❶ 如何用java實現asn1編解碼..急急急急急急急急急!!!
byte[] content=contentStr.getBytes("asn1"); //如果asn1是一種編碼,這就是將字元串轉換成asn1的二進制
❷ asn1primitive.java在哪個包裡面
java沒有utils這個類,除非是同事寫的,沒有告訴自己,所以找不到
不過java有 java.util這個package。
包含集合框架、遺留的 collection 類、事件模型、日期和時間設施、國際化和各種實用工具類(字元串標記生成器、隨機數生成器和位數組、日期Date類、堆棧Stack類、向量Vector類等)。集合類、時間處理模式、日期時間工具等各類常用工具包
❸ asn.1 editor使用方法
免費軟體不用注冊直接使用,簡單實用。 AVS Video Editor 是一款超強的視頻編輯、媒體剪輯軟體,可以將影片、圖片、 聲...
❹ ASN.1解碼
ASN.1:
高級數據描述語言,描述數據類型、結構、組織及編碼方法。包含語法符號和編碼規則兩大部分。SNMP使用ASN.1描述協議數據單元(PDU)和管理對象信息庫(MIB);
BER:
是ASN.1中的基本編碼規則。描述具體的ASN.1對象如何編碼成比特流在網路上進行傳輸。SNMP使用BER作為編碼方案,數據首先經過BER編碼,再經由傳輸層協議(一般是UDP)發送往接收方。接收方在SNMP埠收到PDU後,經過BER解碼後,得到具體的SNMP操作數據。
SMI
是SNMP的描述方法。ASN.1功能很強大,但SNMP只用到其中一小部分,為了方便使用,對這部分內容做了描述,限定了范圍,這就是SMI。SMI由ASN.1的一個子集合和一部分自定義的類型、宏等組成。SMI是ASN.1的一個子集和超集。
MIB:
使用SMI中定義的類型和ASN.1中的基本類型進行對象描述,是一個使用SMI描述的管理信息庫。每一類關心的事件都有一組MIB,比如網路介面有一棵MIB樹,TCP有一棵MIB樹,UDP也有一棵狀態樹。定義了數據格式、類型、順序、意義等;
PDU
是網路中傳送的數據包,SNMP的協議數據單元。每一種SNMP操作物理上都對應一個PDU。PDU是基本的通信格式,使用ASN.1描述,使用BER編碼,通過傳書層協議傳送;
❺ 安裝補丁時彈出 ASN1異常的數據結尾
可能是補丁下載不完全。在360安裝目錄下的的hotfix文件夾里 ,刪除已經下載的補丁包,點擊360掃描的漏洞後,360右側顯示的詳細信息里,有此補丁的下載鏈接,建議手動使用迅雷等下載工具下載安裝,是否成功!
❻ asn.1編譯器的商業用途有哪些主要運用於哪些行業
主要運用於通信行業,通信數據結構的編解碼規則很多是用到了ASN.1的編解碼規則,
❼ 數字證書包括哪些內容
問題一:什麼是數字證書?數字證書中包含哪些內容? 數字證書就是互聯網通訊中標志通訊各方身份信息的一系列數據,提供了一種在Internet上驗證您身份的方式,其作用類似於司機的駕駛執照或日埂生活中的身份證。它是由一個由權威機構-----CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。
問題二:數字證書包含什麼 數字證書使用對象的角度分,目前的數字證書類型主要包括:個人身份證書、 企業或機構身份證書 、 支付網關證書 、伺服器證書、企業或機構代碼簽名證書、 安全電子郵件證書 、 個人代碼簽名證書 。 個人身份證書 符合 X.509 標準的數字安全證書,證書中包含個人身份信息和個人的公鑰,用於標識證書持有人的個人身份。數字安全證書和對應的私鑰存儲於 E-key 中,用於個人在網上進行合同簽定、定單、錄入審核、操作許可權、支付信息等活動中標明身份。 企業或機構身份證書 符合 X.509 標準的數字安全證書,證書中包含企業信息和企業的公鑰,用於標識證書持有企業的身份。數字安全證書和對應的私鑰存儲於 E-key 或 IC 卡中,可以用於企業在電子商務方面的對外活動,如合同簽定、網上證券交易、交易支付信息等方面。 支付網關證書 支付網關證書是證書簽發中心針對支付網關簽發的數字證書,是支付網關實現數據加解密的主要工具,用於數字簽名和信息加密。支付網關證書僅用於支付網關提供的服務(Internet 上各種安全協議與銀行現有網路數據格式的轉換)。 支付網關證書只能在有效狀態下使用。 支付網關證書不可被申請者轉讓。 