密钥转加密

⑴ 密钥和加密算法是个什么关系

密钥是一种参数（它是在明文转换为密文或将密文转换为明文的算法中输入的数据），加密算法是明文转换成密文的变换函数，同样的密钥可以用不同的加密算法，得到的密文就不一样了。

举一个示例，例如凯撒密码，该字母向后旋转n位，该n是密钥， 向后移动的方法称为算法。 尽管使用相同的算法，但是对明文用不同的密钥加密的结果不一样。

例如，Run使用Key = 1（密钥）的凯撒密码，即Svo，而Key = 2（密钥）的加密，则成为Twp，因此密钥和算法存在很大差异。

现在大多数公钥密码系统都使用RSA算法，但是每个人的密钥的密文不同。 通常，该算法是公共的，密钥不是公共的。 加密算法恰好包含两个输入参数，一个是明文，另一个是密钥。

(1)密钥转加密扩展阅读：

1、密钥算法

使用极其复杂的加密算法，即使解密者可以加密他选择的任意数量的明文，也无法找出破译密文的方法。 秘密密钥的一个弱点是解密密钥必须与加密密码相同，这引发了如何安全分配密钥的问题。

2、公钥算法

满足三个条件：第一个条件是指在对密文应用解密算法后可以获得明文。 第二个条件是指不可能从密文中得出解密算法。 第三个条件是指即使任何明文形式的选择都无法解密密码，解密程序也可以加密。 如果满足上述条件，则可以公开加密算法。

⑵ 密钥是什么意思 怎么理解密钥的意思

1、密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。

2、密钥分为两种：对称密钥与非对称密钥。 对称密钥加密，又称私钥加密或会话密钥加密算法，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。 非对称密钥加密系统，又称公钥密钥加密。它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。

3、对于普通的对称密码学，加密运算与解密运算使用同样的密钥。通常,使用的对称加密算法比较简便高效，密钥简短，破译极其困难，由于系统的保密性主要取决于密钥的安全性，所以，在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。

⑶ 如何使用密钥进行加密

密钥加密是为保证在开放式环境中网络传输的安全而提供的加密服务。
通常大量使用的两种密钥加密技术是:私用密钥(对称加密)和公共密钥(非对称加密)。
秘密密钥：使用极其复杂的加密算法，即使破译者能够对选择的任意数量的明文进行加密，也无法找出破译密文的方法。秘密密钥的一个弱点是解密密钥必须和加密密码相同，这就产生了如何安全地分发密钥的问题。
公开密钥：满足三个条件：第一个条件是指将解密算法作用于密文后就可以获得明文；第二个条件是指不可能从密文导出解密算法；第三个条件是指破译者即使能加密任意数量的选择明文，也无法破译密码。如果满足以上条件，则可以公开加密算法。

⑷ java 给定十六位密钥 如何进行des加密

packagecom.palic.pss.afcs.worldthrough.common.util;

importjavax.crypto.Cipher;
importjavax.crypto.spec.SecretKeySpec;

importrepack.com.thoughtworks.xstream.core.util.Base64Encoder;
/**
*AES加密解密
*@authorEX-CHENQI004
*
*/
publicclassAesUtils{
		publicstaticfinalStringcKey="assistant7654321";
		/**
	*加密--把加密后的byte数组先进行二进制转16进制在进行base64编码
	*@paramsSrc
	*@paramsKey
	*@return
	*@throwsException
	*/
	publicstaticStringencrypt(StringsSrc,StringsKey)throwsException{
	if(sKey==null){
	("ArgumentsKeyisnull.");
	}
	if(sKey.length()!=16){
	(
	"ArgumentsKey'lengthisnot16.");
	}
	byte[]raw=sKey.getBytes("ASCII");
	SecretKeySpecskeySpec=newSecretKeySpec(raw,"AES");
	
