider为BC  证书文件格式【Certificate】 格式 扩展名 描述 特点 DER .cer/.crt/.rsa 【ASN .1 DER】用于存放证书 不含私钥、二进制 PKCS7 .p7b/.p7r 【PKCS #7】加密信息语法标准 1、p7b以树状展示证书链，不含私钥2、p7r为CA对证书请求签名的回复，只能用于导入 CMS .p7c/.p7m/.p7s 【Cryptographic Message Syntax】 1、p7c只保存证书2、p7m：signature with enveloped data3、p7s：时间戳签名文件 PEM .pem 【Printable Encoded Message】 1、该编码格式在RFC1421中定义，其实PEM是【Privacy-Enhanced Mail】的简写，但他也同样广泛运用于密钥管理2、ASCII文件3、一般基于base 64编码 PKCS10 .p10/.csr 【PKCS #10】公钥加密标准【Certificate Signing Request】 1、证书签名请求文件2、ASCII文件3、CA签名后以p7r文件回复 SPC .pvk/.spc 【Software Publishing Certificate】 微软公司特有的双证书文件格式，经常用于代码签名，其中1、pvk用于保存私钥2、spc用于保存公钥  2.4 证书生产 用户在申请证书时，获得一张p10，此时就已经产生私钥了。默认在存在IE中也可以用专用的key保存。P10包含了用户的一些扩展信息戳，然后使用p10去CA系统申请证书，CA给用户颁发的证书盖上了CA的标志，证书带有公钥。是p7b格式，用户想把私钥从IE中拿走就是下载为pfx格式。 如果门户系统需要使用数字认证系统，首先门户系统需要通过CSP产生一个私钥及p10。然后通过p10去CA服务器申请一个数字证书。门户系统申请到的CA用户证书存放格式为jks文件（Java开发的系统）或pem文件（C开发的系统）。访问门户系统时可以采用spkm或https协议。 2.5 证书签名与验签 通常用户证书是由一个CA机构或者支级CA机构来颁发有效证书的。被颁发的证书被根CA签名过，而使用用户证书就需要根CA来对用户证书验签了，只有通过验签了才说明用户证