keytool - 密钥和证书管理工具
keytool - 密钥和证书管理工具
keytool - 密钥和证书管理工具
管理由私钥和认证相关公钥的X.509 证书链组成的密钥仓库(数据库)。还管理来自可信任实体的证书。
结构
keytool [ 命令]
说明
keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥(以证书形式)。
证书是来自一个实体(个人、公司等)的经数字签名的声明,它声明某些其它实体的公钥(及其它信息)具有某一的特定值(参见证书)。当数据被数字化签名后,校验签名即可检查数据的完整性和真实性。完整性的意思是数据没有被修改或损坏过,真实性的意思是数据的确是来自声称创建了该数据和对它进行了签名的实体。
keytool 将密钥和证书储存在一个所谓的密钥仓库中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。
jarsigner 工具利用密钥仓库中的信息来产生或校验Java 存档(JAR) 文件的数字签名(JAR 文件将类文件、图象、声音和/或其它数字化数据打包在一个文件中)。jarsigner 用JAR 文件所附带的证书(包含于JAR 文件的签名块文件中)来校验JAR 文件的数字签名,然后检查该证书的公钥是否“可信任”,即是否包括在指定的密钥仓库中。
请注意:keytool 和jarsigner 工具完全取代了JDK 1.1 中提供的javakey 工具。这些新工具所提供的功能比javakey 提供的多,包括能够用口令来保护密钥仓库和私钥,以及除了能够生成签名外还可以校验它们。新的密钥仓库体系结构取代了javakey 所创建和管理的身份数据库。可以利用- identitydb keytool 命令将信息从身份数据库导入密钥仓库。
密钥仓库项
在密钥仓库中有两种不同类型的项:
密钥项- 每项存放极为敏感的加密密钥信息,这种信息以一种受保护的格式储存以防止未授权的访问。通常,储存在这类项中的密钥是机密密钥,或是伴有用于认证相应公钥用的证书“链”的私钥。keytool 和jarsigner 工具只处理后一类型的项,即私钥及其关联的证书链。
可信任的证书项- 每项包含一个属于另一团体的公钥证书。它之所以叫做“可信任的证书”,是因为密钥仓库的拥有者相信证书中的公钥确实属于证书“主体”(拥有者)识别的身份。证书签发人通过对证书签名来保证这点。
密钥仓库使用的别名
对所有的密钥仓库项(密钥项和可信任的证书项)的访问都要通过唯一的别名来进行。别名不区分大小写,即别名Hugo 和hugo 指的是同一密钥仓库项。
当用-genkey 命令来生成密钥对(公钥和私钥)或用-import 命令来将证书或证书链加到可信任证书的清单中,以增加一个实体到密钥仓库中,必须指定了一个别名。后续keytool 命令必须使用这一相同的别名来引用该实体。
例如,假设您用别名duke 生成了新的公钥/私钥密钥对并将公钥用以下命令打包到自签名证书中(参见证书链):
keytool -genkey -alias duke -keypass dukekeypasswd
这指定了一个初始口令“dukekeypasswd”,接下来的命令都要使用该口令才能访问与别名duke 相关联的私钥。以后如果您想更改duke 的私钥口令,可用类似下述的命令:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
这将把口令从“dukekeypasswd”改为“newpass”。
请注意:实际上,除非是作为测试目的或是在安全的系统上,否则不应在命令行或脚本中指定口令。如果没有在命令行上指定所要求的口令选项,您将会得到要求输入口令的提示。当在口令提示符下键入口令时,口令将被即时显示出来(键入什么就显示什么),因此,要小心,不要当着任何人的面键入口令。
密钥仓库位置
每个keytool 命令都有一个-keystore 选项,用于指定keytool 管理的密钥仓库的永久密钥仓库文件名称及其位置。缺省情况下,密钥仓库储存在用户宿主目录(由系统属性的“user.home”决定)中名为.keystore 的文件中。在Solaris 系统中“user.home”缺省为用户的宿主目录。
密钥仓库的创建
当用-genkey、-import 或-identitydb 命令向某个尚不存在的密钥仓库添加数据时,就创建了一个密钥仓库。
具体地说,如果在-keystore 选项中指定了一个并不存在的密钥仓库,则该密钥仓库将被创建。
如果不指定-keystore 选项,则缺省密钥仓库将是宿主目录中名为.keystore 的文件。如果该文件并不存在,则它将被创建。
密钥仓库实现
java.security 包中提供的KeyStore 类为访问和修改密钥仓库中的信息提供了相当固定的接口。可以有多个不同的具体实现,其中每个实现都是对某个特定类型的密钥仓库的具体实现。
目前,有两个命令行工具(keytool 和jarsigner)以及一个名为Policy Tool 的基于GUI 的工具使用密钥仓库实现。由于密钥仓库是公用的,JDK 用户可利用它来编写其它的安全性应用程序。
Sun Microsystems 公司提供了一个内置的缺省实现。它利用名为“JKS”的专用密钥仓库类型(格式),将密钥仓库实现为一个文件。它用个人口令保护每个私钥,也用口令(可能为另一个口令)保护整个密钥仓库的完整性。
密钥仓库的实现基于提供者(provider)。更具体地说,由密钥仓库所提供的应用程序接口是借助于“服务提供者接口”(SPI) 来实现的。也就是说,在java.security 包中还有一个对应的抽象KeystoreSpi 类,它定义了“提供者”必须实现的服务提供者接口方法。(术语“提供者”指的是一个或一组包,这个或这组包提供了一部份可由Java 安全API 访问的服务子集的具体实现。因此,要提供某个密钥仓库实现,客户机必须实现一个“提供者”并实现KeystoreSpi 子类,如如何为Java 加密体系结构实现Provider 中所述。