	Ciphercipher=Cipher.getInstance("AES");
	cipher.init(Cipher.ENCRYPT_MODE,skeySpec);
	
	byte[]encrypted=cipher.doFinal(sSrc.getBytes("UTF-8"));
	StringtempStr=parseByte2HexStr(encrypted);
	
	Base64Encoderencoder=newBase64Encoder();
	returnencoder.encode(tempStr.getBytes("UTF-8"));
	}
	
	/**
	*解密--先进行base64解码，在进行16进制转为2进制然后再解码
	*@paramsSrc
	*@paramsKey
	*@return
	*@throwsException
	*/
	publicstaticStringdecrypt(StringsSrc,StringsKey)throwsException{
	
	if(sKey==null){
	("499");
	}
	if(sKey.length()!=16){
	("498");
	}
	
	byte[]raw=sKey.getBytes("ASCII");
	SecretKeySpecskeySpec=newSecretKeySpec(raw,"AES");
	
	Ciphercipher=Cipher.getInstance("AES");
	cipher.init(Cipher.DECRYPT_MODE,skeySpec);
	
	Base64Encoderencoder=newBase64Encoder();
	byte[]encrypted1=encoder.decode(sSrc);
	
	StringtempStr=newString(encrypted1,"utf-8");
	encrypted1=parseHexStr2Byte(tempStr);
	byte[]original=cipher.doFinal(encrypted1);
	StringoriginalString=newString(original,"utf-8");
	returnoriginalString;
	}
	
	/**
	*将二进制转换成16进制
	*
	*@parambuf
	*@return
	*/
	(bytebuf[]){
	StringBuffersb=newStringBuffer();
	for(inti=0;i<buf.length;i++){
	Stringhex=Integer.toHexString(buf[i]&0xFF);
	if(hex.length()==1){
	hex='0'+hex;
	}
	sb.append(hex.toUpperCase());
	}
	returnsb.toString();
	}
	
	/**
	*将16进制转换为二进制
	*
	*@paramhexStr
	*@return
	*/
	publicstaticbyte[]parseHexStr2Byte(StringhexStr){
	if(hexStr.length()<1)
	returnnull;
	byte[]result=newbyte[hexStr.length()/2];
	for(inti=0;i<hexStr.length()/2;i++){
	inthigh=Integer.parseInt(hexStr.substring(i*2,i*2+1),16);
	intlow=Integer.parseInt(hexStr.substring(i*2+1,i*2+2),
	16);
	result[i]=(byte)(high*16+low);
	}
	returnresult;
	}
	publicstaticvoidmain(String[]args)throwsException{
			/*
			*加密用的Key可以用26个字母和数字组成，最好不要用保留字符，虽然不会错，至于怎么裁决，个人看情况而定
			*/
			StringcKey="assistant7654321";
			//需要加密的字串
			StringcSrc="123456";
			//加密
			longlStart=System.currentTimeMillis();
			StringenString=encrypt(cSrc,cKey);
			System.out.println("加密后的字串是："+enString);
			longlUseTime=System.currentTimeMillis()-lStart;
			System.out.println("加密耗时："+lUseTime+"毫秒");
			//解密
			lStart=System.currentTimeMillis();
			StringDeString=decrypt(enString,cKey);
			System.out.println("解密后的字串是："+DeString);
			lUseTime=System.currentTimeMillis()-lStart;
			System.out.println("解密耗时："+lUseTime+"毫秒");
		}
}

⑸ 密码和秘钥意思完全一样吗

从密码学角度来说，普通“密码”只是口令，如各种账户的登录“密码”，而真正意义上的密码是与明码相对，如在加密文件的时候，加密生成的文件本身才是真正意义上的密码，加密前的文件是明码，我们设置的“密码”会通过已知的算法转换为密钥，然后密钥可以简单理解为一种映射关系，能把明码转换成密码，也能把密码转换成明码，“密码”与密钥是函数中的自变量与因变量的关系，所以在这个场景内，“密码”与密钥在逻辑上，注意是逻辑上，是同一种东西。那么既然有了密码，密钥还有什么存在的意义？密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的数据，密钥分为两种：对称密钥与非对称密钥，对于普通的对称密码学，加密运算与解密运算使用同样的密钥。通常使用的加密算法比较简便高效，密钥简短，破译极其困难，由于系统的保密性主要取决于密钥的安全性，所以，在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题，正是由于对称密码学中双方都使用相同的密钥，因此无法实现数据签名和不可否认性等功能，使得密钥比密码更为安全。

