6,185
社区成员
发帖
与我相关
我的任务
分享★★★★★Win2000中的数字证书问题★★★★★
利用Win2000中的数字证书服务,可以实现个人电子签章吗?为什么我申请的证书只能做身份认证?如果可以的话?怎么设置?怎么解决?以及怎么实现签名?谢谢大家了!!!!
...全文
请发表友善的回复…
发表回复
金正阳 2003-09-20
- 打赏
- 举报
好像楼主说的是直接应用方面的问题。
金正阳 2003-09-20
- 打赏
- 举报
太好了。我也是做这方面的工作的。大家讨论一下吧。
zhllwarez 2003-09-04
- 打赏
- 举报
这可能是因为CA等级不同,其颁发的数字证书的使用范围不同吧,证书的加密解密都是由系统自动完成的,不需要程序员干预,你可以参考网上银行交易的过程,
客户用私钥加密后的资料,即客户端证书是由客户自己导出保管并可以选择是否导出个人私钥,如果客户强加密,则使用客户端证书必须提供个人私钥密码,而个人私钥密码只有个人知道,故由此体现“不可否认性”,而这些都是由系统的证书体系自动完成,程序员只需要编写与之相关的网页代码即可。
客户用私钥加密后的资料,即客户端证书是由客户自己导出保管并可以选择是否导出个人私钥,如果客户强加密,则使用客户端证书必须提供个人私钥密码,而个人私钥密码只有个人知道,故由此体现“不可否认性”,而这些都是由系统的证书体系自动完成,程序员只需要编写与之相关的网页代码即可。
mishow 2003-09-04
- 打赏
- 举报
谢谢!在IIS这个上面我已经如你讲的一样做过,证书目前用在认证上了
但是还有数字签名的功能没有用上
主要是客户提交数据给服务器端时,要用他的私钥来加密他的数据,我们用它的公钥来解密这么一个过程是怎么用编程来实现的?
是否2000的证书没有数字签章的功能?发出的证书在功用方面只有“明您在遠端電腦上的身分”功能,而在一些认证中心下在得试用证书却有
“確保遠端電腦的識別
證明您在遠端電腦上的身分
確保軟體來自軟體發行者
保護軟體在發行後不會被竄改
保護電子郵件訊息
允許資料以目前的時間來簽署
允許您以數位方式簽署憑證信任清單
允許在 Internet 上進行安全通訊
允許加密磁碟上的資料
Windows 硬體驅動程式驗證
Windows 系統元件驗證
OEM Windows 系統元件驗證
內嵌 Windows 系統元件驗證
Key Pack 授權
授權伺服器驗證
智慧卡登入
數位權利
”等之多
我在一个论坛上看到说不要程序员写代码?那么客户用私钥加密后的资料又保存在哪里?怎么体现“不可否认性“?
多谢!!!
但是还有数字签名的功能没有用上
主要是客户提交数据给服务器端时,要用他的私钥来加密他的数据,我们用它的公钥来解密这么一个过程是怎么用编程来实现的?
是否2000的证书没有数字签章的功能?发出的证书在功用方面只有“明您在遠端電腦上的身分”功能,而在一些认证中心下在得试用证书却有
“確保遠端電腦的識別
證明您在遠端電腦上的身分
確保軟體來自軟體發行者
保護軟體在發行後不會被竄改
保護電子郵件訊息
允許資料以目前的時間來簽署
允許您以數位方式簽署憑證信任清單
允許在 Internet 上進行安全通訊
允許加密磁碟上的資料
Windows 硬體驅動程式驗證
Windows 系統元件驗證
OEM Windows 系統元件驗證
內嵌 Windows 系統元件驗證
Key Pack 授權
授權伺服器驗證
智慧卡登入
數位權利
”等之多
我在一个论坛上看到说不要程序员写代码?那么客户用私钥加密后的资料又保存在哪里?怎么体现“不可否认性“?
