密鑰轉加密

⑴ 密鑰和加密演算法是個什麼關系

密鑰是一種參數（它是在明文轉換為密文或將密文轉換為明文的演算法中輸入的數據），加密演算法是明文轉換成密文的變換函數，同樣的密鑰可以用不同的加密演算法，得到的密文就不一樣了。

舉一個示例，例如凱撒密碼，該字母向後旋轉n位，該n是密鑰， 向後移動的方法稱為演算法。 盡管使用相同的演算法，但是對明文用不同的密鑰加密的結果不一樣。

例如，Run使用Key = 1（密鑰）的凱撒密碼，即Svo，而Key = 2（密鑰）的加密，則成為Twp，因此密鑰和演算法存在很大差異。

現在大多數公鑰密碼系統都使用RSA演算法，但是每個人的密鑰的密文不同。 通常，該演算法是公共的，密鑰不是公共的。 加密演算法恰好包含兩個輸入參數，一個是明文，另一個是密鑰。

(1)密鑰轉加密擴展閱讀：

1、密鑰演算法

使用極其復雜的加密演算法，即使解密者可以加密他選擇的任意數量的明文，也無法找出破譯密文的方法。 秘密密鑰的一個弱點是解密密鑰必須與加密密碼相同，這引發了如何安全分配密鑰的問題。

2、公鑰演算法

滿足三個條件：第一個條件是指在對密文應用解密演算法後可以獲得明文。 第二個條件是指不可能從密文中得出解密演算法。 第三個條件是指即使任何明文形式的選擇都無法解密密碼，解密程序也可以加密。 如果滿足上述條件，則可以公開加密演算法。

⑵ 密鑰是什麼意思 怎麼理解密鑰的意思

1、密鑰是一種參數，它是在明文轉換為密文或將密文轉換為明文的演算法中輸入的參數。密鑰分為對稱密鑰與非對稱密鑰。

2、密鑰分為兩種：對稱密鑰與非對稱密鑰。 對稱密鑰加密，又稱私鑰加密或會話密鑰加密演算法，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。 非對稱密鑰加密系統，又稱公鑰密鑰加密。它需要使用不同的密鑰來分別完成加密和解密操作，一個公開發布，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。

3、對於普通的對稱密碼學，加密運算與解密運算使用同樣的密鑰。通常,使用的對稱加密演算法比較簡便高效，密鑰簡短，破譯極其困難，由於系統的保密性主要取決於密鑰的安全性，所以，在公開的計算機網路上安全地傳送和保管密鑰是一個嚴峻的問題。

⑶ 如何使用密鑰進行加密

密鑰加密是為保證在開放式環境中網路傳輸的安全而提供的加密服務。
通常大量使用的兩種密鑰加密技術是:私用密鑰(對稱加密)和公共密鑰(非對稱加密)。
秘密密鑰：使用極其復雜的加密演算法，即使破譯者能夠對選擇的任意數量的明文進行加密，也無法找出破譯密文的方法。秘密密鑰的一個弱點是解密密鑰必須和加密密碼相同，這就產生了如何安全地分發密鑰的問題。
公開密鑰：滿足三個條件：第一個條件是指將解密演算法作用於密文後就可以獲得明文；第二個條件是指不可能從密文導出解密演算法；第三個條件是指破譯者即使能加密任意數量的選擇明文，也無法破譯密碼。如果滿足以上條件，則可以公開加密演算法。

⑷ java 給定十六位密鑰 如何進行des加密

packagecom.palic.pss.afcs.worldthrough.common.util;

importjavax.crypto.Cipher;
importjavax.crypto.spec.SecretKeySpec;

importrepack.com.thoughtworks.xstream.core.util.Base64Encoder;
/**
*AES加密解密
*@authorEX-CHENQI004
*
*/
publicclassAesUtils{
		publicstaticfinalStringcKey="assistant7654321";
		/**
	*加密--把加密後的byte數組先進行二進制轉16進制在進行base64編碼
	*@paramsSrc
	*@paramsKey
	*@return
	*@throwsException
	*/
	publicstaticStringencrypt(StringsSrc,StringsKey)throwsException{
	if(sKey==null){
	("ArgumentsKeyisnull.");
	}
	if(sKey.length()!=16){
	(
	"ArgumentsKey'lengthisnot16.");
	}
	byte[]raw=sKey.getBytes("ASCII");
	SecretKeySpecskeySpec=newSecretKeySpec(raw,"AES");
	