⑹ OpenSSL详解

OpenSSL初接触的人恐怕最难的在于先理解各种概念

公钥/私钥/签名/验证签名/加密/解密/非对称加密

我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,网络有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

RSA/DSA/SHA/MD5

非对称加密的算法有很多,比较着名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

CA/PEM/DER/X509/PKCS

一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

== End http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html ==

为了方便理解，我画了一个图，如下：

使用 openssl 生成证书（含openssl详解）
一、openssl 简介
openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。
官网： https://www.openssl.org/source/

构成部分
密码算法库

密钥和证书封装管理功能

SSL通信API接口

用途
建立 RSA、DH、DSA key 参数

建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表)

计算消息摘要

使用各种 Cipher加密/解密

SSL/TLS 客户端以及服务器的测试

处理S/MIME 或者加密邮件

二、RSA密钥操作
默认情况下，openssl 输出格式为 PKCS#1-PEM

生成RSA私钥(无加密)

openssl genrsa -out rsa_private.key 2048

生成RSA公钥

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私钥(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 进行密码输入，否则会提示输入密码；
生成加密后的内容如：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,
Base64 Encoded
Data-----END RSA PRIVATE KEY-----

此时若生成公钥，需要提供密码

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 进行密码输入，否则会提示输入密码；

转换命令
私钥转非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私钥转加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私钥PEM转DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 参数制定输入输出格式，由der转pem格式同理

查看私钥明细

openssl rsa -in rsa_private.key -noout -text

使用-pubin参数可查看公钥明细

私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密码，输出的pkcs8格式密钥为加密形式，pkcs8默认采用des3 加密算法，内容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt参数可以输出无加密的pkcs8密钥，如下：

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

三、生成CA自签名证书和RSA私钥(测试场景步骤)
测试场景步骤1：生成 RSA 私钥和自签名证书：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt

注释：

操作步骤如下：提示填写过程中如果想删除填写的内容，用ctrl+Backspace删除前面的字符

[root@szxelab01-web-100 cert]# openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt
Generating a 2048 bit RSA private key
.............+++
........................+++
writing new private key to 'rsa_private.key'

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

[root@szxjdwins01-web-27 cert]# ll
total 8
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

openssl req -new -x509 -days 36500 -key rsa_private.key -out cert.crt

四、生成服务器签名请求文件及CA 签名颁发服务器证书（）
server.key建议不要加密码，如果加密码，重启nginx的时候每次都需要密码才可以启动nginx影响效率。
nginx配置只需要server.key和server.crt两个文件。

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
Generating RSA private key, 2048 bit long molus
............................+++
.......+++
e is 65537 (0x10001)

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -out server.key 2048
Generating RSA private key, 2048 bit long molus
.............................................+++
........................................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: 111111手动输入密码
Verifying - Enter pass phrase for server.key: 111111手动输入密码

[root@szxelab01-web-27 cert]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 不输入密码
An optional company name []: 不输入密码

此后输入密码、server证书信息完成，也可以命令行指定各类参数

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

*** 此时生成的 csr签名请求文件可提交至 CA进行签发 ***

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in server.csr

openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt

[root@szxelab01-web-27 cert]# openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt
Signature ok
subject=/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected]
Getting CA Private Key

其中 CAxxx 选项用于指定CA 参数输入

[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1766 Jun 22 14:54 server.key