伺服器證書 符合 X.509 標準的數字安全證書,證書中包含伺服器信息和伺服器的公鑰,在網路通訊中用於標識和驗證伺服器的身份。數字安全證書和對應的私鑰存儲於 E-key 中。伺服器軟體利用證書機制保證與其他伺服器或客戶端通信時雙方身份的真實性、安全性、可信任度等。 企業或機構代碼簽名證書 代碼簽名證書是 CA 中心簽發給軟體提供商的數字證書,包含軟體提供商的身份信息、公鑰及 CA 的簽名。軟體提供商使用代碼簽名證書對軟體進行簽名後放到 Internet 上,當用戶在 Internet 上下載該軟體時,將會得到提示,從而可以確信:軟體的來源;軟體自簽名後到下載前,沒有遭到修改或破壞。 代碼簽名證書可以對 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件 進行簽名。 安全電子郵件證書 符合 X.509 標準的數字安全證書,通過 IE 或 Netscape 申請,用 IE 申請的證書存儲於 WINDOWS 的注冊表中,用 NETSCAPE 申請的存儲於個人用戶目錄下的文件中。用於安全電子郵件或向需要客戶驗證的 WEB 伺服器( 服務) 表明身份。 個人代碼簽名證書 個人代碼簽名證書是 CA 中心簽發給軟體提供人的數字證書,包含軟體提供個人的身份信息、公鑰及 CA 的簽名。軟體提供人使用代碼簽名證書對軟體進行簽名後放到 Internet 上,當用戶在 Internet 上下載該軟體時,將會得到提示,從而可以確信:軟體的來源;軟體自簽名後到下載前,沒有遭到修改或破壞。 代碼簽名證書可以對 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件進行簽名。 從數字證書的技術角度分,CA中心發放的證書分為兩類:SSL證書和SET證書。一般地說,SSL(安全套接層)證書是服務於銀行對企業或企業對企業的電子商務活動的;而SET(安全電子交易)證書則服務於持卡消費、網上購物。雖然它們都是用於識別身份和數字簽名的證書,但它們的信任體系完全不同,而且所符合的標准也不一樣。簡單地說,SSL證書的作用是通過公開密鑰證明持證人的身份。而SET證書的作用則......>>
問題三:數字證書包含內容 此信息用途很多。例如,如果某一證書被撤消,其序列號將放到證書撤消清單 (CRL) 中。 簽名演算法標識符 用於識別 CA 簽寫證書時所用的演算法。 簽發人姓名簽寫證書的實體的 X.500 名稱。它通常為一個 CA。 使用該證書意味著信任簽寫該證書的實體(注意:有些情況下(例如根或頂層 CA 證書),簽發人會簽寫自己的證書)。 有效期每個證書均只能在一個有限的時間段內有效。該有效期以起始日期和時間及終止日期和時間表示,可以短至幾秒或長至一世紀。所選有效期取決於許多因素,例如用於簽寫證書的私鑰的使用頻率及願為證書支付的金錢等。它是在沒有危及相關私鑰的條件下,實體可以依賴公鑰值的預計時間。 主體名證書可以識別其公鑰的實體名。此名稱使用 X.500 標准,因此在Internet中應是唯一的。它是實體的特徵名 (DN),例如, CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US (這些指主體的通用名、組織單位、組織和國家)。 主體公鑰信息 這是被命名實體的公鑰,同時包括指定該密鑰所屬公鑰密碼系統的演算法標識符及所有相關的密鑰參數。 X.509 1 版自 1988 年起有售,已得到廣泛使用,是最常用的版本。 X.509 2 版引入了主體和簽發人唯一標識符的概念,以解決主體和/或簽發人名稱在一段時間後可能重復使用的問題。大多數證書監視文檔都極力建議不要重復使用主體或簽發人名稱,而且建議證書不要使用唯一標識符。版本 2 證書尚未得到廣泛使用。 X.509 3 版是最新的版本(1996 年)。它支持擴展的概念,因此任何人均可定義擴展並將其納入證書中。現在常用的擴展包括:KeyUsage(僅限密鑰用於特殊目的,例如「只簽」)和 AlternativeNames(允許其它標識與該公鑰關聯,例如 DNS 名、電子郵件地址、IP 地址)。擴展可標記為「極重要」,以表示應選中該擴展並強制執行或使用。例如,如果某一證書將 KeyUsage 擴展標記為「極重要」,而且設置為「keyCertSign」,則在 SSL 通信期間該證書出現時將被拒絕,因為該證書擴展表示相關私鑰應只用於簽寫證書,而不應該用於 SSL。 證書中的所有數據均用兩個名為 ASN.1/DER 的相關標准進行編碼。抽象語法注釋 1 (Abstract Syntax Notation 1) 對數據進行描述。確定性編碼規則 (DER) 描述儲存和傳輸數據的唯一方式。既有人稱這一組合「強大而靈活」,也有人稱之為「含混而笨拙」。