	Ciphercipher=Cipher.getInstance("AES");
	cipher.init(Cipher.ENCRYPT_MODE,skeySpec);
	
	byte[]encrypted=cipher.doFinal(sSrc.getBytes("UTF-8"));
	StringtempStr=parseByte2HexStr(encrypted);
	
	Base64Encoderencoder=newBase64Encoder();
	returnencoder.encode(tempStr.getBytes("UTF-8"));
	}
	
	/**
	*解密--先進行base64解碼，在進行16進制轉為2進制然後再解碼
	*@paramsSrc
	*@paramsKey
	*@return
	*@throwsException
	*/
	publicstaticStringdecrypt(StringsSrc,StringsKey)throwsException{
	
	if(sKey==null){
	("499");
	}
	if(sKey.length()!=16){
	("498");
	}
	
	byte[]raw=sKey.getBytes("ASCII");
	SecretKeySpecskeySpec=newSecretKeySpec(raw,"AES");
	
	Ciphercipher=Cipher.getInstance("AES");
	cipher.init(Cipher.DECRYPT_MODE,skeySpec);
	
	Base64Encoderencoder=newBase64Encoder();
	byte[]encrypted1=encoder.decode(sSrc);
	
	StringtempStr=newString(encrypted1,"utf-8");
	encrypted1=parseHexStr2Byte(tempStr);
	byte[]original=cipher.doFinal(encrypted1);
	StringoriginalString=newString(original,"utf-8");
	returnoriginalString;
	}
	
	/**
	*將二進制轉換成16進制
	*
	*@parambuf
	*@return
	*/
	(bytebuf[]){
	StringBuffersb=newStringBuffer();
	for(inti=0;i<buf.length;i++){
	Stringhex=Integer.toHexString(buf[i]&0xFF);
	if(hex.length()==1){
	hex='0'+hex;
	}
	sb.append(hex.toUpperCase());
	}
	returnsb.toString();
	}
	
	/**
	*將16進制轉換為二進制
	*
	*@paramhexStr
	*@return
	*/
	publicstaticbyte[]parseHexStr2Byte(StringhexStr){
	if(hexStr.length()<1)
	returnnull;
	byte[]result=newbyte[hexStr.length()/2];
	for(inti=0;i<hexStr.length()/2;i++){
	inthigh=Integer.parseInt(hexStr.substring(i*2,i*2+1),16);
	intlow=Integer.parseInt(hexStr.substring(i*2+1,i*2+2),
	16);
	result[i]=(byte)(high*16+low);
	}
	returnresult;
	}
	publicstaticvoidmain(String[]args)throwsException{
			/*
			*加密用的Key可以用26個字母和數字組成，最好不要用保留字元，雖然不會錯，至於怎麼裁決，個人看情況而定
			*/
			StringcKey="assistant7654321";
			//需要加密的字串
			StringcSrc="123456";
			//加密
			longlStart=System.currentTimeMillis();
			StringenString=encrypt(cSrc,cKey);
			System.out.println("加密後的字串是："+enString);
			longlUseTime=System.currentTimeMillis()-lStart;
			System.out.println("加密耗時："+lUseTime+"毫秒");
			//解密
			lStart=System.currentTimeMillis();
			StringDeString=decrypt(enString,cKey);
			System.out.println("解密後的字串是："+DeString);
			lUseTime=System.currentTimeMillis()-lStart;
			System.out.println("解密耗時："+lUseTime+"毫秒");
		}
}