此时对nginx任何操作，都需要提示输入server.key的密码才可以执行。
[root@szxelab01-web-27 nginx]# /application/nginx/sbin/nginx -t
Enter PEM pass phrase: 输入密码111111
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok

为例不输入密码，需要把加密server.key转换成不加密的server.key

[root@szxelab01-web-27 cert]# openssl rsa -in server.key -passin pass:111111 -out server.key
writing RSA key

此时nginx操作就不提示输入密码了：
[root@szxelab01-web-27 cert]# /application/nginx/sbin/nginx -t
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok
nginx: configuration file /application/nginx-1.12.2//conf/nginx.conf test is successful

证书位置：
[root@szxelab01-web-27 cert]# pwd
/application/nginx/cert
[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1679 Jun 22 15:19 server.key

至此测试场景私有证书配置完成
五、证书查看及转换
查看证书细节

openssl x509 -in cert.crt -noout -text

转换证书编码格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 证书(含私钥)

** 将 pem 证书和私钥转 pkcs#12 证书 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指导出pkcs#12 证书，-inkey 指定了私钥文件，-passin 为私钥(文件)密码(nodes为无加密)，-password 指定 p12文件的密码(导入导出)

** 将 pem 证书和私钥/CA 证书 合成pkcs#12 证书**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \ -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同时添加证书链，-CAfile 指定了CA证书，导出的p12文件将包含多个证书。(其他选项：-name可用于指定server证书别名；-caname用于指定ca证书别名)

** pcks#12 提取PEM文件(含私钥) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密码(导入导出)，-passout指输出私钥的加密密码(nodes为无加密)
导出的文件为pem格式，同时包含证书和私钥(pkcs#8)：

Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN= vihoo.com/[email protected]
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN= viroot.com/[email protected] CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/
1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

仅提取私钥

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

仅提取证书(所有证书)

openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

仅提取ca证书

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

仅提取server证书

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令参考

⑺ 软件密钥怎么转typec口

要改Type-C，直接买一个这个【TYPE-C母头测试板】，然后粘到外壳上。
要连线，其实主要辨识的就是两个电阻连接到D-和D加，我个人建议RST这个脚位也要接个微动按钮到GND上面以备不时之需。
在对称加密算法中，加密和解密使用的是同一把钥匙，即：使用相同的密匙对同一密码进行加密和解密。基于“对称密钥”的加密算法主要有DES、3DES（TripleDES）、AES、RC2、RC4、RC5和Blowfish等。DES算法全称为DataEncryptionStandard，即数据加密算法，它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥。Data也为8个字节64位，是要被加密或被解密的数据。Mode为DES的工作方式，有两种：加密或解密。

⑻ 密钥是什么 密钥简述

1、密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。

2、密码学中：密钥（secret key）——秘密的钥匙；私钥（private key）——私有的钥匙；公钥（public key）——公开的钥匙。钥（yào）匙，密钥就是秘密的钥匙的简称。密钥分为两种：对称密钥与非对称密钥。

3、对称密钥加密，又称私钥加密或会话密钥加密算法，即信息的发送方和接收方使用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。

4、非对称密钥加密系统，又称公钥密钥加密。它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。

⑼ HTTPS详解

近几年，互联网发生着翻天覆地的变化，尤其是我们一直习以为常的HTTP协议，在逐渐的被HTTPS协议所取代，在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下，互联网迎来了“HTTPS加密时代”，HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。

读完本文，希望你能明白：

HTTPS是在HTTP上建立SSL加密层，并对传输数据进行加密，是HTTP协议的安全版。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

HTTPS主要作用是：

（1）对数据进行加密，并建立一个信息安全通道，来保证传输过程中的数据安全;

（2）对网站服务器进行真实身份认证。

我们经常会在Web的登录页面和购物结算界面等使用HTTPS通信。使用HTTPS通信时，不再用 http://，而是改用 https://。另外，当浏览器访问HTTPS通信有效的Web网站时，浏览器的地址栏内会出现一个带锁的标记。对HTTPS的显示方式会因浏览器的不同而有所改变。