通过使用KeyStore 类中提供的“getInstance”工厂方法,应用程序可从不同的提供者中挑选不同类型的密钥仓库实现。密钥仓库类型定义密钥仓库信息的存储和数据格式,以及用于保护密钥仓库中的私钥和密钥仓库自身完整性的算法。不同类型的密钥仓库实现是不兼容的。
keytool 使用基于文件的密钥仓库实现(它把在命令行中传递给它的密钥仓库位置当成文件名处理并将之转换为文件输入流,从该文件输入流中加载密钥仓库信息)。另一方面,jarsigner 和policytool 工具可从任何可用URL 指定的位置读取某个密钥仓库。
对于keytool 和jarsigner,可在命令行用-storetype 选项指定密钥仓库类型。对于Policy Tool,可通过“编辑”菜单中的“更改密钥仓库”命令来指定密钥仓库类型。
如果没有明确指定一个密钥仓库类型,这些工具将只是根据安全属性文件中指定的keystore.type 属性值来选择密钥仓库实现。安全属性文件名为java.security,它位于JDK 安全属性目录java.home/lib/security 中,其中java.home 为JDK 的安装目录。
每个工具都先获取keystore.type 的值,然后检查所有当前已安装的提供者直到找到一个实现所要求类型的密钥仓库的实现为止。然后就使用该提供者的密钥仓库实现。
KeyStore 类定义了一个名为getDefaultType 的静态方法,它可让应用程序或applet 检索keystore.type 属性的值。以下代码将创建缺省密钥仓库类型(此类型由keystore.type 属性所指定。)的一个实例:
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
缺省的密钥仓库类型是“jks”(这是由“SUN”提供者提供的密钥仓库实现的专用类型)。它在安全性属性文件中由下行进行指定:
keystore.type=jks
要让工具使用不同于缺省类型的密钥仓库实现,可更改此行,指定不同的密钥仓库类型。
例如,如果您有一个这样的提供者包,它给出一个名为“pkcs12”的密钥仓库类型的密钥仓库实现,则可将上面那行改为:
keystore.type=pkcs12
注意:密钥仓库类型的命名中大小写无关紧要。例如,“JKS”将被认为是与“jks”相同的。
支持的算法和密钥大小
keytool 允许用户指定任何注册了的加密服务提供者所提供的密钥对生成和签名算法。也就是说,各种命令中的keyalg 和sigalg 选项必须得到提供者的实现的支持。缺省的密钥对生成算法是“DSA”。签名算法是从所涉及私钥的算法推导来的:如果所涉及的私钥是“DSA”类型,则缺省的签名算法为“SHA1withDSA”,如果所涉及的私钥是“RSA”类型,则缺省的签名算法为“MD5withRSA”。
在生成DSA 密钥对时,密钥大小的范围必须在512 到1024 位之间,且必须是64 的倍数。缺省的密钥大小为1024 位。
证书
证书(也叫公钥证书)是来自某个实体(签发人)的经数字签名的声明,它声明另一实体(主体)的公钥(及其它信息)具有某一特定的值。
下面详细解释本句中使用的主要术语:
公钥
是与特定实体相关联的数字。所有需要与该实体进行信任交互的人都应知道该数字。公钥用于校验签名。
经数字签名
如果某些数据经数字签名,说明它们已与某一实体的“身份”存储在一起,而且证明该实体的签名知道这些数据。通过用该实体的私钥进行绘制,这些数据就是不可伪造的了。
身份
用于声明实体的一种手段。某些系统中,身份是公钥,而在另一些系统中则可以是Unix UID、电子邮件地址或X.509 特征名等等。
签名
所谓签名,就是用实体的(签名人,在证书中也称为签发人)私钥对某些数据进行计算。
私钥
是一些数字,每个数字都应仅被以该数字作为私钥的特定实体所知(即该数字应保密)。在所有公钥密码系统中,私钥和公钥均成对出现。在DSA 等具体的公钥密码系统中,一个私钥只对应一个公钥。私钥用于计算签名。
实体
实体是您在某种程度上对其加以信任的个人、组织、程序、计算机、企业、银行等。
通常,公钥密码系统需要访问用户的公钥。在大型联网环境中,并不能确保通信实体之间已经预先建立起关系,也无法确保受信任的储存库与所用的公钥都存在。于是人们发明了证书作为公钥分配问题的解决办法。现在,认证机构(CA) 可充当可信任的第三方。CA 是可信任的向其它实体签名(发放)证书的实体(例如企业)。由于CA 受法律协议约束,因此可认为它们只提供可靠有效的证书。公共认证机构数量很多,例如VeriSign、Thawte、Entrust 等等。您还可以使用诸如Netscape/Microsoft Certificate Servers 或Entrust CA 等产品来自己运营认证机构。
使用keytool 可以显示、导入和导出证书。还可以产生自签名证书。
keytool 目前处理X.509 证书。
X.509 证书
X.509 标准规定了证书可以包含什么信息,并说明了记录信息的方法(数据格式)。除了签名外,所有X.509 证书还包含以下数据:
版本
识别用于该证书的X.509 标准的版本,该版本影响证书中所能指定的信息。迄今为止,已定义的版本有三个。keytool 可导入和导出v1、v2 和v3 版的证书。它只能生成v1 版证书。
序列号
发放证书的实体有责任为证书指定序列号,以使其区别于该实体发放的其它证书。此信息用途很多。例如,如果某一证书被撤消,其序列号将放到证书撤消清单(CRL) 中。
签名算法标识符
用于标识CA 签名证书时所用的算法。
签发人名称
签名证书的实体的X.500 特征名。它通常为一个CA。使用该证书意味着信任签名该证书的实体。注意:有些情况下(例如根或顶层CA 证书),签发人会签名自己的证书。
有效期
每个证书均只能在一个有限的时间段内有效。该有效期以起始日期和时间及终止日期和时间表示,可以短至几秒或长至一世纪。所选有效期取决于许多因素,例如用于签名证书的私钥的使用频率及愿为证书支付的金钱等。它是在没有危及相关私钥的条件下,实体可以依赖公钥值的预计时间。
主体名
证书可以识别其公钥的实体名。此名称使用X.500 标准,因此在Internet中应是唯一的。它是实体的X.500 特征名(DN),例如,