多谢!!!
mishow 2003-09-04
- 打赏
- 举报
谢谢!在IIS这个上面我已经如你讲的一样做过,证书目前用在认证上了
但是还有数字签名的功能没有用上
主要是客户提交数据给服务器端时,要用他的私钥来加密他的数据,我们用它的公钥来解密这么一个过程是怎么用编程来实现的?
是否2000的证书没有数字签章的功能?发出的证书在功用方面只有“明您在遠端電腦上的身分”功能,而在一些认证中心下在得试用证书却有
“確保遠端電腦的識別
證明您在遠端電腦上的身分
確保軟體來自軟體發行者
保護軟體在發行後不會被竄改
保護電子郵件訊息
允許資料以目前的時間來簽署
允許您以數位方式簽署憑證信任清單
允許在 Internet 上進行安全通訊
允許加密磁碟上的資料
Windows 硬體驅動程式驗證
Windows 系統元件驗證
OEM Windows 系統元件驗證
內嵌 Windows 系統元件驗證
Key Pack 授權
授權伺服器驗證
智慧卡登入
數位權利
”等之多
我在一个论坛上看到说不要程序员写代码?那么客户用私钥加密后的资料又保存在哪里?怎么体现“不可否认性“?
多谢!!!
但是还有数字签名的功能没有用上
主要是客户提交数据给服务器端时,要用他的私钥来加密他的数据,我们用它的公钥来解密这么一个过程是怎么用编程来实现的?
是否2000的证书没有数字签章的功能?发出的证书在功用方面只有“明您在遠端電腦上的身分”功能,而在一些认证中心下在得试用证书却有
“確保遠端電腦的識別
證明您在遠端電腦上的身分
確保軟體來自軟體發行者
保護軟體在發行後不會被竄改
保護電子郵件訊息
允許資料以目前的時間來簽署
允許您以數位方式簽署憑證信任清單
允許在 Internet 上進行安全通訊
允許加密磁碟上的資料
Windows 硬體驅動程式驗證
Windows 系統元件驗證
OEM Windows 系統元件驗證
內嵌 Windows 系統元件驗證
Key Pack 授權
授權伺服器驗證
智慧卡登入
數位權利
”等之多
我在一个论坛上看到说不要程序员写代码?那么客户用私钥加密后的资料又保存在哪里?怎么体现“不可否认性“?
多谢!!!
zhllwarez 2003-09-04
- 打赏
- 举报
在服务器IIS上选择虚拟目录"属性"->目录安全性->安全通信->编辑。如果无法使用"编辑",则可能没有安装 Web 服务器证书
选择"要求安全通道 (SSL)"复选框和"要求客户端证书"选项,"确定"。将新的安全设置应用于虚拟根目录下的所有子目录。
选择"要求安全通道 (SSL)"复选框和"要求客户端证书"选项,"确定"。将新的安全设置应用于虚拟根目录下的所有子目录。
zhllwarez 2003-09-04
- 打赏
- 举报
不知道我的理解是否有误,你说的可能是用https协议的ssl加密隧道,这个当然直接在iis中设置就行了,iis管理器中有相应的ssl设置。
你不是要必须通过.net编程实现吧?
互相交流学习,谈不上什么指教
你不是要必须通过.net编程实现吧?
互相交流学习,谈不上什么指教
mishow 2003-09-04
- 打赏
- 举报
谢谢!
我们是准备在企业网内部用2000的证书服务来做
也就是那个CertSrv的asp来完成申请过程,
前段做了认证方面,现在要用数字签名的
很多网上都说只要设置iis就可以实现签名,不用写代码。
可是在.net中都有Certificate 509的类
我们客户端只用web页面,类电子商务网站
请继续指导!!!谢谢!