問題四:什麼是數字證書?它的主要內容有哪些 摘錄網上資料:數字證書數字證書是網路通訊中標志通訊各方身份信息的一系列數據, 提供了一種在Internet上驗證您身份的方式,其作用類似於司機 的駕駛執照或日常生活中的身份證。它是一個由權威機構--CA機 構,又稱為證書授權(Certificate Authority)中心發行的,人們 可以在交往中用它來識別對方的身份。 數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有 者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱 以及證書授權中心的數字簽名。
問題五:什麼是數字證書?數字證書有哪些類型 這就要求參加電子商務的買方和賣方都必須擁有合法的身份,並且在網上能夠有效無誤的被進行驗證。數字證書是一種權威性的電子文檔。它提供了一種在Internet上驗證您身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構----CA證書授權(Certificate Authority)中心發行的,人們可以在互聯網交往中用它來識別對方的身份。當然在數字證書認證的過程中,證書認證中心(CA)作為權威的、公正的、可信賴的第三方,其作用是至關重要的。數字證書也必須具有唯一性和可靠性。為了達到這一目的,需要採用很多技術來實現。通常,數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題,用戶可以公開其公開密鑰,而保留其私有密鑰。一個數字證書的內容一般包括:所有者的公鑰所有者的名字公鑰的失效期發放機構的名稱(發放數字證書的 CA)數字證書的序列號發放機構的數字簽名被廣泛接受的數字證書格式由 CCITT X.509 國際標準定義;因此任何符合 X.509 的應用程序都可讀寫證書。在 PKCS 標准和 PEM 標准中有更進一步的明確表達。數字證書頒發過程一般為:用戶首先產生自己的密鑰對,並將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份後,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然後,認證中心將發給用戶一個數字證書,該證書內包含用戶的個人信息和他的公鑰信息,同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同,每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。目前的數字證書類型主要包括:個人數字證書、單位數字證書、單位員工數字證書、伺服器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。作用用來在網路通訊中識別通訊各方的身份,並保證網路安全的四大要素保密性完整性真實性不可否定性
問題六:什麼叫數字證書 ? 數字證書
數字證書在網路上類似於人在社會上持有的身份證等證件,用來在網路上證明數字證書持有者的身份。數字證書持有者可能是現實社會中的自然人、法人,也可能是網路設備。數字證書可以簡單理解為「網路身份證」,用來在網路上證明自己的身份。
數字證書與身份證都是由專門的機構來簽發。身份證通常由公安局來簽發,上面蓋有簽發單位的公章。而受電子簽名法保護的數字證書則是由國家許可的第三方數字認證中心(簡稱CA中心),例如獲得信息產業部審批資質的天威誠信數字認證中心來簽發數字證書上面有CA中心的電子簽名,以證明數字證書的有效性。根據國家相關部門的許可授權建立的數字認證中心,在Internet上具有公信力,用它簽發的數字證書所簽署的電子合同、電子訂單等電子文書具有法律效力。
數字證書上面主要包括以下信息:證書版本號、證書持有者信息、證書簽發者(CA)信息、證書起止有效期、證書序列號、證書簽發者的簽名等。這些信息與身份證類似。證書簽發者對數字證書的簽名可以起到對數字證書本身的防偽作用,這與身份證上的公章類似。但CA中心對證書的數字簽名是不可能被偽造的。
基於數字證書的應用角度分類,數字證書可以分為以下幾種:
? 伺服器證書
伺服器證書被安裝於伺服器設備上,用來證明伺服器的身份和進行通信加密。伺服器證書可以用來防止假冒站點。
在伺服器上安裝伺服器證書後,客戶端瀏覽器可以與伺服器證書建立SSL連接,在SSL連接上傳輸的任何數據都會被加密。同時,瀏覽器會自動驗證伺服器證書是否有效,驗證所訪問的站點是否是假冒站點,伺服器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球最為知名的伺服器證書品牌是verisign.其伺服器證書編制起來的可信網路已覆蓋全球,目前該公司已通過聯合國內數字認證企業如天威誠信開展中國區服務
? 電子郵件證書
電子郵件證書可以用來證明電子郵件發件人的真實性。它並不證明數字證書上面CN一項所標識的證書所有者姓名的真實性,它只證明郵件地址的真實性。
收到具有有效電子簽名的電子郵件,我們除了能相信郵件確實由指定郵箱發出外,還可以確信該郵件從被發出後沒有被篡改過。
另外,使用接收的郵件證書,我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網路傳輸,只有接收方的持有者才可能打開該郵件。
? 客戶端個人證書
客戶端證書主要被用來進行身份驗證和電子簽名。
安全的客戶端證書我被存儲於專用的u *** key中。存儲於key中的證書不能被導出或復制,且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質u *** key,且需要知道key的保護密碼,這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。
問題七:數字證書都有什麼類型啊? GlobalSign 自 1996 年起開始頒發可信賴的數字證書,提供互聯網環境中的公眾信任服務。
數字證書類型,GlobalSign 為您分析:
從數字簽名使用對象的角度分,目前的數字證書類型主要包括:個人身份證書、企業或機構身份證書、支付網關證書、伺服器證書、安全電子郵件證書、個人代碼簽名證書。這些數字證書特點各有不同。
從數字證書的技術角度分,CA中心發放的證書分為兩類:SSL證書和SET證書。一般地說,SSL 證書(安全套接層)是服務於銀行對企業或企業對企業的電子商務活動的;而SET(安全電子交易)證書則服務於持卡消費、網上購物。雖然它們都是用於識別身份和數字簽名的證書,但它們的信任體系完全不同,而且所符合的標准也不一樣。簡單地說,SSL數字證書的功能作用是通過公開密鑰證明持證人的身份。而 SET 證書的作用則是,通過公開密鑰證明持證人在指定銀行確實擁有該信用卡賬號,同時也證明了持證人的身份。
下面主要從對象角度說明:
1)個人身份證書 符合 X.509 標準的數字安全證書,證書中包含個人身份信息和個人的公鑰,用於標識證書持有人的個人身份。數字安全證書和對應的私鑰存儲於 E-key 中,用於個人在網上進行合同簽定、定單、錄入審核、操作許可權、支付信息等活動中標明身份。
2)企業或機構身份證書 符合 X.509 標準的數字安全證書,證書中包含企業信息和企業的公鑰,用於標識證書持有企業的身份。數字安全證書和對應的私鑰存儲於 E-key 或 IC 卡中,可以用於企業在電子商務方面的對外活動,如合同簽定、網上證券交易、交易支付信息等方面。
3)支付網關證書? 支付網關證書是證書簽發中心針對支付網關簽發的數字證書,是支付網關實現數據加解密的主要工具,用於數字簽名和信息加密。支付網關證書僅用於支付網關提供的服務(Internet 上各種安全協議與銀行現有網路數據格式的轉換)。支付網關證書只能在有效狀態下使用。支付網關證書不可被申請者轉讓。
4)伺服器證書 符合 X.509 標準的數字安全證書,證書中包含伺服器信息和伺服器的公鑰,在網路通訊中用於標識和驗證伺服器的身份。數字安全證書和對應的私鑰存儲於 E-key 中。伺服器軟體利用證書機制保證與其他伺服器或客戶端通信時雙方身份的真實性、安全性、可信任度等。
5)企業或機構代碼簽名證書 代碼簽名證書是 CA 中心簽發給軟體提供商的數字證書,包含軟體提供商的身份信息、公鑰及 CA 的簽名。軟體提供商使用代碼簽名證書對軟體進行簽名後放到 Internet 上,當用戶在 Internet 上下載該軟體時,將會得到提示,從而可以確信:軟體的來源;軟體自簽名後到下載前,沒有遭到修改或破壞。代碼簽名證書可以對 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件 進行簽名。