⑸ 密碼和秘鑰意思完全一樣嗎

從密碼學角度來說，普通「密碼」只是口令，如各種賬戶的登錄「密碼」，而真正意義上的密碼是與明碼相對，如在加密文件的時候，加密生成的文件本身才是真正意義上的密碼，加密前的文件是明碼，我們設置的「密碼」會通過已知的演算法轉換為密鑰，然後密鑰可以簡單理解為一種映射關系，能把明碼轉換成密碼，也能把密碼轉換成明碼，「密碼」與密鑰是函數中的自變數與因變數的關系，所以在這個場景內，「密碼」與密鑰在邏輯上，注意是邏輯上，是同一種東西。那麼既然有了密碼，密鑰還有什麼存在的意義？密鑰是一種參數，它是在明文轉換為密文或將密文轉換為明文的演算法中輸入的數據，密鑰分為兩種：對稱密鑰與非對稱密鑰，對於普通的對稱密碼學，加密運算與解密運算使用同樣的密鑰。通常使用的加密演算法比較簡便高效，密鑰簡短，破譯極其困難，由於系統的保密性主要取決於密鑰的安全性，所以，在公開的計算機網路上安全地傳送和保管密鑰是一個嚴峻的問題，正是由於對稱密碼學中雙方都使用相同的密鑰，因此無法實現數據簽名和不可否認性等功能，使得密鑰比密碼更為安全。

⑹ OpenSSL詳解

OpenSSL初接觸的人恐怕最難的在於先理解各種概念

公鑰/私鑰/簽名/驗證簽名/加密/解密/非對稱加密

我們一般的加密是用一個密碼加密文件,然後解密也用同樣的密碼.這很好理解,這個是對稱加密.而有些加密時,加密用的一個密碼,而解密用另外一組密碼,這個叫非對稱加密,意思就是加密解密的密碼不一樣.初次接觸的人恐怕無論如何都理解不了.其實這是數學上的一個素數積求因子的原理的應用,如果你一定要搞懂,網路有大把大把的資料可以看,其結果就是用這一組密鑰中的一個來加密數據,可以用另一個解開.是的沒錯,公鑰和私鑰都可以用來加密數據,相反用另一個解開,公鑰加密數據,然後私鑰解密的情況被稱為加密解密,私鑰加密數據,公鑰解密一般被稱為簽名和驗證簽名.

因為公鑰加密的數據只有它相對應的私鑰可以解開,所以你可以把公鑰給人和人,讓他加密他想要傳送給你的數據,這個數據只有到了有私鑰的你這里,才可以解開成有用的數據,其他人就是得到了,也看懂內容.同理,如果你用你的私鑰對數據進行簽名,那這個數據就只有配對的公鑰可以解開,有這個私鑰的只有你,所以如果配對的公鑰解開了數據,就說明這數據是你發的,相反,則不是.這個被稱為簽名.

實際應用中,一般都是和對方交換公鑰,然後你要發給對方的數據,用他的公鑰加密,他得到後用他的私鑰解密,他要發給你的數據,用你的公鑰加密,你得到後用你的私鑰解密,這樣最大程度保證了安全性.

RSA/DSA/SHA/MD5

非對稱加密的演算法有很多,比較著名的有RSA/DSA ,不同的是RSA可以用於加/解密,也可以用於簽名驗簽,DSA則只能用於簽名.至於SHA則是一種和md5相同的演算法,它不是用於加密解密或者簽名的,它被稱為摘要演算法.就是通過一種演算法,依據數據內容生成一種固定長度的摘要,這串摘要值與原數據存在對應關系,就是原數據會生成這個摘要,但是,這個摘要是不能還原成原數據的,嗯....,正常情況下是這樣的,這個演算法起的作用就是,如果你把原數據修改一點點,那麼生成的摘要都會不同,傳輸過程中把原數據給你再給你一個摘要,你把得到的原數據同樣做一次摘要演算法,與給你的摘要相比較就可以知道這個數據有沒有在傳輸過程中被修改了.

