数字证书的获取与保存.docxVIP

数字证书（也称作数字证书）将身份绑定到一对可以用来加密和签名数字信息的电子密钥。数字证书能够验证一个人使用给定密钥的权利，这有助于防止有人利用假密钥冒充其他用户。数字证书与加密一起使用，可以提供一个更加完整的解决方案，确保交易中各方的身份。一、? 获得证书1、从CA获得如果是商业应用最好从证书的签发机构CA获得证书，比如VeriSign，这样的大的CA签发的证书已经被一些系统默认为可信任的证书签发机构，它所签发的证书也是被信任的。但是这样的证书需要购买。如果不是商业应用，这里推荐一个可以免费申请证书的CA：2、从windows2003证书服务中获得在windows2003中安装证书服务器，windows2003服务器即可当做一个小型的CA，可以申请签发证书。3、使用makecert工具获得微软在framework SDK中提供了一个生成X.509数字证书的命令行工具Makecert.exe。Makecert生成证书被保存到命令中指定的证书存储区。比如使用下面这个命令生成一个证书：makecert -sr CurrentUser -ss My -n CN=MyTestCert -sky exchange -pe参数说明：-sr CurrentUser --指定主题的证书存储位置。Location 可以是 currentuser（默认值）或 localmachine-ss My --指定主题的证书存储名称，输出证书即存储在那里。My表示保存在“个人”-n CN=MyTestCert --指定主题的证书名称。此名称必须符合 X.500 标准。最简单的方法是在双引号中指定此名称，并加上前缀 CN=；例如，CN=myName。-sky exchange --指定颁发者的密钥类型，必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下，可传入 1 表示交换密钥，传入 2 表示签名密钥。-pe --将所生成的私钥标记为可导出。这样可将私钥包括在证书中。?这个命令生成一个名字为MyTestCert的证书，被保存到了当前用户的个人证书存储区内。Makecert命令的详细说明请参看微软Makecert.exe工具的文档：/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp二、? 证书的保存1、保存在证书存储区Makecert命令生成的证书被保存在证书存储区。证书存储区是系统中一个特殊区域，专门用来保存X.509数字证书。可以在MMC的证书管理单元中对证书存储区进行管理。Windows没有给我们准备好直接的管理证书的入口。自己在MMC中添加，步骤如下：????????? 开始运行 MMC，打开一个空的MMC控制台。????????? 在控制台菜单，文件添加/删除管理单元添加按钮选”证书” 添加选”我的用户账户” 关闭确定????????? 在控制台菜单，文件添加/删除管理单元添加按钮选”证书” 添加选”计算机账户” 关闭确定完成后，在MMC控制台中有了两个MMC管理单元Figure 1．证书管理?添加完证书管理单元后可以保存一下这个MMC控制台的设置，方便以后再次使用。在文件菜单中选“保存”，比如可以保存为“证书.msc”。?这两个管理单元分别对应证书的两类存储位置：当前用户（CurrentUser） -- 当前用户使用的 X.509 证书存储区。本地计算机（LocalMachine） -- 分配给本地计算机的 X.509 证书存储区。每个存储位置下面的子目录代表证书的存储区，预设了以下存储区：AddressBook其他用户的 X.509 证书存储区。?AuthRoot第三方证书颁发机构 (CA) 的 X.509 证书存储区。?CertificateAuthority中间证书颁发机构 (CA) 的 X.509 证书存储区。?Disallowed吊销的证书的 X.509 证书存储区。?My个人证书的 X.509 证书存储区。?Root受信任的根证书颁发机构 (CA) 的 X.509 证书存储区。?TrustedPeople直接受信任的人和资源的 X.509 证书存储区。?TrustedPublisher直接受信任的发行者的 X.509 证书存储区。????2、以文件形式保存作为文件形式存在的证书一般有这几种格式：2.1.??????? 带有私钥的证书由Public Key Cryptography Standards #12，PKCS#12标准定义，包含了公钥和私钥的二进制格式的证书形式，以pfx作为证书文件后缀名。2.2.??????? 二进制编码的证书证书中没有私钥