一、证书颁发

1.单证书的签发

  1. 用户填写信息注册(或者由RA的业务操作员注册用户)。
  2. 用户信息传递到RA。
  3. RA审核通过。
  4. 用户请求发证。
  5. RA审核通过。
  6. 用户签发证书请求。
  7. RA把用户信息传递到CA。
  8. CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。
  9. CA把用户信息和从KMC中取到的公钥制作成证书。
  10. CA用自己的私钥给用户证书签名。
  11. CA把自己的用户证书和用户的私钥通过SSL通路传递给RA。
  12. 用户从RA下载证书。
  13. 用户安装证书。

2.双证书的签发

签名证书的签发

  • a) 用户填写信息注册(或者由RA的业务操作员注册用户)。
  • b) 用户本地ACTIVE控件调用IE中的加密机生成签名证书的密钥对。
  • c) 用户填写的信息和签名证书的公钥传递给RA。
  • d) RA把用户信息和公钥传递给CA。
  • e) CA根据用户信息和公钥制作成证书
  • f) CA用自己的私钥给用户证书签名。
  • g) CA把生成的用户证书传递给RA。
  • h) 用户从RA下载证书。
  • i)用户安装签名证书。

加密证书的签发

  • a) 用户把用户的签名证书传递到RA。
  • b) RA用户的签名证书传递到CA。
  • c) CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。
  • d) CA把从签名证书中得到的用户信息和从KMC中取到的公钥制作成证书。
  • e) CA用自己的私钥给用户证书签名。
  • f) CA调用签名证书的公钥给加密证书和用户加密证书的私钥加密
  • g) CA把加密之后的加密证书和加密证书的私钥传递给RA。
  • h) 用户从RA加密之后的加密证书和加密证书的私钥。
  • i) 用户在本地调用签名证书的私钥解密加密证书和加密证书的私钥。
  • j) 用户安装加密证书。

二、具体实现

2.1 用户首先产生自己的密钥对,并将公共密钥及部分个人信息传送给CA(通过P10请求

 CertAndKeyGen gen = new CertAndKeyGen("RSA", "SHA1WithRSA");

  gen.generate(1024);//生成1024位密钥

 PKCS10CertificationRequestBuilder p10Builder = new JcaPKCS10CertificationRequestBuilder(

                     new X500Principal("CN = " + name), gen.getPublicKey());// CN和公钥

  JcaContentSignerBuilder csBuilder = new JcaContentSignerBuilder("SHA256withRSA");// 签名算法

  ContentSigner signer = null;

  signer = csBuilder.build(gen.getPrivateKey());

  PKCS10CertificationRequest csr = p10Builder.build(signer);// PKCS10的请求

  return csr;//返回PKCS10的请求

2.2 CA接受请求并生成证书

CertificateFactory certFactory = CertificateFactory.getInstance("X.509");

X509Certificate cacert = (X509Certificate) certFactory.generateCertificate(new  FileInputStream(certPath));

//一大堆参数 ,填充到生成器里

AlgorithmIdentifier sigAlgId = new 	   DefaultSignatureAlgorithmIdentifierFinder().find("SHA1withRSA");

AlgorithmIdentifier digAlgId = new DefaultDigestAlgorithmIdentifierFinder().find(sigAlgId);

org.bouncycastle.asn1.x500.X500Name issuer = new org.bouncycastle.asn1.x500.X500Name(

                                          cacert.getSubjectX500Principal().getName());        BigInteger serial = new BigInteger(32, new SecureRandom());

  Date from = new Date();

  Date to = new Date(System.currentTimeMillis() + (365 * 80 * 86400000L));

  X509v3CertificateBuilder certgen = new X509v3CertificateBuilder(issuer, serial, from, to,                                                                    csr.getSubject(),

csr.getSubjectPublicKeyInfo())

Key privateKey = productPrivateKey();

// CA端进行签名, 才有具有法律效力

ContentSigner signer = new BcRSAContentSignerBuilder(sigAlgId, digAlgId)

               .build(PrivateKeyFactory.createKey(privateKey.getEncoded()));

// 生成BC结构的证书

 Security.addProvider(new BouncyCastleProvider());