我们是准备在企业网内部用2000的证书服务来做
也就是那个CertSrv的asp来完成申请过程,
前段做了认证方面,现在要用数字签名的
很多网上都说只要设置iis就可以实现签名,不用写代码。
可是在.net中都有Certificate 509的类
我们客户端只用web页面,类电子商务网站
请继续指导!!!谢谢!
zhllwarez 2003-09-04
- 打赏
- 举报
证书生成方法一
--------------------------------------------------------------------------------
准备工作:
下载http://ftp.intron.ac/pub/security/authenticode.zip,里面包含了由Microsoft、OpenSSL和其它人提供的各种必要工具:
cabarc.exe: 制作.cab压缩包
openssl.exe: 制作PEM格式公钥、密钥
pvk.exe: 将PEM格式的RSA密钥转换为PVK格式
makecert.exe: 制作证书
cert2spc.exe: 转换证书格式
signcode.exe: 签署二进制代码或.cab压缩包
1.用openssl创建CA证书的RSA密钥(PEM格式):
openssl genrsa -des3 -out ca.key 1024
//ca.key为生成的Key文件,1024为密钥的长度.也可以为2048或4096等,长度越长,加密强度越高.
2.用openssl创建CA证书(PEM格式,假如有效期为一年):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
//ca.crt为生成的证书文件,openssl.cnf为配置文件.
3.将PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
证书生成方法二
--------------------------------------------------------------------------------
1.下载签名工具包
http://msdn.microsoft.com/MSDN-FILES/027/000/219/codesign.exe
运行
makecert -sk myNewKey -r -n "CN=JR21066 CA,OU=JR21066 CA,O=JR21066,E=jr@wn163.net" -ss myNew.cer JR21066CA.cer
//myNewKey是私钥,用于证明此证书属于你.-n后边是证书颁发者LDAP的路径.JR21066CA.cer是证书文件.
//OU=后边为颁发证书的机构名,E=后边是电子邮件地址.
给文件签名
--------------------------------------------------------------------------------
现在你就可以给你的.EXE、 .CAB、 .OCX、或者 .DLL文件签名了。范例如下:
signcode -prog myfilename -name displayname -info <a href="">http://www.mycompany.com</a> -spc mycredentials.spc -pvk myprivatekey.pvk
myfilename:要签名的文件名称
displayname:证书中对该文件的描述
<a href="">http://example.microsoft.com</a> 提供给用户关于下载文件的更详细的信息。
mycredentials:从CA获得的证书文件
myprivatekey:在向CA申请过程期间生成的秘钥。
(注意如果你不带任何参数运行signcode,它将会激活一个向导帮助你一步一步完成签名过程)
测试签名
--------------------------------------------------------------------------------
运行chktrust文件名 测试.EXE、 .DLL、或 .OCX 文件的签名
运行chktrust -c cab文件名.cab测试cab文件的签名
签名进程一旦工作,即会显示一个证书。
好了,现在你已经完成了为文件签名的工作。当使用Internet Explorer从一个Web站点下载这个文件时,用户将会看到一个相同的证书。如果这个文件在经过签名程序后被篡改,就会有提示出现告诉用户不要安装。
--------------------------------------------------------------------------------
准备工作:
下载http://ftp.intron.ac/pub/security/authenticode.zip,里面包含了由Microsoft、OpenSSL和其它人提供的各种必要工具:
cabarc.exe: 制作.cab压缩包
openssl.exe: 制作PEM格式公钥、密钥
pvk.exe: 将PEM格式的RSA密钥转换为PVK格式
makecert.exe: 制作证书
cert2spc.exe: 转换证书格式
signcode.exe: 签署二进制代码或.cab压缩包
1.用openssl创建CA证书的RSA密钥(PEM格式):
openssl genrsa -des3 -out ca.key 1024
//ca.key为生成的Key文件,1024为密钥的长度.也可以为2048或4096等,长度越长,加密强度越高.
2.用openssl创建CA证书(PEM格式,假如有效期为一年):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
//ca.crt为生成的证书文件,openssl.cnf为配置文件.
