使用X.509数字证书加密解密实务-- 证书的获得和管理 (一)
数字证书(也称作数字证书)将身份绑定到一对可以用来加密和签名数字信息的电子密钥。数字证书能够验证一个人使用给定密钥的权利,这有助于防止有人利用假密钥冒充其他用户。数字证书与加密一起使用,可以提供一个更加完整的解决方案,确保交易中各方的身份。
一、 获得证书
1、 从CA获得
如果是商业应用最好从证书的签发机构CA获得证书,比如VeriSign,这样的大的CA签发的证书已经被一些系统默认为可信任的证书签发机构,它所签发的证书也是被信任的。但是这样的证书需要购买。
如果不是商业应用,这里推荐一个可以免费申请证书的CA:www.cacert.org
2、 从windows2003证书服务中获得
在windows2003中安装证书服务器,windows2003服务器即可当做一个小型的CA,可以申请签发证书。
3、 使用makecert工具获得
微软在framework SDK中提供了一个生成X.509数字证书的命令行工具Makecert.exe。
Makecert生成证书被保存到命令中指定的证书存储区。
比如使用下面这个命令生成一个证书:
makecert -sr CurrentUser -ss My -n CN=MyTestCert -sky exchange -pe
参数说明:
-sr CurrentUser -- 指定主题的证书存储位置。Location 可以是 currentuser(默认值)或 localmachine
-ss My -- 指定主题的证书存储名称,输出证书即存储在那里。My表示保存在“个人”
-n CN=MyTestCert -- 指定主题的证书名称。此名称必须符合 X.500 标准。最简单的方法是在双引号中指定此名称,并加上前缀 CN=;例如,"CN=myName"。
-sky exchange -- 指定颁发者的密钥类型,必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下,可传入 1 表示交换密钥,传入 2 表示签名密钥。
-pe -- 将所生成的私钥标记为可导出。这样可将私钥包括在证书中。
这个命令生成一个名字为MyTestCert的证书,被保存到了当前用户的个人证书存储区内。
Makecert命令的详细说明请参看微软Makecert.exe工具的文档:http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp
二、 证书的保存
1、 保存在证书存储区
Makecert命令生成的证书被保存在证书存储区。证书存储区是系统中一个特殊区域,专门用来保存X.509数字证书。
可以在MMC的证书管理单元中对证书存储区进行管理。Windows没有给我们准备好直接的管理证书的入口。自己在MMC中添加,步骤如下:
l 开始 à 运行 à MMC,打开一个空的MMC控制台。
l 在控制台菜单,文件 à 添加/删除管理单元 à 添加按钮 à 选”证书” à 添加 à 选”我的用户账户” à 关闭 à 确定
l 在控制台菜单,文件 à 添加/删除管理单元 à 添加按钮 à 选”证书” à 添加 à 选”计算机账户” à 关闭 à 确定
完成后,在MMC控制台中有了两个MMC管理单元
Figure 1.证书管理
添加完证书管理单元后可以保存一下这个MMC控制台的设置,方便以后再次使用。在文件菜单中选“保存”,比如可以保存为“证书.msc”。
这两个管理单元分别对应证书的两类存储位置:
当前用户(CurrentUser) -- 当前用户使用的 X.509 证书存储区。
本地计算机(LocalMachine) -- 分配给本地计算机的 X.509 证书存储区。
每个存储位置下面的子目录代表证书的存储区,预设了以下存储区:
| AddressBook |
其他用户的 X.509 证书存储区。 |
| AuthRoot |
第三方证书颁发机构 (CA) 的 X.509 证书存储区。 |
| CertificateAuthority |
中间证书颁发机构 (CA) 的 X.509 证书存储区。 |
| Disallowed |
吊销的证书的 X.509 证书存储区。 |
| My |
个人证书的 X.509 证书存储区。 |
| Root |
受信任的根证书颁发机构 (CA) 的 X.509 证书存储区。 |
| TrustedPeople |
直接受信任的人和资源的 X.509 证书存储区。 |
| TrustedPublisher |
直接受信任的发行者的 X.509 证书存储区。 |
2、 以文件形式保存
作为文件形式存在的证书一般有这几种格式:
2.1. 带有私钥的证书
由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。
2.2. 二进制编码的证书
证书中没有私钥,DER 编码二进制格式的证书文件,以cer作为证书文件后缀名。
2.3. Base64编码的证书
证书中没有私钥,BASE64 编码格式的证书文件,也是以cer作为证书文件后缀名。
3、 存储区中的证书跟证书文件相互转换
3.1. 使用工具相互转换
Windows提供了内置的工具可以完成数字证书从文件形式导入到证书存储区,从证书存储区导出为证书文件的功能。
3.1.1 从证书文件导入证书存储区
在资源管理器中,找到你要导入的证书文件,右键点击pfx或者cer格式的证书(这里以上面用makecert生成的MyTestCert证书为例),选择“安装”,证书导入向导:
Figure 2. 证书导入向导
下一步,显示要导入证书文件的路径,确认即可,再下一步。
如果是导入pfx含有私钥的证书,需要提供密码:
Figure 3. 导入pfx时需要密码
pfx证书含有私钥,在保存为证书文件时设置有私钥密码,以保护私钥的安全,所以这一步需要提供保存证书时设置的私钥密钥。
如果选择了“标识此密钥为可导出”,导入到证书存储区的证书以后还能导出含有私钥的证书,否则只能导出不含私钥的证书。
再下一步,如果是导入cer证书,导入向导开始后就直接到了这一步。
Figure 4. 选择证书存储区
可以根据证书的类型自动存放到合适的区域,也可以自己选择存储区,一般选个人存储区。
导入完成。查看证书管理中证书已经导入:
Figure 5. 查看导入的证书1
双击这个MyTestCert证书:
Figure 6. 查看导入的证书2
这是证书的具体信息,可以看见这个证书包含有私钥。如果导入的是cer证书,证书中不含有私钥的,那么这里不会显示有相应的私钥。