CN=Java Duke, OU=Java Software Division, O=Sun Microsystems Inc, C=US
(这些指主体的通用名、组织单位、组织和国家。)
主体公钥信息
这是被命名实体的公钥,同时包括指定该密钥所属公钥密码系统的算法标识符及所有相关的密钥参数。
X.509 1 版1988 年发布,已得到广泛使用,是最常用的版本。
X.509 2 版引入了主体和签发人唯一标识符的概念,以解决主体和/或签发人名称在一段时间后可能重复使用的问题。大多数证书监视文档都极力建议不要重复使用主体或签发人名称,而且建议证书不要使用唯一标识符。版本2 证书尚未得到广泛使用。
X.509 3 版是最新的版本(1996 年)。它支持扩展的概念,因此任何人均可定义扩展并将其纳入证书中。现在常用的扩展包括:KeyUsage(仅限密钥用于特殊目的,例如“只签名”)和AlternativeNames(允许其它身份也与该公钥关联,例如DNS 名、电子邮件地址、IP 地址)。扩展可标记为“极重要”,以表示该扩展应被检查并执行或使用。例如,如果某一证书将KeyUsage 扩展标记为“极重要”,而且设置为“keyCertSign”,则在SSL 通讯期间该证书出现时将被拒绝,因为该证书扩展表示相关私钥应只用于签名证书,而不应该用于SSL。
证书中的所有数据均用两个名为ASN.1/DER 的相关标准进行编码。抽象语法注释 1 (Abstract Syntax Notation 1) 描述数据。确定性编码规则(Definite Encoding Rules) 描述储存和传输该数据的唯一方式。
X.500 特征名
X.500 特征名用于标识实体,例如X.509 证书的主体和签发人(签名人)域所命名的实体。keytool 支持以下的子组件:
commonName - 个人常用名,例如“Susan Jones”
organizationUnit - 小型组织(例如部门或分部)的名称,例如“Purchasing”
organizationName - 大型组织的名称,例如“ABCSystems, Inc.”
localityName - 地方(城市)名,例如“Palo Alto”
stateName - 州或省份名,例如“California”
country - 两个字母的国家代码,例如“CH”
当给出一个特征名字符串作为-dname 选项的值时,例如-genkey 或-selfcert 命令中的该选项,字符串必须为以下格式:
CN=cName, OU=orgUnit, O=org, L=city, S=state, C=countryCode
其中所有的斜体字代表实际值而上面的关键字是以下缩写:
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
以下是特征名字符串样本:
CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino, S=California, C=US
以下是使用这一字符串的样本命令:
keytool -genkey -dname "CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino,
S=California, C=US" -alias mark
大小写对关键字缩写无关紧要。例如,“CN”、“cn”和“Cn”都将被当作是一样的。
但顺序是有关系的;每个子组件必须按设计好的顺序出现。但是,不是所有子组件都必须有。可以只用一部分,例如:
CN=Steve Meier, OU=SunSoft, O=Sun, C=US
如果特征名字符串的值含有逗号,当在命令行指定该字符串时,逗号必须用“\”字符来进行转义,如下所示:
cn=peter schuster, o=Sun Microsystems\, Inc., o=sun, c=us
在命令行中指定特征名字符串是不必要的。如果某一命令需要指定特征名字符串,而在命令行中又未提供,则用户将得到每个子组件的提示。这种情况下,逗号不需要用“\”来转义。
Internet RFC 1421 证书编码标准
证书常用Internet RFC 1421 标准中定义的可打印的编码格式来存储,而不是用其二进制编码来存储。这种证书格式,也称“Base 64 编码”,便于通过电子邮件或其它机制将证书导出到别的应用程序中。
用-import 和-printcert 命令读入的证书可以是这种格式的编码或是二进制格式的编码。
缺省情况下,-export 命令将以二进制编码格式输出证书,但如果指定了-rfc 选项,则将以可打印的编码格式输出证书。
缺省情况下,-list 命令打印证书的MD5 指纹。而如果指定了-v 选项,将以可读格式打印证书,如果指定了-rfc 选项,将以可打印的编码格式输出证书。
在其可打印的编码格式中,已编码证书的起始行是:
-----BEGIN CERTIFICATE-----
结束行是:
-----END CERTIFICATE-----
证书链
keytool 可创建和管理密钥仓库的“密钥”项,每个密钥项都含有私钥和相关证书“链”。链中的第一个证书含有与私钥对应的公钥。
当第一次产生密钥时(参见-genkey 命令),链中只含有一个元素,即自签名证书。自签名证书是一个这样的证书:其签发人(签名人)与主体(证书所认证的公钥所属的实体)相同。当调用-genkey 命令来生成新的公钥/私钥对时,它同时也把公钥打包进自签名证书中。
之后,当证书签名请求(CSR) (参见-certreq 命令)被生成并送至认证机构(CA) 后,CA 的答复将被导入(参见-import),证书链将取代自签名证书。在链的底部是认证主体公钥的CA 所发放的证书(答复)。链中下一个证书是用于认证CA 公钥的证书。