實際應用過程中,因為需要加密的數據可能會很大,進行加密費時費力,所以一般都會把原數據先進行摘要,然後對這個摘要值進行加密,將原數據的明文和加密後的摘要值一起傳給你.這樣你解開加密後的摘要值,再和你得到的數據進行的摘要值對應一下就可以知道數據有沒有被修改了,而且,因為私鑰只有你有,只有你能解密摘要值,所以別人就算把原數據做了修改,然後生成一個假的摘要給你也是不行的,你這邊用密鑰也根本解不開.

CA/PEM/DER/X509/PKCS

一般的公鑰不會用明文傳輸給別人的,正常情況下都會生成一個文件,這個文件就是公鑰文件,然後這個文件可以交給其他人用於加密,但是傳輸過程中如果有人惡意破壞,將你的公鑰換成了他的公鑰,然後得到公鑰的一方加密數據,不是他就可以用他自己的密鑰解密看到數據了嗎,為了解決這個問題,需要一個公證方來做這個事,任何人都可以找它來確認公鑰是誰發的.這就是CA,CA確認公鑰的原理也很簡單,它將它自己的公鑰發布給所有人,然後一個想要發布自己公鑰的人可以將自己的公鑰和一些身份信息發給CA,CA用自己的密鑰進行加密,這里也可以稱為簽名.然後這個包含了你的公鑰和你的信息的文件就可以稱為證書文件了.這樣一來所有得到一些公鑰文件的人,通過CA的公鑰解密了文件,如果正常解密那麼機密後裡面的信息一定是真的,因為加密方只可能是CA,其他人沒它的密鑰啊.這樣你解開公鑰文件,看看裡面的信息就知道這個是不是那個你需要用來加密的公鑰了.

實際應用中,一般人都不會找CA去簽名,因為那是收錢的,所以可以自己做一個自簽名的證書文件,就是自己生成一對密鑰,然後再用自己生成的另外一對密鑰對這對密鑰進行簽名,這個只用於真正需要簽名證書的人,普通的加密解密數據,直接用公鑰和私鑰來做就可以了.

密鑰文件的格式用OpenSSL生成的就只有PEM和DER兩種格式,PEM的是將密鑰用base64編碼表示出來的,直接打開你能看到一串的英文字母,DER格式是二進制的密鑰文件,直接打開,你可以看到........你什麼也看不懂!.X509是通用的證書文件格式定義.pkcs的一系列標準是指定的存放密鑰的文件標准,你只要知道PEM DER X509 PKCS這幾種格式是可以互相轉化的.

== End http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html ==

為了方便理解，我畫了一個圖，如下：

使用 openssl 生成證書（含openssl詳解）
一、openssl 簡介
openssl 是目前最流行的 SSL 密碼庫工具，其提供了一個通用、健壯、功能完備的工具套件，用以支持SSL/TLS 協議的實現。
官網： https://www.openssl.org/source/

構成部分
密碼演算法庫

密鑰和證書封裝管理功能

SSL通信API介面

用途
建立 RSA、DH、DSA key 參數

建立 X.509 證書、證書簽名請求(CSR)和CRLs(證書回收列表)

計算消息摘要

使用各種 Cipher加密/解密

SSL/TLS 客戶端以及伺服器的測試

處理S/MIME 或者加密郵件

二、RSA密鑰操作
默認情況下，openssl 輸出格式為 PKCS#1-PEM

生成RSA私鑰(無加密)

openssl genrsa -out rsa_private.key 2048

生成RSA公鑰

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私鑰(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 進行密碼輸入，否則會提示輸入密碼；
生成加密後的內容如：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,
Base64 Encoded
Data-----END RSA PRIVATE KEY-----

此時若生成公鑰，需要提供密碼

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 進行密碼輸入，否則會提示輸入密碼；

轉換命令
私鑰轉非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私鑰轉加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私鑰PEM轉DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 參數制定輸入輸出格式，由der轉pem格式同理

查看私鑰明細

openssl rsa -in rsa_private.key -noout -text

使用-pubin參數可查看公鑰明細

私鑰PKCS#1轉PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密碼，輸出的pkcs8格式密鑰為加密形式，pkcs8默認採用des3 加密演算法，內容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt參數可以輸出無加密的pkcs8密鑰，如下：