6)安全電子郵件證書 符合 X.509 標準的數字安全證書,通過 IE 或 Netscape 申請,用 IE 申請的證書存儲於 WINDOWS 的注冊表中,用 NETSCAPE 申請的存儲於個人用戶目錄下的文件中。用於安全電子郵件或向需要客戶驗證的 WEB 伺服器( 服務) 表明身份。
7)個人代碼簽名證書 個人代碼簽名證書是 CA 中心簽發給軟體提供人的數字證書,包含軟體提供個人的身份信息、公鑰及 CA 的簽名。軟體提供人使用代碼簽名證書對軟體進行簽名後放到 Internet 上,當用戶在 Internet 上下載該軟體時,將會得到提示,......>>
問題八:簡述數字證書的作用 信息的保密性
交易中的商務信息均有保密的要求,如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功首先要能確認對方的身份,商家要考慮客戶端是不是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店,為了做到安全、保密、可靠地開展服務活動,都要進行身份認證的工作。對有關的銷售商店來說,他們對顧客所用的信用卡的號碼是不知道的,商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法,確認顧客的身份是否合法,同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認受到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
由於商情的千變萬化,交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認收到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制,其它還包括對稱密鑰加密、數字簽名、數字信封等技術。
問題九:數字證書的作用是什麼? 數字證書的工作原理是比較復雜的。簡單地講,結合證書主體的私鑰,證書在通信時用來出示給對方,證明自己的身份。證書本身是公開的,誰都可以拿到,但私鑰(不是密碼)只有持證人自己掌握,永遠也不會在網路上傳播。
例如:在建行網上銀行系統中,有三種證書:建行CA認證中心的根證書、建叮網銀中心的伺服器證書,每個網上銀行用戶在瀏覽器端的客戶證書。有了這三個證書,就可以在瀏覽器與建行網銀伺服器之間建立起SSL連接。這樣,您的瀏覽器與建行網銀伺服器之間就有了一個安全的加密信道。您的證書可以使與您通訊的對方驗證您的身份(您確實是您所聲稱的那個您),同樣,您也可以用與您通訊的對方的證書驗證他的身份(他確實是他所聲稱的那個他),而這一驗證過程是由系統自動完成的。
❽ 一個標準的x.509數字證書包括哪些內容
X.509證書
X.509 標准規定了證書可以包含什麼信息,並說明了記錄信息的方法(數據格式)。除了簽名外,所有 X.509 證書還包含以下數據:
版本
識別用於該證書的 X.509 標準的版本,這可以影響證書中所能指定的信息。迄今為止,已定義的版本有三個。
序列號
發放證書的實體有責任為證書指定序列號,以使其區別於該實體發放的其它證書。此信息用途很多。例如,如果某一證書被撤消,其序列號將放到證書撤消清單 (CRL) 中。
簽名演算法標識符
用於識別 CA 簽寫證書時所用的演算法。
簽發人姓名
簽寫證書的實體的 X.500 名稱。它通常為一個 CA。 使用該證書意味著信任簽寫該證書的實體(注意:有些情況下(例如根或頂層 CA 證書),簽發人會簽寫自己的證書)。
有效期
每個證書均只能在一個有限的時間段內有效。該有效期以起始日期和時間及終止日期和時間表示,可以短至幾秒或長至一世紀。所選有效期取決於許多因素,例如用於簽寫證書的私鑰的使用頻率及願為證書支付的金錢等。它是在沒有危及相關私鑰的條件下,實體可以依賴公鑰值的預計時間。
主體名
證書可以識別其公鑰的實體名。此名稱使用 X.500 標准,因此在Internet中應是唯一的。它是實體的特徵名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(這些指主體的通用名、組織單位、組織和國家)。
主體公鑰信息
這是被命名實體的公鑰,同時包括指定該密鑰所屬公鑰密碼系統的演算法標識符及所有相關的密鑰參數。