在许多情况下,这是个自签名证书(即来自认证其自身公钥的CA 的证书)且是链中的最后一个证书。在其它情况下,CA 也许将返回证书链。这种情况下,链中底部的证书是相同的(由CA 签名的证书,对密钥项的公钥进行认证),但链中第二个证书是由不同的CA 所签名的,对您向其发送CSR 的CA 的公钥进行认证。然后,链中的下一个证书将是对第二个CA 的公钥进行认证的证书,以此类推,直至到达自签名的“根”证书为止。因此,链中的每个证书(从第一个以后)都对链中前一个证书的签名人的公钥进行认证。
许多CA 只返回所发放的证书,而不支持链,特别是当层次结构较简单时(无中介CA)。这种情况下,必须用储存在密钥仓库中的可信任的证书信息来建立证书链。
另一种答复格式(由PKCS#7 标准所定义)除了包含所签发的证书外,还支持证书链。两种答复格式都可由keytool 处理。
顶层(根)CA 证书是自签名的。但是,对根公钥的信任并非来自根证书本身(任何人都可用特征名来产生自签名证书!譬如说用VeriSign 根CA 的特征名), 而是来自报纸之类的其它来源。根CA 的公钥是广为人知的。它被储存在证书中的唯一原因是因为这是大多数工具所能理解的格式,因此这种情况下的证书只是作为一种传输根CA 的公钥用的“交通工具”。在将根CA 证书加到您的密钥仓库中之前,应该先对它进行查看(用-
printcert 选项)并将所显示的指纹与已知的指纹(从报纸、根CA 的网页等中获取)进行比较。
导入证书
要从一个文件中导入某个证书,可用-import 命令,如下所示:
keytool -import -alias joe -file jcertfile.cer
此样本命令导入文件jcertfile.cer 中的证书并将其存储在由别名joe 标识的密钥仓库项中。
导入证书的两个理由如下:
为将其添加到可信任的证书清单中,或
为导入因向CA 提交证书签名请求(参见-certreq 命令)而收到的来自该CA 的认证答复。
-alias 选项的值指明要进行何种类型的导入。如果数据库中存在别名,且该别名标识具有私钥的项,则将假定您要导入认证答复。keytool 将检查认证答复中的公钥是否与用别名储存的私钥相匹配,如果两者不同,则程序退出。如果别名标识另一种类型的密钥仓库项,则不导入该证书。如果该别名不存在,则它将被创建并与导入的证书关联。
有关导入可信任证书的警告
重要:将证书作为可信任的证书导入之前,请务必先仔细检查该证书!
先查看一下(用-printcert 命令,或用不带-noprompt 选项的-import 命令),确保所显示的证书指纹与所预计的相匹配。例如,假设某人给您送来或用电子邮件发来一个证书,您将它放在名为/tmp/cert 的文件中。在将它加到可信任证书的清单中之前,可通过执行- printcert 命令来查看它的指纹,如下所示:
keytool -printcert -file /tmp/cert
Owner: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
Issuer: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
Serial Number: 59092b34
Valid from: Thu Sep 25 18:01:13 PDT 1997 until: Wed Dec 24 17:01:13 PST 1997
Certificate Fingerprints:
MD5:11:81:AD:92:C8:E5:0E:A2:01:2E:D4:7A:D7:5F:07:6F
SHA1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE
然后给向您发送证书的人打电话或用其它方式联系,将您将您所看到的指纹与他们所提供的比较。只有两者相等才可保证证书在传送途中没有被其它人(例如,攻击者)的证书所更换。如果发生了这样的攻击,而您未检查证书即将其导入,您就会信任攻击者所签名的任何东西(例如,一个含有恶意类文件的JAR 文件)。
注意:并不要求在导入证书前执行-printcert 命令,因为在将证书添加到密钥仓库中可信任证书的清单中之前,-import 命令将会打印出该证书的信息,并提示您进行校验。这时,您可选择中止导入操作。但是注意,只有在调用不带-noprompt 选项的-import 命令时才能这样做。如果给出了-noprompt 选项,则不存在与用户的交互
导出证书
要将证书导出到文件中,请用-export 命令,如下所示:
keytool -export -alias jane -file janecertfile.cer
该样本命令将jane 的证书导出到文件janecertfile.cer 中。也就是说,如果jane 是某个密钥项的别名,该命令将导出该密钥仓库项中所含证书链底部的证书。这是认证jane 的公钥用的证书。
相反,如果jane 是某个可信任证书项的别名,则导出的是该可信任的证书。
显示证书
要打印某个密钥仓库项的内容,请用-list 命令,如下所示:
keytool -list -alias joe
如果未指定别名,如下所示:
keytool -list
则打印整个密钥仓库的内容。
要显示储存在文件中的证书的内容,请用-printcert 命令,如下所示:
keytool -printcert -file certfile.cer
这将打印储存在文件certfile.cer 中的有关证书的信息。
注意:此操作与密钥仓库无关,也就是说,不需要密钥仓库即可显示储存在文件中的证书。
生成自签名证书
自签名证书是一个这样的证书:其签发人(签名人)与主体(证书所认证的公钥所属的实体)相同。当调用-genkey 命令来生成新的公钥/私钥对时,它同时也把公钥打包进自签名证书中。
有时您也许希望生成新的自签名证书。例如,您也许想对不同身份(特征名)使用相同的密钥对。例如,假设您换了个部门。此时您可以:
复制原始的密钥项。请参见-keyclone。
用新特征名为该复制项生成新的自签名证书。参见下文。
为该复制项生成证书签名请求,并导入答复证书或证书链。参见-certreq 和-import 命令。
删除原始(现在已过时)项。参见-delete 命令。
要生成自签名证书,请用-selfcert 命令,如下所示:
keytool -selfcert -alias dukeNew -keypass b92kqmp
-dname "cn=Duke Smith, ou=Purchasing, o=BlueSoft, c=US"
所生成的证书作为指定别名(本例中为“dukeNew”)所标识的密钥仓库项中的单元素证书来存储,它将取代现有的证书链。
命令和选项注意事项
下面列出各种命令及其选项,并对它们进行描述。注意:
所有的命令和选项名之前都有减号(-) 。
每个命令的选项都可按任意顺序提供。
所有非斜体项或不在花括号和方括号内的项都不能改动。
选项周围的花括号通常表示如果在命令行中没有指定该选项,则使用缺省值。花括号还用在-v、-rfc 和-J 选项周围,这些选项只有在命令行中出现时才有意义(也就是说,它们没有任何缺省值,不然就是不存在该选项)。
选项周围的方括号表示如果在命令行中没有指定该选项,则用户将得到要求输入其值的提示。(对于-keypass 选项,如果在命令行中没有指定该选项,keytool 将先是尝试用密钥仓库口令来访问私钥,如果失败,再提示您输入私钥口令。)
斜体项(选项)代表必须提供实际值。例如,下面是-printcert 命令的格式:
keytool -printcert {-file cert_file} {-v}
当指定-printcert 命令时,请用实际文件名来替代cert_file,如下所示:
keytool -printcert -file VScert.cer
如果选项值含有空白(空格),必须用引号把它们括起来。
-help 命令是缺省命令。因此,命令行
keytool
等价于
keytool -help
选项缺省值
下面是各选项的缺省值。
-alias "mykey"
-keyalg "DSA"
-keysize 1024
-validity 90
-keystore 用户宿主目录中名为.keystore 的文件
-file 读时为标准输入,写时为标准输出
签名算法(-sigalg 选项)是由所涉及私钥的算法推导而来的:如果所涉及的私钥是“DSA”类型,则-sigalg 选项将缺省为“带DSA 的SHA1”,如果所涉及的私钥是“RSA”类型,则-sigalg 选项将缺省为“带RSA 的MD5”。
出现在大多数命令中的选项
-v 选项可出现在除-help 之外的所有命令中。如果出现该选项,表示处在“长格式”模式下;将输出详细的证书信息。
-Jjavaoption 选项也可在任何命令中出现。如果出现该选项,则所指定的javaoption 字符串将被直接传给Java 解释器。(keytool 实际上是解释器周围的一个“wrapper”。)该选项不应含有任何空格。它有助于调整执行环境或内存使用。要获得可用的解释器选项的清单,可在命令行键入java -h 或java -X。
有三个选项可出现在用于操作密钥仓库的所有命令中:
-storetype storetype
此限定符指定将被实例化的密钥仓库类型。缺省的密钥仓库类型是安全属性文件中“keystore.type”属性值所指定的那个类型,由java.security.KeyStore 中的静态方法getDefaultType 返回。
-keystore keystore
密钥仓库(数据库文件)的位置。缺省情况下,密钥仓库指的是用户宿主目录的 .keystore 文件,它是由“user.home”的系统属性确定的。在Solaris 系统中,“user.home”缺省为用户宿主目录。
-storepass storepass
口令,用来保护密钥仓库的完整性。
storepass 的长度必须至少为6 个字符。所有访问密钥仓库内容的命令都必须提供这一选项。对于这些命令,如果没有给出-storepass 选项,则用户将得到要求输入该选项的提示。
当从密钥仓库中检索信息时,口令属于可选项;如果未给出口令,就不能检查所检索信息的完整性,而且将出现警告。
使用口令时必须小心- 参见与口令有关的警告。
与口令有关的警告
大多数对密钥仓库操作的命令都要求仓库口令。一些命令要求私钥口令。
口令可以在命令行上(分别在-storepass 和-keypass 选项上)指定。但是,除非是作为测试目的或是在一个安全的系统上,否则不应在命令行或脚本中指定口令。
如果没有在命令行上指定所要求的口令选项,您将会得到要求输入口令的提示。当在口令提示符下键入口令时,口令将被即时地显示出来(键入什么就显示什么),因此,要小心,不要当着任何人的面键口令。
命令
另请参阅命令和选项注释。
向密钥仓库添加数据
-genkey {-alias alias} {-keyalg keyalg} {-keysize keysize} {-sigalg sigalg} [-dname dname] [-keypass keypass] {-validity valDays} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}
产生密钥对(公钥和与之关联的私钥)。将公钥打包进X.509 v1 的自签名证书中,该证书以单元素证书链的形式储存。该证书链和私钥将储存于alias 所标识的新密钥仓库项中。
keyalg 指定了用于生成密钥对的算法,而keysize 指定要生成的每个密钥的大小。sigalg 指定签名自签名证书所用的算法;这一算法必须与keyalg 兼容。参见支持的算法和密钥大小。
dname 指定与alias 关联的X.500 特征名,并用作自签名证书中的issuer 和subject 域。如果在命令行中没有提供特征名,用户将得到要求输入该信息的提示。
keypass 是口令,用来保护所生成密钥对中的私钥。如果没有提供口令,用户将得到要求输入口令的提示。如果在提示符下按RETURN 键,则密钥口令将被设置为与密钥仓库所用的口令相同。keypass 的长度必须至少为 6 个字符。使用口令时必须小心- 参见与口令有关的警告。
valDays 指定证书的有效期。
-import {-alias alias} {-file cert_file} [-keypass keypass] {-noprompt} {-trustcacerts} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}