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

三、生成CA自簽名證書和RSA私鑰(測試場景步驟)
測試場景步驟1：生成 RSA 私鑰和自簽名證書：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt

注釋：

操作步驟如下：提示填寫過程中如果想刪除填寫的內容，用ctrl+Backspace刪除前面的字元

[root@szxelab01-web-100 cert]# openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt
Generating a 2048 bit RSA private key
.............+++
........................+++
writing new private key to 'rsa_private.key'

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

[root@szxjdwins01-web-27 cert]# ll
total 8
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

openssl req -new -x509 -days 36500 -key rsa_private.key -out cert.crt

四、生成伺服器簽名請求文件及CA 簽名頒發伺服器證書（）
server.key建議不要加密碼，如果加密碼，重啟nginx的時候每次都需要密碼才可以啟動nginx影響效率。
nginx配置只需要server.key和server.crt兩個文件。

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
Generating RSA private key, 2048 bit long molus
............................+++
.......+++
e is 65537 (0x10001)

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -out server.key 2048
Generating RSA private key, 2048 bit long molus
.............................................+++
........................................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: 111111手動輸入密碼
Verifying - Enter pass phrase for server.key: 111111手動輸入密碼

[root@szxelab01-web-27 cert]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 不輸入密碼
An optional company name []: 不輸入密碼

此後輸入密碼、server證書信息完成，也可以命令行指定各類參數

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

*** 此時生成的 csr簽名請求文件可提交至 CA進行簽發 ***

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in server.csr

openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt

[root@szxelab01-web-27 cert]# openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt
Signature ok
subject=/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected]
Getting CA Private Key

其中 CAxxx 選項用於指定CA 參數輸入

[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1766 Jun 22 14:54 server.key

此時對nginx任何操作，都需要提示輸入server.key的密碼才可以執行。
[root@szxelab01-web-27 nginx]# /application/nginx/sbin/nginx -t
Enter PEM pass phrase: 輸入密碼111111
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok

為例不輸入密碼，需要把加密server.key轉換成不加密的server.key

[root@szxelab01-web-27 cert]# openssl rsa -in server.key -passin pass:111111 -out server.key
writing RSA key

此時nginx操作就不提示輸入密碼了：
[root@szxelab01-web-27 cert]# /application/nginx/sbin/nginx -t
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok
nginx: configuration file /application/nginx-1.12.2//conf/nginx.conf test is successful

證書位置：
[root@szxelab01-web-27 cert]# pwd
/application/nginx/cert
[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1679 Jun 22 15:19 server.key

至此測試場景私有證書配置完成
五、證書查看及轉換
查看證書細節

openssl x509 -in cert.crt -noout -text

轉換證書編碼格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 證書(含私鑰)

** 將 pem 證書和私鑰轉 pkcs#12 證書 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指導出pkcs#12 證書，-inkey 指定了私鑰文件，-passin 為私鑰(文件)密碼(nodes為無加密)，-password 指定 p12文件的密碼(導入導出)

** 將 pem 證書和私鑰/CA 證書 合成pkcs#12 證書**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \ -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同時添加證書鏈，-CAfile 指定了CA證書，導出的p12文件將包含多個證書。(其他選項：-name可用於指定server證書別名；-caname用於指定ca證書別名)

** pcks#12 提取PEM文件(含私鑰) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密碼(導入導出)，-passout指輸出私鑰的加密密碼(nodes為無加密)
導出的文件為pem格式，同時包含證書和私鑰(pkcs#8)：

Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN= vihoo.com/[email protected]
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN= viroot.com/[email protected] CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/
1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