X.509 1 版自 1988 年起有售,已得到廣泛使用,是最常用的版本。
X.509 2 版引入了主體和簽發人唯一標識符的概念,以解決主體和/或簽發人名稱在一段時間後可能重復使用的問題。大多數證書監視文檔都極力建議不要重復使用主體或簽發人名稱,而且建議證書不要使用唯一標識符。版本 2 證書尚未得到廣泛使用。
X.509 3 版是最新的版本(1996 年)。它支持擴展的概念,因此任何人均可定義擴展並將其納入證書中。現在常用的擴展包括:KeyUsage(僅限密鑰用於特殊目的,例如「只簽」)和 AlternativeNames(允許其它標識與該公鑰關聯,例如 DNS 名、電子郵件地址、IP 地址)。擴展可標記為「極重要」,以表示應選中該擴展並強制執行或使用。例如,如果某一證書將 KeyUsage 擴展標記為「極重要」,而且設置為「keyCertSign」,則在 SSL 通信期間該證書出現時將被拒絕,因為該證書擴展表示相關私鑰應只用於簽寫證書,而不應該用於 SSL。
證書中的所有數據均用兩個名為 ASN.1/DER 的相關標准進行編碼。抽象語法注釋 1 (Abstract Syntax Notation 1) 對數據進行描述。確定性編碼規則 (DER) 描述儲存和傳輸數據的唯一方式。既有人稱這一組合「強大而靈活」,也有人稱之為「含混而笨拙」。
參考:網路
❾ ios 私鑰pem怎麼轉pkcs8
用途: pkcs8格式的私鑰轉換工具。它處理在PKCS#8格式中的私鑰文件。它可以用多樣的PKCS#5 (v1.5 and v2.0)和 PKCS#12演算法來處理沒有解密的PKCS#8 PrivateKeyInfo格式和EncryptedPrivateKeyInfo格式。 用法: [cpp] view plain openssl pkcs8 [-inform PEMDER] [-outform PEMDER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-topk8] [-noiter] [-nocrypt] [-nooct] [-embed] [-nsdb] [-v2 alg] [-v1 alg] [-engine id] 選項說明: -inform PEMDER::輸入文件格式,DER或者PEM格式。DER格式採用ASN1的DER標准格式。一般用的多的都是PEM格式,就是base64編碼格式。 -outform DERPEM:輸出文件格式,DER或者PEM格式。 -in filename:輸入的密鑰文件,默認為標准輸入。如果密鑰被加密,會提示輸入一個密鑰口令。 -passin arg:輸入文件口令保護來源。 -out filename:輸出文件,默認為標准輸出。如果任何加密操作已經執行,會提示輸入一個密鑰值。輸出的文件名字不能和輸入的文件名一樣。 -passout arg:輸出文件口令保護來源。 -topk8:通常的是輸入一個pkcs8文件和傳統的格式私鑰文件將會被寫出。設置了此選項後,位置轉換過來:輸入一個傳統格式的私鑰文件,輸出一個PKCS#8格式的文件。 -noiter:MAC保護計算次數為1。 -nocrypt:PKCS#8密鑰產生或輸入一般用一個適當地密鑰來加密PKCS#8 EncryptedPrivateKeyInfo結構。設置了此選項後,一個不加密的PrivateKeyInfo結構將會被輸出。這個選項一直不加密私鑰文件,在絕對必要的時候才能夠使用。某些軟體例如一些JAVA代碼簽名軟體使用不加密的私鑰文件。 -nooct:這個選項產生的RSA私鑰文件是一個壞的格式,一些軟體將會使用。特別的是,私鑰文件必須附上一個八位組字元串,但是一些軟體僅僅包含本身的結構體沒有使八位組字元串所環繞。不採用八位組表示私鑰。 -embed:這個選項產生的RSA私鑰文件是一個壞的格式。在私鑰結構體中採用嵌入式DSA參數格式。在這個表單中,八位組字元串包含了ASN1 SEQUENCE中的兩種結構:一個SEQUENCE包含了密鑰參數,一個ASN1 INTEGER包含私鑰值。 -nsdb:這個選項產生的RSA私鑰文件是一個壞的格式並兼容了Netscape私鑰文件資料庫。採用NetscapeDB的DSA格式。 -v2 alg:採用PKCS#5 v2.0,並指定加密演算法,默認的是PKCS#8私鑰文件被叫做B<pbeWithMD5AndDES-CBC>(該演算法用56位元組的DES加密但是在PKCS#5 v1.5中有更加強壯的加密演算法)的加密演算法用口令進行加密。