《數(shù)字證書的創(chuàng)建》PPT課件.ppt

《《數(shù)字證書的創(chuàng)建》PPT課件.ppt》由會員分享，可在線閱讀，更多相關《《數(shù)字證書的創(chuàng)建》PPT課件.ppt（34頁珍藏版）》請在裝配圖網(wǎng)上搜索。

第五章數(shù)字證書的創(chuàng)建 主要內(nèi)容 使用keytool工具創(chuàng)建數(shù)字證書使用keytool工具和JAVA程序讀取并顯示數(shù)字證書使用keytool工具和JAVA程序維護密鑰庫使用JAVA程序簽發(fā)數(shù)字證書對單個數(shù)字證書進行初步檢驗 使用默認的密鑰庫和算法創(chuàng)建數(shù)字證書 創(chuàng)建證書使用參數(shù)keytool genkey以上生成的公鑰 私鑰和證書都保存在用戶的主目錄中創(chuàng)建的一個默認文件 keystore 中 該文件一般保存在 c DocumentsandSetting 用戶名 由于 keystore 中包含了私鑰 所以是一個需要保密的文件 因此上述操作第一次使用需要設置一個密碼 下次在使用這個密鑰庫時必須提供這個密碼才能進入 一個密鑰庫可以存放多個密鑰 每個密鑰以別名作為區(qū)分 若沒有說明 默認別名是mytest 每個別名可以設置一個密碼來保護 是 使用別名 密鑰庫可以存放多個條目 公鑰 私鑰對和證書 它們在密鑰庫中以別名區(qū)分 在上節(jié)中沒有指定別名 因此系統(tǒng)使用了默認的別名mykey 當密鑰庫中有多個公鑰 私鑰對和證書時 應該使用別名 alias 例 keytool genkey aliasxuyingxiao2 例 使用指定的算法和密鑰庫和有效期 Keytool中的 keyalg參數(shù)可以指定密鑰的算法 如果需要指定密鑰的長度 可以再加上 keysize參數(shù) 密鑰長度默認為1024位 使用DSA算法時 密鑰長度必須再512 1024之間 并且是64的整數(shù)倍 keystore參數(shù)可以指定密鑰庫的名稱 密鑰庫其實是存放密鑰和證書的文件 密鑰庫對應的文件不存在則自動創(chuàng)建 validity參數(shù)可以指定所創(chuàng)建的證書的有效期是多少天 例 使用非交互模式 還可以使用非交互模式來指定所有信息創(chuàng)建公鑰 私鑰對和證書 密鑰庫的密碼 用 storepass來指定別名條目的密碼 用 keypass來指定證書擁有者的信息 用 dname來指定 例 keytool genkey dname CN tmp OU NC O ShanghaiUniversity L ZB ST Shanghai C CN aliastmp keyalgRSA keystoremykeystore keypasswshr ut storepasswshr ut validity1000 數(shù)字證書的顯示 1 使用keytool直接從密鑰庫顯示條目信息參數(shù) list可以顯示密鑰庫中的證書信息2 使用直接從密鑰庫中顯示證書詳細信息 v參數(shù)可以顯示證書的詳細信息3 使用keytool將證書導出到文件使用 export參數(shù)可以將指定別名的證書導出到文件 文件名通過 file參數(shù)指定 若加 rfc 則可以使用一種可打印的編碼格式來保存證書 4 使用keytool從文件中顯示證書使用keytool的 printcert參數(shù)可以將導出的證書文件詳細內(nèi)容顯示出來 文件名通過 file參數(shù)指定 5 在windows從文件顯示證書 使用keytool直接從密鑰庫顯示條目信息 v參數(shù)可以顯示證書的詳細信息 使用 export導出證書 例 使用keytool從文件中顯示證書 JAVA程序從證書文件讀取證書 編程思路 1 獲取CertificateFactory類型的對象 2 獲取證書文件輸入流 3 生成Certificate類型的對象 4 顯示證書內(nèi)容例 javaPrintCertmytest cer將創(chuàng)建文件tmp txt JAVA程序從密鑰庫中直接讀取證書 編程思路 1 創(chuàng)建密鑰庫的文件輸入流 2 創(chuàng)建Keystore對象 3 加載密鑰庫 4 獲取密鑰庫中的證書例 javaPrintCert2可以使用javaPrintCert2 tmp2 txt將輸出重定向到文件tmp2 txt中 