数字签名技术实现过程_数字签名是由_applet数字签名(3)

数字证书含有两部分数据：一部分是对应主体（单位或个人）的信息，另一部分是这个主体所对应的公钥。即数字证书保存了主体和它的公钥的一一对应关系。同样，数字证书也有可能被假造，如何判定数字证书的内容的真实性呢？所以，有效的数字证书必须经过权威 CA的签名，即权威CA验证数字证书的内容的真实性，然后再在数字证书上使用自己的私钥签名（相当于在证书加章确认）。

这样，当用户收到这样的数字证书后，会用相应的权威 CA的公钥验证该证书的签名(因为权威的CA的公钥在操作系统中己经安装)。根据非对称加密的原理，如果该证书不是权威CA签名的，将不能通过验证，即该证书是不可靠的。

若通过验证，即可证明此证书含的信息（发信人的公钥和信息）是无误的。于是可以信任该证书，便可以通过该证书内含的公钥来确认数据确实是发送者发来的。

于是，双方通信时， A把数据的消息摘要用自己的私钥加密（即签名），然后把自己的数字证书和数据及签名后的消息摘要一起发送给B，B处查看A的数字证书，如果A的数字证书是经过权威CA验证可靠的，便信任A，便可使用A的数字证书中附带的A的公钥解密消息摘要（这一过程同时确认了发送数据的人又可以解密消息摘要），然后通过解密后的消息摘要验证数据是否正确无误没被修改。

利用这一原理，我们可以突破 java的applet小程序在浏览器中的权限，由于默认的applet权限控制不允许它访问操作系统级的一切。于是我们可以用我们数字证书来给applet签名，然后客户端收到该 applet时，系统会自动查看给该applet签名的数字证书并提供给终端用户判定是否信认该数字证书，如果用户信认，则该applet便有了访问系统的权限。

二、 Java中的数字证书的生成及维护方法

Java中的keytool.exe可以用来创建数字证书，所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件，数字证书文件只包括主体信息和对应的公钥。

每一个证书库是一个文件组成，它有访问密码，在首次创建时，它会自动生成证书库，并要求指定访问证书库的密码。

在创建证书的的时候，需要填写证书的一些信息和证书对应的私钥密码。这些信息包括 CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx，它们的意思是：

CN(Common Name名字与姓氏)

OU(Organization Unit组织单位名称)

O(Organization组织名称)

L(Locality城市或区域名称)

ST(State州或省份名称)

C(Country国家名称）

可以采用交互式让工具提示输入以上信息，也可以采用参数

-dname "CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx"来自动创建。

1、示例

如下所示一句采用交互式创建一个证书，指定证书库为 abnerCALib，创建别名为abnerCA的一条证书，它指定用RSA算法生成，

且指定密钥长度为 1024，证书有效期为3650天：

C:\j2sdk1.4.1_01\mykeystore＞keytool -genkey -alias abnerCA -keyalg RSA -keysize 1024 -keystore abnerCALib -validity 3650

如下图所示：

上图中最后一步，我们输入的是 CN，代表中国的缩写，也可以直接输入“中国”两个字。

2、证书的操作方法

● 证书的显示

如：

keytool –list –keystore abnerCALib

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-28146-3.html