用B<-v2>選項,PKCS#5 v2.0相關的演算法將會被使用,可以是des3(168位元組)和rc2(128位元組),推薦des3。 -v1 alg:採用PKCS#5 v1.5或pkcs12,並指定加密演算法。可採用的演算法見下面。 -engine id:指定硬體引擎。 注意: 加密了的PEM編碼PKCS#8文件表單用下面的頭部和尾部: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- 未加密的表單用: -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- 跟傳統的SSLeay演算法相比,用PKCS#5 v2.0系列的演算法加密私鑰,有更高的安全性以及迭代次數。於是附加的安全性是經過深思熟慮的。 默認的加密演算法僅僅是56位元組的,是因為它是PKCS#8所支持的最好的方法。 有一些軟體使用PKCS#12基於密鑰的加密演算法來加密PKCS#8格式的私鑰:它們會自動的處理但是沒有選項來操作。 在PKCS#8格式中,有可能的是輸出DER編碼格式的經過加密的私鑰文件,是因為加密的詳細說明包含在DER等級中,相反的是傳統的格式包含在PEM鄧麗中。 PKCS#5 v1.5和 PKCS#12 演算法: 各種各樣的演算法可以被選項-v1所使用。包含PKCS#5 v1.5和 PKCS#12 演算法。詳細描述如下: B<PBE-MD2-DES PBE-MD5-DES>:這兩個演算法包含在PKCS#5 v1.5中。它們僅僅提供56位元組的保護,加密演算法用DES。 B<PBE-SHA1-RC2-64 PBE-MD2-RC2-64 PBE-MD5-RC2-64 PBE-SHA1-DES>:它們在傳統的PKCS#5 v1.5中沒有被提到,但是它們用同樣地密鑰引出演算法,被一些軟體所支持。在PKCS#5 v2.0中所提到。它們使用64位元組的RC2以及56位元組的DES。 B<PBE-SHA1-RC4-128 PBE-SHA1-RC4-40 PBE-SHA1-3DES PBE-SHA1-2DES PBE-SHA1-RC2-128 PBE-SHA1-RC2-40>:它們是PKCS#12基於密鑰的加密演算法,它們允許使用高強度的加密演算法,例如3des或128位的RC2。 實例: 用3des演算法將傳統的私鑰文件轉換為PKCS#5 v2.0: [cpp] view plain openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem 用PKCS#5 1.5兼容的DES演算法將私鑰文件轉換為pkcs8文件: [html] view plain openssl pkcs8 -in ocspserverkey.pem -topk8 -out ocspkcs8key.pem 用PKCS#12兼容的3DES演算法將私鑰文件轉換為pkcs8文件: [html] view plain openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES 讀取一個DER格式加密了的PKCS#8格式的私鑰: [cpp] view plain openssl pkcs8 -inform DER -nocrypt -in key.der -out key.pem 轉換一個PKCS#8格式的私鑰到傳統的私鑰: [cpp] view plain openssl pkcs8 -in pk8.pem -out key.pem pkcs8中的私鑰以明文存放: [html] view plain openssl pkcs8 -in ocspserverkey.pem -topk8 -nocrypt -out ocspkcs8key.pem 標准: PKCS#5 v2.0的測試向量的實現是以通告的形式用高強度的迭代次數演算法3DES、DES和RC2來加密的。很多人要確認能夠解密產生的私鑰。 PKCS#8格式的DSA私鑰文件沒有備注文件中的:在PKCS#11 v2.01中的11.9節被隱藏了的。OpenSSL的默認DSA PKCS#8私鑰格式隱藏在這個標准中。 BUGs: 必須有一個選項列印使用的加密演算法的其他詳細細節,例如迭代次數。 PKCS#8用3DES和PKCS#5 v2.0必須是默認的私鑰文件:目前為了命令的兼容性。