3.将PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
证书生成方法二
--------------------------------------------------------------------------------
1.下载签名工具包
http://msdn.microsoft.com/MSDN-FILES/027/000/219/codesign.exe
运行
makecert -sk myNewKey -r -n "CN=JR21066 CA,OU=JR21066 CA,O=JR21066,E=jr@wn163.net" -ss myNew.cer JR21066CA.cer
//myNewKey是私钥,用于证明此证书属于你.-n后边是证书颁发者LDAP的路径.JR21066CA.cer是证书文件.
//OU=后边为颁发证书的机构名,E=后边是电子邮件地址.
给文件签名
--------------------------------------------------------------------------------
现在你就可以给你的.EXE、 .CAB、 .OCX、或者 .DLL文件签名了。范例如下:
signcode -prog myfilename -name displayname -info <a href="">http://www.mycompany.com</a> -spc mycredentials.spc -pvk myprivatekey.pvk
myfilename:要签名的文件名称
displayname:证书中对该文件的描述
<a href="">http://example.microsoft.com</a> 提供给用户关于下载文件的更详细的信息。
mycredentials:从CA获得的证书文件
myprivatekey:在向CA申请过程期间生成的秘钥。
(注意如果你不带任何参数运行signcode,它将会激活一个向导帮助你一步一步完成签名过程)
测试签名
--------------------------------------------------------------------------------
运行chktrust文件名 测试.EXE、 .DLL、或 .OCX 文件的签名
运行chktrust -c cab文件名.cab测试cab文件的签名
签名进程一旦工作,即会显示一个证书。
好了,现在你已经完成了为文件签名的工作。当使用Internet Explorer从一个Web站点下载这个文件时,用户将会看到一个相同的证书。如果这个文件在经过签名程序后被篡改,就会有提示出现告诉用户不要安装。
mishow 2003-09-04
- 打赏
- 举报
大家提供一些实际操作吧,谢谢!
mishow 2003-09-04
- 打赏
- 举报
大家都讨论一下吧
Flying_kkd 2003-09-04
- 打赏
- 举报
好东西,值得收藏的
zhllwarez 2003-09-03
- 打赏
- 举报
如何申请数字签名和公钥和私钥的获取详见:
http://www.powerba.com/develop/os/windows/article/20011003001.htm
http://www.powerba.com/develop/os/windows/article/20011003001.htm
zhllwarez 2003-09-03
- 打赏
- 举报
可以通过向认证机构购买证书来获得数字签名。认证机构是一个确认身份并发行认证证书的公司。证书中包含发行者的数字签名,是发行者信用的验证。一旦出现问题,认证机构将成为发行者身份的见证人。
在使用数字签名时要使用 Authenticode 技术。Authenticode 的目的是通过建立责任制来阻止有害代码的发行。Authenticode 将验证发布代码的发行人的身份给要下载这份代码的 Internet 最终用户。此外,Authenticode 可以为用户确保该代码在签名后未被改动。
Authenticode 技术来源于公用密钥签名技术。该技术使用了密钥对来加密数据。密钥对用于文件的加密和解密。在公用密钥技术中,公用密钥和私用密钥确保了文件的私有性 。公用密钥用于加密数据,而私用密钥则用来解密数据。尽管该技术用于保护诸如电子邮件之类的小文件是很成功的,但是对于大文件,这一过程却是非常消耗时间的。Authenticode 正是这种技术的一种改进形式,专供大文件使用。
以下是 Authenticode 过程中的一些步骤:
1. 在开发者对文件签名时,要计算一个哈希数。哈希数表示文件的总字节长度。一般可以选用不同的消息摘要技术,X.509标准要求至少提供MD5、SHA-1。该数字用私用密钥加密并插入到文件中。然后,开发者将文件进行打包并将其部署到 Web 服务器上。
2. 当用户下载或安装文件时,他们的计算机计算第二个哈希数,并同原先的进行比较。
如果数字相同,则文件的内容就得到了验证。
3. 浏览器使用公用密钥来决定软件开发者的身份和提供数字签名的认证机构。
4. 认证机构核实开发者的身份,并将包含经私用密钥加密的开发者名字的证书授予开发者。
5. 浏览器使用公用密钥将文件解密。然后进行安装。
关于CA的建设如前所述,CA成为通信活动的瓶颈,通信如果只能访问一个CA,那么CA的负担就会极大,同时由于地理和其他限制,也许有些实体访问CA的难度很大,这就引出了CA的体系结构的问题。
采用分层的想法是解决的一种途径。
如下图所示:
比如Root CA是各国的政府授权的CA机构总署,RootCA可以给各个地方CA授予一定程度的信任权限,在图一中标识为第一层CA(Tier1),当A收到由Tier1的CA或者Tier2的CA签发的证书时,A可以通过验证签发该证书的上级CA的授权来信任Tier1或者Tier2的CA。这样各级的CA都可以被认证。也就是说,只要A信任该CA的任意级的上级CA,A就可以验证该CA的证书的有效性。
实践中的RootCA可以有不止一个。如下图所示:
数字签名的工具与实践
1. Internet Client SDK中的数字签名工具
Internet Client SDK中提供了制作数字签名、证书和以及验证的工具。可以从文字处理 实验室的服务器上免费获得。包括
? Cer2spc
这是一个生成软件发布证书(SPC)的工具。它可以从多个X.509证书创建一个SPC。
? Certmgr 管理SPC的工具,包括增加、删除、重新生成SPC Store的功能。
? Chktrust
检验一个文件包是否含有合法的数字签名 ? Makecert创建一个X.509证书。Signcode使用软件证书为软件包签名的工具。
使用这些工具可以方便的制作各种证书、签名,以及校验。进一步的MSDN中另外还提供了Microsoft CryptoAPI来进一步的操纵生成X.509或者PKCS#7,PKCS#7(RSA Public-Key Cryptography Standard)的证书。
2. Microsoft CryptoAPI
使用CryptoAPI不但可以用于软件下载中的省份验证,而且可以用于网络通讯中的身份验证。
CryptoAPI包含以下几类功能:
? Cryptographic Functions
提供基本对称密钥和公钥系统加密解密算法的实现,以及密钥生成等辅助功能。
? Certificate Store Functions
提供证书存储、分类和目录的功能,协助管理证书、证书恢复列表Certificate Revocation Lists (CRLs), 证书信任列表and Certificate Trust Lists (CTLs).
? Certificate Helper Functions
提供操纵证书的功能,包括比较、证书转换、消息摘要、签名、校验等。
? Crypt Time Valid Object Retrieval Functions
提供时间服务,包括对时间服务器的访问,证书有效时间的验证、修改等。
? OID Support Functions微软的对象标识技术的支持函数,提供对SDCOM(Security DCOM+)的支持
3. X.509证书的标准
ITU-T建议的X.509(ISO/IEC 9594-8)认证证书,结构如下:
域 描述Version版本号 证书版本
Serial Number序列号
Algorithm Identifier数字签名算法标识
Issuer Name发布证书者
Validity:有效日期 不早于XX/XX/XX,不晚于XX/XX/XX
Subject Name证书持有者名
Subject Public Key Info: 证书持有者公钥 公钥算法标识与公钥串
Optional Fields可选Extensions扩展
在使用数字签名时要使用 Authenticode 技术。Authenticode 的目的是通过建立责任制来阻止有害代码的发行。Authenticode 将验证发布代码的发行人的身份给要下载这份代码的 Internet 最终用户。此外,Authenticode 可以为用户确保该代码在签名后未被改动。