X509Certificate resultBc = new JcaX509CertificateConverter().setProvider("BC").getCertificate(certgen.build(signer));

  return resultBc;//返回证书

三、P10请求详解

  • 定义:证书请求文件,类似于CSR文件。
  • p10证书一般是一个base64文件,实际上他不是一张真正的证书应该是一段可以向CA申请证书的P10请求,该请求一般是通过硬件生成密钥对后,将私钥单独存放,但是将公钥放入p10中,CA受到该p10请求后,可以校验,并根据p10中的信息制作一张没有私钥的公钥证书。

CSR:证书签发请求(Certificate Signing Request),

  • CSR也叫做认证申请,是一个发送到CA的请求认证信息。 有两种格式,应用最广泛的是由PKCS#10定义的,另一个用的少的是由SPKAC定义的,主要应用于网景浏览器。

  • 在PKCS#10定义中,CSR有两种编码格式:二进制(ASN.1或DER (Distinguished Encoding Rules))和文本格式(the text or PEM (Privacy Enhanced Mail)formatted CSR is the binary CSR after it has been Base-64 encoded to create a text version of the CSR.)

  • CSR文件生成步骤如下:

    • 根据Version、Distinguished Name、Public Key、Attributes生成请求证书;
    • 用Private Key加密证书请求信息;
    • 根据请求信息、签名算法和签名生成CSR文件;

  • CSR文件包含的信息描述如下

         CertificationRequest ::= SEQUENCE {
    
     certificationRequestInfo CertificationRequestInfo,//证书信息
    
     signatureAlgorithm AlgorithmIdentifier{{ SignatureAlgorithms }},//签名算法
    
     signature          BIT STRING //签名
    
   }//另外还可能有可选的字段,如postal address和Email address,这两个字段可以应用于证书的撤销。

注意:私钥不包含在CSR文件中,但是应用于数字签名

签名分两步

  • 将certificateRequestInfo 进行DER编码,产生八位字节字符串;

  • 将步骤一的结果用请求者的私钥在指定的签名算法下,产生签名;

  • 请求信息定义如下

    CertificationRequestInfo ::= SEQUENCE {
    
   version       INTEGER { v1(0) } (v1,...),
    
    subject       Name, //证书主体的专有名称
    
    subjectPKInfo SubjectPublicKeyInfo{{ PKInfoAlgorithms }},
    
    attributes    [0] Attributes{{ CRIAttributes }}
    
}

  • subjectPublicKeyInfo 包含被认证的公钥

  • attributes 关于认证主提其他信息属性集合

     SubjectPublicKeyInfo { ALGORITHM : IOSet} ::= SEQUENCE {
    
    algorithm        AlgorithmIdentifier {{IOSet}},
    
    subjectPublicKey BIT STRING
    
}
    

    PKInfoAlgorithms ALGORITHM ::= {
    
    ...  -- add any locally defined algorithms here -- }

Attributes { ATTRIBUTE:IOSet } ::= SET OF Attribute{{ IOSet }}

CRIAttributes  ATTRIBUTE  ::= {
    
    ... -- add any locally defined attributes here -- }

Attribute { ATTRIBUTE:IOSet } ::= SEQUENCE {
    
    type   ATTRIBUTE.&id({IOSet}),
    
    values SET SIZE(1..MAX) OF ATTRIBUTE.&Type({IOSet}{@type})
    
}

  • 等价写法

    CertificationRequest ::= SIGNED { EncodedCertificationRequestInfo }
    
    (CONSTRAINED BY { -- Verify or sign encoded
    
     -- CertificationRequestInfo -- })

  EncodedCertificationRequestInfo ::=
    
      TYPE-IDENTIFIER.&Type(CertificationRequestInfo)

 SIGNED { ToBeSigned } ::= SEQUENCE {
    
    toBeSigned ToBeSigned,
    
    algorithm  AlgorithmIdentifier { {SignatureAlgorithms} },
    
     signature  BIT STRING
    
  }

X509证书申请以及PKCS#10 详解的更多相关文章

  1. IOS 开发环境,证书和授权文件等详解

    (转自:http://blog.csdn.net/gtncwy/article/details/8617788) 一.成员介绍1.    Certification(证书)证书是对电脑开发资格的认证, ...

  2. 【转】IOS 开发环境,证书和授权文件等详解

    (转自:http://blog.csdn.net/gtncwy/article/details/8617788) 一.成员介绍1.    Certification(证书)证书是对电脑开发资格的认证, ...

  3. nginx配置ssl证书实现https加密请求详解

    原文链接:http://www.studyshare.cn/software/details/1175/0 一.加密方式 1.对称加密 所谓对称加密即:客户端使用一串固定的秘钥对传输内容进行加密,服务 ...