僅提取私鑰

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

僅提取證書(所有證書)

openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

僅提取ca證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

僅提取server證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令參考

⑺ 軟體密鑰怎麼轉typec口

要改Type-C，直接買一個這個【TYPE-C母頭測試板】，然後粘到外殼上。
要連線，其實主要辨識的就是兩個電阻連接到D-和D加，我個人建議RST這個腳位也要接個微動按鈕到GND上面以備不時之需。
在對稱加密演算法中，加密和解密使用的是同一把鑰匙，即：使用相同的密匙對同一密碼進行加密和解密。基於「對稱密鑰」的加密演算法主要有DES、3DES（TripleDES）、AES、RC2、RC4、RC5和Blowfish等。DES演算法全稱為DataEncryptionStandard，即數據加密演算法，它是IBM公司於1975年研究成功並公開發表的。DES演算法的入口參數有三個：Key、Data、Mode。其中Key為8個位元組共64位，是DES演算法的工作密鑰。Data也為8個位元組64位，是要被加密或被解密的數據。Mode為DES的工作方式，有兩種：加密或解密。

⑻ 密鑰是什麼 密鑰簡述

1、密鑰是一種參數，它是在明文轉換為密文或將密文轉換為明文的演算法中輸入的參數。密鑰分為對稱密鑰與非對稱密鑰。

2、密碼學中：密鑰（secret key）——秘密的鑰匙；私鑰（private key）——私有的鑰匙；公鑰（public key）——公開的鑰匙。鑰（yào）匙，密鑰就是秘密的鑰匙的簡稱。密鑰分為兩種：對稱密鑰與非對稱密鑰。

3、對稱密鑰加密，又稱私鑰加密或會話密鑰加密演算法，即信息的發送方和接收方使用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。

4、非對稱密鑰加密系統，又稱公鑰密鑰加密。它需要使用不同的密鑰來分別完成加密和解密操作，一個公開發布，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。

⑼ HTTPS詳解

近幾年，互聯網發生著翻天覆地的變化，尤其是我們一直習以為常的HTTP協議，在逐漸的被HTTPS協議所取代，在瀏覽器、搜索引擎、CA機構、大型互聯網企業的共同促進下，互聯網迎來了「HTTPS加密時代」，HTTPS將在未來的幾年內全面取代HTTP成為傳輸協議的主流。

讀完本文，希望你能明白：

HTTPS是在HTTP上建立SSL加密層，並對傳輸數據進行加密，是HTTP協議的安全版。現在它被廣泛用於萬維網上安全敏感的通訊，例如交易支付方面。

HTTPS主要作用是：

（1）對數據進行加密，並建立一個信息安全通道，來保證傳輸過程中的數據安全;

（2）對網站伺服器進行真實身份認證。

我們經常會在Web的登錄頁面和購物結算界面等使用HTTPS通信。使用HTTPS通信時，不再用 http://，而是改用 https://。另外，當瀏覽器訪問HTTPS通信有效的Web網站時，瀏覽器的地址欄內會出現一個帶鎖的標記。對HTTPS的顯示方式會因瀏覽器的不同而有所改變。

在HTTP協議中有可能存在信息竊取或身份偽裝等安全問題。使用HTTPS通信機制可以有效地防止這些問題，接下來，我們先來了解下

HTTP協議存在的哪些問題：

由於HTTP本身不具備加密的功能，所以也無法做到對通信整體（使用HTTP協議通信的請求和響應的內容）進行加密。即， HTTP報文使用明文（指未經過加密的報文）方式發送 。

HTTP明文協議的缺陷是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協議無法加密數據，所有通信數據都在網路中明文「裸奔」。通過網路的嗅探設備及一些技術手段，就可還原HTTP報文內容。

所謂完整性是指信息的准確度。若無法證明其完整性，通常也就意味著無法判斷信息是否准確。由於HTTP協議無法證明通信的報文完整性，因此，在請求或響應送出之後直到對方接收之前的這段時間內，即使請求或響應的內容遭到篡改，也沒有辦法獲悉。換句話說， 沒有任何辦法確認，發出的請求/響應和接收到的請求/響應是前後相同的 。

HTTP協議中的請求和響應不會對通信方進行確認 。在HTTP協議通信時，由於不存在確認通信方的處理步驟，任何人都可以發起請求。另外，伺服器只要接收到請求，不管對方是誰都會返回一個響應（但也僅限於發送端的IP地址和埠號沒有被Web伺服器設定限制訪問的前提下）