在HTTP协议中有可能存在信息窃取或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题，接下来，我们先来了解下

HTTP协议存在的哪些问题：

由于HTTP本身不具备加密的功能，所以也无法做到对通信整体（使用HTTP协议通信的请求和响应的内容）进行加密。即， HTTP报文使用明文（指未经过加密的报文）方式发送 。

HTTP明文协议的缺陷是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据，所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段，就可还原HTTP报文内容。

所谓完整性是指信息的准确度。若无法证明其完整性，通常也就意味着无法判断信息是否准确。由于HTTP协议无法证明通信的报文完整性，因此，在请求或响应送出之后直到对方接收之前的这段时间内，即使请求或响应的内容遭到篡改，也没有办法获悉。换句话说， 没有任何办法确认，发出的请求/响应和接收到的请求/响应是前后相同的 。

HTTP协议中的请求和响应不会对通信方进行确认 。在HTTP协议通信时，由于不存在确认通信方的处理步骤，任何人都可以发起请求。另外，服务器只要接收到请求，不管对方是谁都会返回一个响应（但也仅限于发送端的IP地址和端口号没有被Web服务器设定限制访问的前提下）

HTTP协议无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，用户无法察觉。

反观HTTPS协议，它比HTTP协议相比多了以下优势（下文会详细介绍）:

HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL和TLS协议代替而已。

通常，HTTP直接和TCP通信。当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信了。简言之， 所谓HTTPS，其实就是身披SSL协议这层外壳的HTTP 。

在采用SSL后，HTTP就拥有了HTTPS的加密、证书和完整性保护这些功能。也就是说 HTTP加上加密处理和认证以及完整性保护后即是HTTPS 。

HTTPS 协议的主要功能基本都依赖于 TLS/SSL 协议，TLS/SSL 的功能实现主要依赖于三类基本算法：散列函数 、对称加密和非对称加密， 其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性 。

方法1. 对称加密

这种方式加密和解密同用一个密钥。加密和解密都会用到密钥。 没有密钥就无法对密码解密，反过来说，任何人只要持有密钥就能解密了。

以对称加密方式加密时必须将密钥也发给对方。可究竟怎样才能安全地转交？在互联网上转发密钥时，如果通信被监听那么密钥就可会落人攻击者之手，同时也就失去了加密的意义。另外还得设法安全地保管接收到的密钥。

方法2. 非对称加密

公开密钥加密使用一对非对称的密钥。一把叫做私有密钥，另一把叫做公开密钥。顾名思义， 私有密钥不能让其他任何人知道，而公开密钥则可以随意发布，任何人都可以获得 。

使用公开密钥加密方式，发送密文的一方使用 对方的公开密钥进行加密处理 ，对方收到被加密的信息后，再使用自己的私有密钥进行解密。利用这种方式，不需要发送用来解密的私有密钥，也不必担心密钥被攻击者窃听而盗走。

这种方式有以下缺点：

方法3. 对称加密+非对称加密(HTTPS采用这种方式)

使用对称密钥的好处是解密的效率比较快，使用非对称密钥的好处是可以使得传输的内容不能被破解，因为就算你拦截到了数据，但是没有对应的私钥，也是不能破解内容的。就比如说你抢到了一个保险柜，但是没有保险柜的钥匙也不能打开保险柜。那我们就将对称加密与非对称加密结合起来,充分利用两者各自的优势， 在交换密钥环节使用非对称加密方式，之后的建立通信交换报文阶段则使用对称加密方式 。

具体做法是： 发送密文的一方使用对方的公钥进行加密处理“对称的密钥”，然后对方用自己的私钥解密拿到“对称的密钥”，这样可以确保交换的密钥是安全的前提下，使用对称加密方式进行通信。 所以，HTTPS采用对称加密和非对称加密两者并用的混合加密机制。