例 JAVA程序顯示證書指定信息 上節(jié)顯示了證書的全部信息 這里介紹如何從證書中只提取所需要的信息 編程思路 1 獲取證書 2 將證書轉(zhuǎn)換為X509類型 3 獲取版本號 4 獲取序列號 5 獲取主體和簽發(fā)者的全名 6 獲取證書的有效期 7 獲取證書的簽名算法 8 獲取證書的簽名 9 獲取證書的公鑰javaShowCertInfomytest cer tt txt 例 密鑰庫的維護 1 刪除指定條目 delete可以刪除密鑰庫中的條目先執(zhí)行5 3 1 bat文件 在密鑰庫mykeystore中創(chuàng)建一個臨時條目tmp1 再在mykeystore文件所在的目錄中執(zhí)行 Keytool list keystoremykeystore storepasswshr ut來顯示所有條目刪除條目用命令 keytool delete aliastmp1 keystoremykeystore 2 修改指定條目的口令 keypasswd可以修改密鑰庫中指定條目的口令先執(zhí)行5 3 1 bat文件 在密鑰庫mykeystore中創(chuàng)建一個臨時條目tmp1 將原來的密碼abcdefg改為123456 3 java程序列出密鑰庫所有條目例 javaShowAlias4 JAVA程序修改密鑰庫口令例 javaSetStorePasswshr utmynewpass現(xiàn)用下面的命令將mykeystore密鑰庫文件備份到文件mykeystore bat中 Copymykeystoremykeystore bak對比改密碼后的文件和原文件內(nèi)容是否相同JavaDigestInputmykeystoreJavaDigestInputmykeystore bak 5 JAVA程序修改密鑰庫條目的口令及添加條目例 javaSetKeyPassmytestwshr utnewpass 6 JAVA程序檢驗某個別名是否存在于密鑰庫 mykeystore 中 若存在則從密鑰庫中刪除該條目例 DeleteAlias 數(shù)字證書的簽發(fā) 和現(xiàn)實生活中一樣 要有權威的機構(gòu)檢查證書中內(nèi)容的真實性 然后再簽發(fā)證書 在證書上蓋章 在計算機的世界中 這個蓋章的過程就是數(shù)字簽名 即權威機構(gòu)用自己的私鑰對證書進行數(shù)字簽名用戶要先將CA自身的證書安裝在計算機操作系統(tǒng)中 以便計算機自動檢驗其他證書是否值得信任 CA可以他哦難過電子郵件 網(wǎng)頁或蓋有公章的正式文件確定 并檢查它的認證指紋 JAVA程序簽發(fā)數(shù)字證書 安裝了CA的證書之后 可以用CA的證書來簽發(fā)其他的證書編程思路 1 從密鑰庫讀取CA的證書 2 從密鑰庫中讀取CA的私鑰 3 從CA的證書中提取簽發(fā)者信息 4 獲得待簽發(fā)的證書 5 從待簽發(fā)的證書提取證書信息 6 設置新證書有效期 7 設置新證書序列號 8 設置新證書簽發(fā)者 9 設置新證書簽名算法信息 10 創(chuàng)建證書并使用CA的私鑰對其簽名 11 將新證書存入密鑰庫例 javaSignCertlf cer 1 txt 例 數(shù)字證書簽名后的發(fā)布 CA對數(shù)字證書簽名后可以將其導出到文件 數(shù)字證書的檢驗 1 JAVA程序驗證數(shù)字證書的有效期例 檢驗證書在某個日期是否有效CheckCertValid編程思路 1 獲取x509Certificate類型的對象 2 獲取日期 3 檢驗證書 4 處理CertificateExpiredException異常 5 處理CertificateNotYetValidException異常例 javaCheckCertValidmytest cer2002124 例 2 使用Windows查看證書路徑驗證證書的簽名3 從Windows中卸載證書4 JAVA程序使用CA公鑰驗證已簽名的證書例 驗證某個證書是否確實是某個CA簽發(fā)的javaCheckCertSignmytest cerlf signed cer編程思路 1 獲取CA的證書 2 獲取待檢驗的證書 3 獲取CA的公鑰 4 檢驗證書 5 處理異常對象 例 小結(jié) 本章主要介紹了數(shù)字證書的概念 以及數(shù)字證書的創(chuàng)建 讀取 簽發(fā)和初步驗證等功能 下一章主要介紹驗證數(shù)字證書的相關的證書鏈及其驗證