HTTP協議無法驗證通信方身份，任何人都可以偽造虛假伺服器欺騙用戶，實現「釣魚欺詐」，用戶無法察覺。

反觀HTTPS協議，它比HTTP協議相比多了以下優勢（下文會詳細介紹）:

HTTPS並非是應用層的一種新協議。只是HTTP通信介面部分用SSL和TLS協議代替而已。

通常，HTTP直接和TCP通信。當使用SSL時，則演變成先和SSL通信，再由SSL和TCP通信了。簡言之， 所謂HTTPS，其實就是身披SSL協議這層外殼的HTTP 。

在採用SSL後，HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能。也就是說 HTTP加上加密處理和認證以及完整性保護後即是HTTPS 。

HTTPS 協議的主要功能基本都依賴於 TLS/SSL 協議，TLS/SSL 的功能實現主要依賴於三類基本演算法：散列函數 、對稱加密和非對稱加密， 其利用非對稱加密實現身份認證和密鑰協商，對稱加密演算法採用協商的密鑰對數據加密，基於散列函數驗證信息的完整性 。

方法1. 對稱加密

這種方式加密和解密同用一個密鑰。加密和解密都會用到密鑰。 沒有密鑰就無法對密碼解密，反過來說，任何人只要持有密鑰就能解密了。

以對稱加密方式加密時必須將密鑰也發給對方。可究竟怎樣才能安全地轉交？在互聯網上轉發密鑰時，如果通信被監聽那麼密鑰就可會落人攻擊者之手，同時也就失去了加密的意義。另外還得設法安全地保管接收到的密鑰。

方法2. 非對稱加密

公開密鑰加密使用一對非對稱的密鑰。一把叫做私有密鑰，另一把叫做公開密鑰。顧名思義， 私有密鑰不能讓其他任何人知道，而公開密鑰則可以隨意發布，任何人都可以獲得 。

使用公開密鑰加密方式，發送密文的一方使用 對方的公開密鑰進行加密處理 ，對方收到被加密的信息後，再使用自己的私有密鑰進行解密。利用這種方式，不需要發送用來解密的私有密鑰，也不必擔心密鑰被攻擊者竊聽而盜走。

這種方式有以下缺點：

方法3. 對稱加密+非對稱加密(HTTPS採用這種方式)

使用對稱密鑰的好處是解密的效率比較快，使用非對稱密鑰的好處是可以使得傳輸的內容不能被破解，因為就算你攔截到了數據，但是沒有對應的私鑰，也是不能破解內容的。就比如說你搶到了一個保險櫃，但是沒有保險櫃的鑰匙也不能打開保險櫃。那我們就將對稱加密與非對稱加密結合起來,充分利用兩者各自的優勢， 在交換密鑰環節使用非對稱加密方式，之後的建立通信交換報文階段則使用對稱加密方式 。

具體做法是： 發送密文的一方使用對方的公鑰進行加密處理「對稱的密鑰」，然後對方用自己的私鑰解密拿到「對稱的密鑰」，這樣可以確保交換的密鑰是安全的前提下，使用對稱加密方式進行通信。 所以，HTTPS採用對稱加密和非對稱加密兩者並用的混合加密機制。

網路傳輸過程中需要經過很多中間節點，雖然數據無法被解密，但可能被篡改，那如何校驗數據的完整性呢？----校驗數字簽名。

數字簽名有兩種功效：

數字簽名如何生成:

將一段文本先用Hash函數生成消息摘要，然後用發送者的私鑰加密生成數字簽名，與原文文一起傳送給接收者。接下來就是接收者校驗數字簽名的流程了。

校驗數字簽名流程：

接收者只有用發送者的公鑰才能解密被加密的摘要信息，然後用HASH函數對收到的原文產生一個摘要信息，與上一步得到的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數字簽名能夠驗證信息的完整性。