网络传输过程中需要经过很多中间节点，虽然数据无法被解密，但可能被篡改，那如何校验数据的完整性呢？----校验数字签名。

数字签名有两种功效：

数字签名如何生成:

将一段文本先用Hash函数生成消息摘要，然后用发送者的私钥加密生成数字签名，与原文文一起传送给接收者。接下来就是接收者校验数字签名的流程了。

校验数字签名流程：

接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与上一步得到的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

假设消息传递在Kobe，James两人之间发生。James将消息连同数字签名一起发送给Kobe，Kobe接收到消息后，通过校验数字签名，就可以验证接收到的消息就是James发送的。当然，这个过程的前提是Kobe知道James的公钥。问题的关键的是，和消息本身一样，公钥不能在不安全的网络中直接发送给Kobe,或者说拿到的公钥如何证明是James的。

此时就需要引入了 证书颁发机构 （Certificate Authority，简称CA），CA数量并不多，Kobe客户端内置了所有受信任CA的证书。CA对James的公钥（和其他信息）数字签名后生成证书。

数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。

我们来介绍一下数字证书认证机构的业务流程：

2.Server把事先配置好的公钥证书（public key certificate）返回给客户端。

3.Client验证公钥证书：比如是否在有效期内，证书的用途是不是匹配Client请求的站点，是不是在CRL吊销列表里面，它的上一级证书是否有效，这是一个递归的过程，直到验证到根证书（操作系统内置的Root证书或者Client内置的Root证书）。如果验证通过则继续，不通过则显示警告信息。

4.Client使用伪随机数生成器生成加密所使用的对称密钥，然后用证书的公钥加密这个对称密钥，发给Server。

5.Server使用自己的私钥（private key）解密这个消息，得到对称密钥。至此，Client和Server双方都持有了相同的对称密钥。

6.Server使用对称密钥加密“明文内容A”，发送给Client。

7.Client使用对称密钥解密响应的密文，得到“明文内容A”。

8.Client再次发起HTTPS的请求，使用对称密钥加密请求的“明文内容B”，然后Server使用对称密钥解密密文，得到“明文内容B”。

既然HTTPS那么安全可靠，那为何不所有的Web网站都使用HTTPS？

首先，很多人还是会觉得HTTPS实施有门槛，这个门槛在于需要权威CA颁发的SSL证书。从证书的选择、购买到部署，传统的模式下都会比较耗时耗力。

其次，HTTPS普遍认为性能消耗要大于HTTP，因为 与纯文本通信相比，加密通信会消耗更多的CPU及内存资源 。如果每次通信都加密，会消耗相当多的资源，平摊到一台计算机上时，能够处理的请求数量必定也会随之减少。但事实并非如此，用户可以通过性能优化、把证书部署在SLB或CDN，来解决此问题。举个实际的例子，“双十一”期间，全站HTTPS的淘宝、天猫依然保证了网站和移动端的访问、浏览、交易等操作的顺畅、平滑。通过测试发现，经过优化后的许多页面性能与HTTP持平甚至还有小幅提升，因此HTTPS经过优化之后其实并不慢。

除此之外， 想要节约购买证书的开销也是原因之一 。要进行HTTPS通信，证书是必不可少的。而使用的证书必须向认证机构（CA）购买。

最后是安全意识。相比国内，国外互联网行业的安全意识和技术应用相对成熟，HTTPS部署趋势是由社会、企业、政府共同去推动的。

转自： https://mp.weixin.qq.com/s/geepUXBRFXK6X8Xocp3YPw

⑽ 密钥是什么，什么是加密算法

1密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥.
2数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。 该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

每次发数据给对方的时候都会用自己的私钥加密，私钥和公钥是对应匹配的，公钥是公开大家知道的，私钥是自己的，相当于我们的签名别人盗版不了。对方收到数据之后用公钥解密就能得到数据。再用公钥和私钥设计具体的办法就能处理好让别人不能窥探数据 。