从文件cert_file 中读取证书或证书链(后者在PKCS#7 格式的答复所给出)并将其储
存在alias 所标识的密钥仓库项中。如果没有给出文件,则从标准输入设备中读取证书或PKCS#7 答复。keytool 可导入X.509 v1、v2 和v3 的证书以及由该类证书所组成的PKCS#7 格式的证书链。要导入的数据必须是二进制编码格式或Internet RFC 1421 标准所定义的可打印的编码格式(也称Base64 编码)。在后一种情况下,编码必须用以“-----BEGIN”开头的字符串开始,用以“-----END”结尾的字符串来结束。
当导入新的可信任证书时,密钥仓库中还没有alias。在把证书添加到密钥仓库中之前,keytool 将尝试用密钥仓库中已有的可信任证书来构造从该证书到自签名证书(属于根CA)的信任链,以对证书进行校验。
如果指定了-trustcacerts 选项,则将为该信任链考虑其它证书,即考虑名为“cacerts”的文件中的证书,该文件位于JDK 安全属性目录java.home\lib\security 中,其中java.home 为JDK 安装目录。“cacerts”文件代表含有CA 证书的系统范围的密钥仓库。通过指定密钥仓库类型为“jks”,系统管理员可用keytool 来配置和管理该文件。“cacerts”密钥仓库文件发送时附有五个VeriSign 根CA 证书,其X.500 特征名如下:
1. OU=Class 1 Public Primary Certification Authority, O="VeriSign, Inc.",
C=US
2. OU=Class 2 Public Primary Certification Authority, O="VeriSign,
Inc.", C=US
3. OU=Class 3 Public Primary Certification Authority,
O="VeriSign, Inc.", C=US
4. OU=Class 4 Public Primary Certification
Authority, O="VeriSign, Inc.", C=US
5. OU=Secure Server Certification
Authority, O="RSA Data Security, Inc.", C=US
“cacerts”密钥仓库文件的初始口令为“changeit”。系统管理员在安装JDK 后,就应该立即更改这个口令以及该文件的缺省访问权限。
如果keytool 无法建立从要导入的证书到自签名证书的信任路径(利用密钥仓库或“cacerts”文件),则打印出该证书的信息,而用户将得到要求校验的提示,例如,系统将通知用户通过比较显示出的指纹和得自其它(可信任的)信息来源的指纹来进行校验,信息来源可能是证书拥有者本人。在将证书作为一个“可信任”证书导入之前,要十分小心,务
必保证该证书是有效的!-- 参见有关导入可信任证书的警告。然后,用户可以选择中止导入操作。但是,如果给了-noprompt 选项,则不会有与用户的交互。
当导入认证答复时,该认证答复将用密钥仓库中可信任的证书来确认,有时也使用在“cacerts”密钥仓库文件中配置的证书(如果指定了-trustcacerts 选项)。
如果答复是一个X.509 证书,keytool 将尝试建立信任链,以该认证答复为头,以属于根CA 的自签名证书为尾。该认证答复和用于认证该认证答复的证书层次形成了alias 的新证书链。
如果答复是PKCS#7 格式的证书链,则该链应首先被排序(用户证书在最前面,自签名的根CA 证书在最后面),然后keytool 尝试将答复中的根CA 证书与密钥仓库或“cacerts”密钥仓库文件(如果指定了-trustcacerts 选项)中的任何可信任证书进行匹配。如果找不到匹配,则打印出该根CA 证书的信息,而用户将得到要求校验它的提示,例如,系统将通知用户通过比较显示出的指纹和得自其它(可信任的)信息来源的指纹来进行校验,信息来源可能是证书拥有者本人。因此,用户可以选择中止导入操作。但是,如果给了-noprompt 选项,则不会有与用户的交互。
alias 的新证书链将取代与该项关联的旧证书链。只有提供了有效的keypass,即提供了用于保护该项的私钥的口令时,旧链才可被取代。如果没有提供口令,而且私钥口令与密钥仓库口令不同,用户将得到要求输入口令的提示。使用口令时必须小心-- 参见与口令有关的警告。
-selfcert {-alias alias} {-sigalg sigalg} {-dname dname} {-validity valDays} [-keypass keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}
利用密钥仓库信息(包括与alias 关联的私钥和公钥)产生X.509 v1 自签名证书。如果在命令行提供了dname,它将同时用作该证书的签发人和主体的X.500 特征名。否则,将使用与alias 关联的X.500 特征名(位于其现有证书链底部)。
所生成的证书作为alias 所标识的密钥仓库项中的单元素证书链来存储,它将取代现有的证书链。
sigalg 指定签名证书用的算法。参见支持的算法和密钥大小。
要访问私钥,必须提供正确的口令,因为私钥在密钥仓库中是受口令保护的。如果在命令行中没有提供keypass,且私钥口令与保护密钥仓库完整性所用的口令不同,则用户将得到要求输入该口令的提示。使用口令时必须小心-- 参见与口令有关的警告。
valDays 指定证书的有效期。
-identitydb {-file idb_file} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}
从idb_file 文件中读取JDK 1.1.x 格式的身份数据库,并将它的项加到密钥仓库中。如果没有给出文件名,则从标准输入设备中读取身份数据库。如果不存在密钥仓库,则创建它。
