[java与https]第一篇、证书杂谈

一、算法、密钥（对）、证书、证书库

令狐冲是个马场老板，这天，他接到店里伙计电话，说有人已经签了租马合同，准备到马场提马，，他二话不说，突突突就去了，到了之后，发现不认识租客。

令狐冲说，你把你租马合同给我看看，这就是证书。

没成想这租客是个二道贩子，他呼啦一下掏出来一个装满租马合同的文件袋，这就是证书库。

租客拿出来跟店里直签的合同，有双方的印章，这就是自签名证书。

令狐冲瞟了一眼，看到还有一些文件头写着什么 “大明战马管理公司xxx” 的租马合同，大家都信任朝廷牵头做的合同，这就是CA证书。

令狐冲看了租客的租马合同，发现上面确实是店里的印章，这就是公钥。

令狐冲掏出来一个钥匙串，挑选了一把造型奇特的钥匙，打开了大门，这就是私钥。

这些钥匙还有的是十字形的，有的是扁的，有的打凹点，有的划凹槽，有不同的型号，这就是算法。

钥匙和印章，这就是密钥对。

令狐冲提了匹乌骓给租客，这二道贩子骑上就走，大喊一句：俺老孙去也。

二、编码与证书格式

学习Java加解密的同学，常常被各种文件及其格式给弄的晕头转向，这里帮同学们做一下划分，帮助同学们理解

2.1 编码格式的基石 - ASN.1语法

ASN.1 只是一种语法，它只定义 编码怎么写 ，不定义 编码具体内容

下面是 ASN.1 的语法

类型名 ::= 基础类型 { 类型具体描述 }

它只有这么个东西，这只是个语法，下面是一个语法示例

Blog ::= SEQUENCE {
	address 	PrintableString,
	title 		UTF8String,
	date 		UTCTime,
	content 	String,
	status		BlogStatus
}

2.2 编码格式

编码格式的制定，遵循上述章节的语法，但是有自己的属性、属性占据长度等的定义。

比如，定义的基础类型有哪些（上章节中示例的基础类型为 SEQUENCE）。

比如，编码的前几个字节，分别代表什么意思。

这里不再展开，有兴趣的同学可以参阅各种编码格式的说明，我们只需要了解编码格式的概念就好了。

常见有如下编码格式

• BER 基本编码格式
• CER 规范编码格式 ber 的变种，变长，在实际应用中比较少
• DER 卓越编码格式 ber 的变种，定长，数字签名的默认编码
• PER 压缩编码格式
• XER XML编码格式

通常的，我们说的证书内容的编码格式，是指 DER 编码格式，下文中均指 DER 编码格式。

2.3 编码标准

有了格式之后，并不能直接用来定义证书内容，就比如我们有了长城砖，但是并不知道长城该怎么垒

而编码标准，就是告诉我们，通过已知的编码格式（长城砖），怎么去垒长城。

2.3.1 x509 编码标准

x509 是密码学中，关于 公钥证书格式 的一个编码标准，用于证书。

我们说的数字证书，通常意义上是指 x509 公钥证书，它含有公钥、身份信息（比如网络主机名，组织的名称或个体名称等）和签名信息（可以是证书签发机构 CA 的签名，也可以是自签名）

2.3.2 PKCS 编码标准

严格来讲，PKCS 是一个公钥密码学 标准组，它有一系列的编码标准，拓展了诸如加解密、签名、密钥交换、分发证书等过程中的一些规范。

PKCS已经发布了15个版本的标准，常用的版本对应的用途说明如下：

公钥加密标准	说明	文件后缀
PKCS1	RSA 加密规范,提供了基于 RSA 算法的公钥加密实现的建议
PKCS 7	密码消息语法标准	.p7b .p7c .spc
PKCS 8	存储私钥信息的标准语法	.key
PKCS 10	证书请求语法标准	.p10 .csr
PKCS 12	个人信息交换语法标准	.p12 .pfx

其中，.p12 / .pfx 常用来做证书库文件

2.4 证书文件格式

DER 编码格式的证书是二进制文件，它不能在文本环境下交换信息，为了解决这个问题，出现了用 PEM 格式编码的证书

2.4.1 PEM 文本编码格式

简单来说，PEM 实际上就是把 DER 二进制内容用 Base64 编码一下，然后加上-----BEGIN label----- 形式的头部和 -----END label----- 形式的尾部

下面是一个 PEM 编码格式的公钥

-----BEGIN PUBLIC KEY-----
BASE64 ENCODER STRING ...
-----END PUBLIC KEY-----

密钥、证书都可以转为 PEM 格式，以方便在文本环境中传输

2.4.2 常见证书文件

通常的，有如下常见证书文件

扩展名	说明
.der	二进制证书文件，不常用
.pem	证书或密钥的文本存储格式文件
.csr	证书签名请求文件
.key	单独存放的 PEM 编码格式私钥文件
.cer	window 环境下常见证书库文件，可以是二进制，也可以是 PEM 编码格式
.crt	linux 环境下常见证书库文件，可以是二进制，也可以是 PEM 编码格式

2.5 常见证书库的文件编码格式

常用的证书生成工具有 jdk 自带的 keytool 、linux 体系的 openssl，对应的，他们生成的证书库文件编码格式如下：

• JKS - keytool 生成的证书库的文件编码格式，文件有 *.jks , *.keystore
• PEM - openssl 生成的证书库的文件编码格式，文件有 *.pfx, *.p12

三、算法列举

在报文传输过程中，一定会有使用密钥对进行加密/解密、签名/验签、报文摘要等操作，这些都需要有针对性的算法

算法	分类	说明
AES	加解密	对称加密算法
DES	加解密	对称加密算法
RSA	加解密/签名	非对称加密算法
MD	摘要	常见MD5
SHA	摘要	安全散列算法
Mac	摘要	消息认证码算法
DSA	签名	数字签名算法，虽属于非对称加密，但不能加解密
MD5withRSA	签名
SHA1withRSA	签名
SHA256withRSA	签名
SHA1withDSA	签名
SHA256withDSA	签名
SHA512withDSA	签名