假設消息傳遞在Kobe，James兩人之間發生。James將消息連同數字簽名一起發送給Kobe，Kobe接收到消息後，通過校驗數字簽名，就可以驗證接收到的消息就是James發送的。當然，這個過程的前提是Kobe知道James的公鑰。問題的關鍵的是，和消息本身一樣，公鑰不能在不安全的網路中直接發送給Kobe,或者說拿到的公鑰如何證明是James的。

此時就需要引入了 證書頒發機構 （Certificate Authority，簡稱CA），CA數量並不多，Kobe客戶端內置了所有受信任CA的證書。CA對James的公鑰（和其他信息）數字簽名後生成證書。

數字證書認證機構處於客戶端與伺服器雙方都可信賴的第三方機構的立場上。

我們來介紹一下數字證書認證機構的業務流程：

2.Server把事先配置好的公鑰證書（public key certificate）返回給客戶端。

3.Client驗證公鑰證書：比如是否在有效期內，證書的用途是不是匹配Client請求的站點，是不是在CRL吊銷列表裡面，它的上一級證書是否有效，這是一個遞歸的過程，直到驗證到根證書（操作系統內置的Root證書或者Client內置的Root證書）。如果驗證通過則繼續，不通過則顯示警告信息。

4.Client使用偽隨機數生成器生成加密所使用的對稱密鑰，然後用證書的公鑰加密這個對稱密鑰，發給Server。

5.Server使用自己的私鑰（private key）解密這個消息，得到對稱密鑰。至此，Client和Server雙方都持有了相同的對稱密鑰。

6.Server使用對稱密鑰加密「明文內容A」，發送給Client。

7.Client使用對稱密鑰解密響應的密文，得到「明文內容A」。

8.Client再次發起HTTPS的請求，使用對稱密鑰加密請求的「明文內容B」，然後Server使用對稱密鑰解密密文，得到「明文內容B」。

既然HTTPS那麼安全可靠，那為何不所有的Web網站都使用HTTPS？

首先，很多人還是會覺得HTTPS實施有門檻，這個門檻在於需要權威CA頒發的SSL證書。從證書的選擇、購買到部署，傳統的模式下都會比較耗時耗力。

其次，HTTPS普遍認為性能消耗要大於HTTP，因為 與純文本通信相比，加密通信會消耗更多的CPU及內存資源 。如果每次通信都加密，會消耗相當多的資源，平攤到一台計算機上時，能夠處理的請求數量必定也會隨之減少。但事實並非如此，用戶可以通過性能優化、把證書部署在SLB或CDN，來解決此問題。舉個實際的例子，「雙十一」期間，全站HTTPS的淘寶、天貓依然保證了網站和移動端的訪問、瀏覽、交易等操作的順暢、平滑。通過測試發現，經過優化後的許多頁面性能與HTTP持平甚至還有小幅提升，因此HTTPS經過優化之後其實並不慢。

除此之外， 想要節約購買證書的開銷也是原因之一 。要進行HTTPS通信，證書是必不可少的。而使用的證書必須向認證機構（CA）購買。

最後是安全意識。相比國內，國外互聯網行業的安全意識和技術應用相對成熟，HTTPS部署趨勢是由社會、企業、政府共同去推動的。

轉自： https://mp.weixin.qq.com/s/geepUXBRFXK6X8Xocp3YPw

⑽ 密鑰是什麼，什麼是加密演算法

1密鑰是一種參數，它是在明文轉換為密文或將密文轉換為明文的演算法中輸入的參數。密鑰分為對稱密鑰與非對稱密鑰.
2數據加密的基本過程就是對原來為明文的文件或數據按某種演算法進行處理，使其成為不可讀的一段代碼，通常稱為「密文」，使其只能在輸入相應的密鑰之後才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。 該過程的逆過程為解密，即將該編碼信息轉化為其原來數據的過程。

每次發數據給對方的時候都會用自己的私鑰加密，私鑰和公鑰是對應匹配的，公鑰是公開大家知道的，私鑰是自己的，相當於我們的簽名別人盜版不了。對方收到數據之後用公鑰解密就能得到數據。再用公鑰和私鑰設計具體的辦法就能處理好讓別人不能窺探數據 。