只有被标记为可信任的身份数据库项(“身份”)才能被导入密钥仓库中。所有其它身份都将被略去。对每个可信任的身份,将创建一个密钥仓库项。身份名用作该密钥仓库项的“别名”。
所有可信任身份的私钥都将在相同的口令storepass 下得到加密。该口令与保护密钥仓库完整性所用的口令相同。用户随后可用keytool 命令选项“-keypasswd”来对各私钥赋予单独的口令。
身份数据库中的一个身份可以存放多个证书,各证书所认证的都是同一公钥。但一个私钥的密钥仓库密钥项含有该私钥和单一的“证书链”(该链最初只有一个证书),链中的第一个证书含有与该私钥对应的公钥。当从身份导入信息时,只有该身份中的第一个证书被储存到密钥仓库中。这是因为身份数据库中的身份名被用作其相应密钥仓库项的别名,而别名在密钥仓库中是唯一的。
导出数据
-certreq {-alias alias} {-sigalg sigalg} {-file certreq_file} [-keypass keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}
生成PKCS#10 格式的证书签名请求(CSR)。
CSR 用来发送给认证机构(CA)。CA 对认证请求者进行认证(通常是离线的),并返回证书或证书链,以取代密钥仓库中现有的证书链(该证书链最初只含有自签名证书)。
私钥和与alias 关联的X.500 特征名用于创建PKCS#10 证书请求。要访问私钥,必须提供正确的口令,因为私钥在库中是受口令保护的。如果在命令行没有提供keypass,且私钥口令与保护密钥仓库完整性所用的口令不同,则用户将得到要求输入口令的提示。
使用口令时必须小心-- 参见与口令有关的警告。
sigalg 指定签名CSR 时用的算法。参见支持的算法和密钥大小。
CSR 存储在文件certreq_file 中。如果没有给出文件名,CSR 将被输出到标准输出设备中。
用import 命令来导入CA 所返回的答复。
-export {-alias alias} {-file cert_file} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-rfc} {-v} {-Jjavaoption}
从密钥仓库中读取与alias 关联的证书,并将其储存在文件cert_file 中。
如果没有给出文件名,证书将被输出到标准输出设备中。
缺省情况下,证书被输出为二进制编码格式,但如果指定了-rfc 选项,则将被输出为Internet RFC 1421 标准中定义的可打印格式。
如果alias 引用的是可信任证书,则该证书将被输出。否则,alias 引用的是含有相关证书链的密钥项。在这种情况下,链中的第一个证书将被返回。该证书对由alias 所指定的实体的公钥进行认证。
显示数据
-list {-alias alias} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v | -rfc} {-Jjavaoption}
打印(到标准输出设备中)alias 所标识的密钥仓库项的内容。如果没有指定别名,则将打印整个密钥仓库的内容。
缺省情况下,该命令打印证书的MD5 指纹。如果指定了-v 选项,证书将以可读格式打印,同时包含拥有者、签发人和序列号等附加信息。如果指定了??-rfc 选项,证书将以Internet RFC 1421 标准所定义的可打印的编码格式打印。
不能同时指定-v 和-rfc 两个选项。
-printcert {-file cert_file} {-v} {-Jjavaoption}
从文件cert_file 中读取证书将以可读格式打印其内容。如果没有给出文件名,则从标准输入设备中读取证书。
证书可以是用二进制编码或Internet RFC 1421 标准所定义的可打印编码格式。
注意:该选项的使用与密钥仓库无关。
管理密钥仓库
-keyclone {-alias alias} [-dest dest_alias] [-keypass keypass] [-new new_keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}
生成新的密钥仓库项,该项含有的私钥和证书链与原始项的相同。
原始项由alias (如果没有提供别名,则其值缺省为“mykey”)标识。新(目标)项由dest_alias 标识。如果没有在命令行中提供目标别名,用户将得到要求输入该信息的提示。
SSL证书验证过程解读及申请使用注意事项 SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,由受信任的数字证书颁发机构CA(如沃通CA)验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。 本文将对SSL证书的验证过程以及个人用户在访问HTTPS网站时,对SSL证书的使用需要注意哪些安全方面的问题进行描述。 一、数字证书的类型 实际上,我们使用的数字证书分很多种类型,SSL证书只是其中的一种。证书的格式是由X.509标准定义。SSL证书负责传输公钥,是一种PKI(Public Key Infrastructure,公钥基础结构)证书。 我们常见的数字证书根据用途不同大致有以下几种: 1、SSL证书:用于加密HTTP协议,也就是HTTPS。 2、代码签名证书:用于签名二进制文件,比如Windows内核驱动,Firefox插件,Java 代码签名等等。 3、客户端证书:用于加密邮件。 4、双因素证书,网银专业版使用的USB Key里面用的就是这种类型的证书。 这些证书都是由受认证的证书颁发机构CA(Certificate Authority)来颁发,针对企业与个人的不同,可申请的证书的类型也不同,价格也不同。CA机构颁发的证书都是受信任的证书,对于SSL证书来说,如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。 二、SSL证书申请与规则 SSL证书可以向CA机构通过付费的方式申请,也有CA机构提供免费SSL证书如沃通CA。 CA机构颁发的证书有效期一般只有一年到三年不等,过期之后还要再次申请,在ssl 证书应用中企业网站应用较多。但是随着个人网站的增多,以及免费SSL证书的推出,个人网站ssl证书应用数量也在飞速增加。在百度开放收录https网站后,预计https网站将迎来井喷。 在申请SSL证书时需要向CA机构提供网站域名,营业执照,以及申请人的身份信息等。网站的域名非常重要,申请人必须证明自己对域名有所有权。此外,一个证书一般只绑定一个域名,比如你要申请域名时绑定的域名是https://www.doczj.com/doc/9a11468411.html,,那么只有在浏览器地址是