Authenticode 技术来源于公用密钥签名技术。该技术使用了密钥对来加密数据。密钥对用于文件的加密和解密。在公用密钥技术中,公用密钥和私用密钥确保了文件的私有性 。公用密钥用于加密数据,而私用密钥则用来解密数据。尽管该技术用于保护诸如电子邮件之类的小文件是很成功的,但是对于大文件,这一过程却是非常消耗时间的。Authenticode 正是这种技术的一种改进形式,专供大文件使用。
以下是 Authenticode 过程中的一些步骤:
1. 在开发者对文件签名时,要计算一个哈希数。哈希数表示文件的总字节长度。一般可以选用不同的消息摘要技术,X.509标准要求至少提供MD5、SHA-1。该数字用私用密钥加密并插入到文件中。然后,开发者将文件进行打包并将其部署到 Web 服务器上。
2. 当用户下载或安装文件时,他们的计算机计算第二个哈希数,并同原先的进行比较。
如果数字相同,则文件的内容就得到了验证。
3. 浏览器使用公用密钥来决定软件开发者的身份和提供数字签名的认证机构。
4. 认证机构核实开发者的身份,并将包含经私用密钥加密的开发者名字的证书授予开发者。
5. 浏览器使用公用密钥将文件解密。然后进行安装。
关于CA的建设如前所述,CA成为通信活动的瓶颈,通信如果只能访问一个CA,那么CA的负担就会极大,同时由于地理和其他限制,也许有些实体访问CA的难度很大,这就引出了CA的体系结构的问题。
采用分层的想法是解决的一种途径。
如下图所示:
比如Root CA是各国的政府授权的CA机构总署,RootCA可以给各个地方CA授予一定程度的信任权限,在图一中标识为第一层CA(Tier1),当A收到由Tier1的CA或者Tier2的CA签发的证书时,A可以通过验证签发该证书的上级CA的授权来信任Tier1或者Tier2的CA。这样各级的CA都可以被认证。也就是说,只要A信任该CA的任意级的上级CA,A就可以验证该CA的证书的有效性。
实践中的RootCA可以有不止一个。如下图所示:
数字签名的工具与实践
1. Internet Client SDK中的数字签名工具
Internet Client SDK中提供了制作数字签名、证书和以及验证的工具。可以从文字处理 实验室的服务器上免费获得。包括
? Cer2spc
这是一个生成软件发布证书(SPC)的工具。它可以从多个X.509证书创建一个SPC。
? Certmgr 管理SPC的工具,包括增加、删除、重新生成SPC Store的功能。
? Chktrust
检验一个文件包是否含有合法的数字签名 ? Makecert创建一个X.509证书。Signcode使用软件证书为软件包签名的工具。
使用这些工具可以方便的制作各种证书、签名,以及校验。进一步的MSDN中另外还提供了Microsoft CryptoAPI来进一步的操纵生成X.509或者PKCS#7,PKCS#7(RSA Public-Key Cryptography Standard)的证书。
2. Microsoft CryptoAPI
使用CryptoAPI不但可以用于软件下载中的省份验证,而且可以用于网络通讯中的身份验证。
CryptoAPI包含以下几类功能:
? Cryptographic Functions
提供基本对称密钥和公钥系统加密解密算法的实现,以及密钥生成等辅助功能。
? Certificate Store Functions
提供证书存储、分类和目录的功能,协助管理证书、证书恢复列表Certificate Revocation Lists (CRLs), 证书信任列表and Certificate Trust Lists (CTLs).
? Certificate Helper Functions
提供操纵证书的功能,包括比较、证书转换、消息摘要、签名、校验等。
? Crypt Time Valid Object Retrieval Functions
提供时间服务,包括对时间服务器的访问,证书有效时间的验证、修改等。
? OID Support Functions微软的对象标识技术的支持函数,提供对SDCOM(Security DCOM+)的支持
3. X.509证书的标准
ITU-T建议的X.509(ISO/IEC 9594-8)认证证书,结构如下:
域 描述Version版本号 证书版本
Serial Number序列号
Algorithm Identifier数字签名算法标识
Issuer Name发布证书者
Validity:有效日期 不早于XX/XX/XX,不晚于XX/XX/XX
Subject Name证书持有者名
Subject Public Key Info: 证书持有者公钥 公钥算法标识与公钥串
Optional Fields可选Extensions扩展
