1 PKCS #10 PKCS 最初是为推进公钥密码系统的互操作性,由 RSA 实验室与工业界、学术界和政府代表合作开发的。在 RSA 带领下,PKCS 的研究随着时间不断发展,它涉及了不短发展的 PKI 格式标准、算法和应用程序接口。PKCS 标准提供了基本的数据格式定义和算法定义,它们实际是今天所有 PKI 实现的基础。 PKCS #10:证书请求语法标准。PKCS #10 定义了证书请求的语法。证书请求包含了一个唯一识别名、公钥和可选的一组属性,它们一起被请求证书的实体签名(证书管理协议中的 PKIX证书请求消息就是一个 PKCS #10)。 PKCS 的标准主要用于用户实体通过 RA 的证书申请、用户的证书更新过程。当证书作废时,RA 通过 CA 向目录服务器中发布证书撤销列表 CRL,用于扩展证书内容,以及数字签名与验签过程和实现数字信封格式定义等一系列相关协议。 2 openssl 证书申请与生成 首先在网上搜一些安装配置的步骤。在安装时,遇到很多问题。可能是对DOS 命令行的很多命令、机理都不了解,在安装这一步花了不少时间。遇到一个错误就 GOOGLE,然后变为下一个错误,继续GOOGLE。最终总算安装配置成功了。 然后开始做证书申请部分。 首先在 D 盘建立一个目录SSL。 创建CA。 为 CA 创建一个 RSA 私钥。 利用 CA 的 RSA 私钥创建一个自签名的 CA 证书,命令如下:openssl req –new –x509 –days 3650 –key ca.key –out ca.crt –config openssl.cnf 这里需要 注意的 是 参数 -config openssl.cnf , 这是 用 到配置文件openssl.cnf 我在D:\openssl-0.9.8q\apps 目录下找到了这个配置文件。将这个文件COPY 到d:\SSL 目录下。然后用 Ultraedit 打开 openssl.cnf,对以下几项做修改。 (1)dir 的值根据实际必须是“.”代表的是当前工作目录,从这个目录中载入 openssl.cnf配置文件。 (2)certs 的值表示已发行的证书和证书请求存放的目录,可以在 SSL 目录下新建一个名为certs 的目录,将来生成的请求证书就会自动存放在 certs 目录里。 (3)crl_dir 的值表示撤销证书的存放目录。这里不涉及撤销证书,对此项的值不需要修改。 (4)database 的值指明记录已经发行证书数目的文件index.txt 的位置。必须在 SSL 目录下建立一个名为 index.txt 的文件。 (5)new_certs_dir 指明签发证书存放的位置,根据情况在 SSL 目录下新建一个名为 newcerts的目录。将...