  4. CentOS 7安装MariaDB 10详解以及相关配置

    第一步:添加 MariaDB yum 仓库 首先在CentOS操作系统中/etc/yum.repos.d/目录下添加 MariaDB 的YUM配置文件MariaDB.repo文件. vi /etc/y ...

  5. OWASP TOP 10 详解

      OWASP--开放式web应用程序安全项目 参考文献:袁鸣凯.OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防.2016-9-18. https://blog.csdn.n ...

  6. 《精通并发与Netty》学习笔记(10 - 详解NIO (一) Channel、Buffer )

    一.Java NIO 概述 Java NIO 由以下几个核心部分组成:ChannelsBuffersSelectors虽然Java NIO 中除此之外还有很多类和组件,但在我看来,Channel,Bu ...

  7. Linux的加密认证功能以及openssl详解

    一.详细介绍加密.解密技术 现在的加密/解密技术主要有三种:对称加密,非对称加密,和单向加密 这三种加密解密技术的组合就是现在电子商务的基础,它们三个有各自最适合的领域,而且所要完成的功能也是不同的, ...

  8. iOS 证书申请和使用详解(详细版)

    对于iOS开发者来说,apple开发者账号肯定不会陌生.在开发中我们离不开它.下面我简单的为大家分享一下关于iOS开发中所用的证书相关知识. 第一部分:成员介绍 1.Certification(证书) ...

  9. 【转】iOS开发者申请发布证书及真机调试图文详解

    原文网址:http://www.tqcto.com/article/mobile/57822.html 打开iOS Dev Center,选择Sign in,登陆(至少99美元账号),登陆之后在网页右 ...

随机推荐

  1. 自定义shell命令--闪烁的字母(PIL实现)

    之前看到shell命令行,有人写过漫天下字母的cmatrix,想自己动手用python写一个类似,但是比较有自己风格的shell屏保 大致效果如下: 制作这个的大体思路比较简单: 1.利用python ...

  2. DNS Brand

    1) You must add glue records (child nameservers) to your-domain.com from your domain's registrar con ...

  3. java 解析json字符串

    如果转载我的这篇文章请注明出处,谢谢! 最近工作中,需要解析json格式的字符串,恰好有个例子,感觉不错,拿来分享. 运行这个类需要加载jar包:ezmorph-1.0.6.jar.json-lib- ...

  4. Day14 集合(一)

    集合总体介绍 Java集合是java提供的工具包,包含了常用的数据结构:集合.链表.队列.栈.数组.映射等.Java集合工具包位置是java.util.*Java集合主要可以划分为4个部分:List列 ...

  5. Linux服务器之间免密同步文件、重启R服务

    机器:ML-01/ML-02/ML-03 需求: 1.在ML-01上自动将文件同步至ML-02/ML-03 2.在ML-01上通过脚本重启ML-02/ML-03上的R服务 说明:以下示例中,ML-02 ...

  6. Spring源码分析(十九)容器的功能扩展概览

    摘要: 本文结合<Spring源码深度解析>来分析Spring 5.0.6版本的源代码.若有描述错误之处,欢迎指正. 经过前面几章的分析,相信大家已经对 Spring 中的容器功能有了简单 ...

  7. 学习Java 采取令牌的方式避免重复提交

    重复提交原因 从提交页面到成功页面的跳转一般采用视图定位,由于视图定位是在服务端跳转的,如果用户在点击提交之后再次刷新页面,会导致重复提交,数据库的数据会有重复. 采用令牌措施 1.在转账展示页面生成 ...

  8. Linux(Redhat)安装python虚拟环境

    哇!安装的好烦啊,最后发现是自己网络的原因.静心总结一下吧!!! python是3.6 centos 6 64位 1.安装python https://blog.csdn.net/O_OKKk/art ...

  9. office2010安装需MSXML版本6.10.1129.0详解解

    https://blog.csdn.net/qq_40824474/article/details/82390606 office2010安装提示报错 由于下列原因,安装程序无法继续,需要计算机安装M ...

  10. day91 DjangoRestFramework学习三之认证组件、权限组件、频率组件、url注册器、响应器、分页组件

    DjangoRestFramework学习三之认证组件.权限组件.频率组件.url注册器.响应器.分页组件   本节目录 一 认证组件 二 权限组件 三 频率组件 四 URL注册器 五 响应器 六 分 ...