3C认证及其与质量管理体系认证的区别关键词:3C认证,质量管理体系 导语:“3C”是“中国强制认证”首个英文字母组合的简称,是国家强制认证的一种,是对产品的认证。ISO9001、TS16949等质量管理体系认证的管理体制和“3C”认证的管理体制是一样的,但受权的认证机构很多。这些认证背后究竟有怎样的区别? 3C认证及其与质量管理体系认证的区别在人们的日常生活中,经常能看到一些强制认证的标志。随着生活水平的提高,大家对于涉及人类健康和安全的一些日常用品上的“认证”以及“质量管理体系认证”关注力也越来越大。今天,笔者就以经常接触到的3C认证及质量管理体系认证为例,详细讲述两者之间的区别。 “3C”是“中国强制认证”首个英文字母组合的简称,是国家强制认证的一种,是对产品的认证。由国家质量监督检验检疫总局(下称“国家质检总局”)领导、国家认证认可监督管理委员会(副部级,下称“认监委”,由国家质检总局管理)负责认证制度的管理和组织实施、受权的认证机构(如中国质量认证中心,即CQC,司局级,国家质检总局直属部门,受国家质检总局和认监委双重领导)负责认证的具体实施,通常每种产品受权的认证机构有2-3家。“3C”认证的前身是原国家质量技术监督局管理的“电工产品安全认证制度(长城认证)”和原国家进出口商品检验局管理
的“进口商品安全质量许可制度”,原国家质量技术监督局和原国家进出口商品检验局合并为国家质检总局后,国家质检总局2001年底推出“3C”认证。通过认证的企业必须在产品的规定部位加贴“3C”标识。 因为有些产品涉及到人类健康和安全,动植物生命和健康,以及环境保护和公共安全,所以,国家要对这些产品进行强制认证。 ISO9001、TS16949等质量管理体系认证的管理体制和“3C”认证的管理体制是一样的,但受权的认证机构很多。它是对工厂建立的质量管理体系(即管理方式)的认证,通过认证的工厂能说工厂的管理通过了质量管理体系认证,但不能说工厂的产品通过了质量管理体系认证。质量管理体系的认证是自愿性的,国家不强制执行。 “3C”认证最常用的模式是“型式试验+工厂质量保证能力检查+发证后监督”,“工厂质量保证能力检查”是通过检查工厂的质量管理体系来判断工厂是否具有生产和型式试验的产品保持一致的能力,即查体系的目的是看体系保证产品质量的能力,关注的是产品本身的质量是否能达到要求。而且其在监督检查的时候还重点关注产品的整体结构、关键元器件是否和型式试验时保持一致。 而ISO9001、TS16949等质量管理体系的认证方式是“工厂质量管理体系检查+发证后监督”,认证的目的是通过对工厂质量
二级建造师证书-建造师证书管理号 注册建造师管理规定 地址:上海市金山区兴塔镇工业园区曹黎路39 号电话:57360012 传真:http:// Email:dj@ 注册建造师管理规定 中华人民共和国建设部令第自xx 年3 月1 日起施行。部长汪光焘二○○六年十二月二十八日153 号《注册建造师管理规定》已于xx 年12 月11 日经建设部第112 次常务会议讨论通过,现予发布, 第一章 第一条定本规定。第二条第三条 总则 为了加强对注册建造师的管理,规
范注册建造师的执业行为,提高工程项目管理水平,保 证工程质量和安全,依据《建筑法》《行政许可法》《建设工程质量管理条例》等法律、行政法规,制、、中华人民共和国境内注册建造师的注册、执业、继续教育和监督管理,适用本规定。本规定所称注册建造师,是指通过考核认定或考试合格取得中华人民共和国建造师资格证 书,并按照本规定注册,取得中华人民共和国建造师注册证书和执业印章,担任施工单位项目负责人及从事相关活动的专业技术人员。未取得注册证书和执业印章的,不得担任大中型建设工程项目的施工单位项目负责人,不得以注册建造师的名义从事相关活动。第四条国务院建设主管部门对全国注册建造师的注册、执业活动实施统一监督管理;国务院铁路、交通、水利、信息产业、民航等有关部门按照国务院规定的职责分工,对全国有关专业工程注
册建造师的执业活动实施监督管理。县级以上地方人民政府建设主管部门对本行政区域内的注册建造师的注册、执业活动实施监督管理;县级以上地方人民政府交通、水利、通信等有关部门在各自职责范围内,对本行政区域内有关专业工程注册建造师的执业活动实施监督管理。 第二章 第五条第六条 注册 注册建造师实行注册执业管理制度,注册建造师分为一级注册建造师和二级注册建造师。申请初始注册时应当具备以下条件: 取得资格证书的人员,经过注册方能以注册建造师的名义执业。经考核认定或考试合格取得资格证书;受聘于一个相关单位;达到继续教育要求;没有本规定第十五条所列情形。 1 地址:上海市金山区兴塔镇工业园
如何通过SSL证书开启服务器443端口 前阵子遇到个问题,因为我们的网站是外贸网站,需要通过Paypal付款,但是,客户通过PP付款之后居然不能生成订单号,后来发现服务器的443端口是关闭状态,好了,问题来了:如何开启服务器的443端口呢? 深圳国际快递https://www.doczj.com/doc/9a11468411.html,在这里分享一下开启443端口的经验: 第一:当然是配置硬件,把防火墙令443端口放行!具体办法朋友可以去百度一下哈,其实落伍里面也有! 第二,创建SSL证书,我个人觉得这个比较重要,下面把具体的方法分享给一下。 #LoadModule ssl_module modules/mod_ssl.so 的#去掉,开启SSL功能。 然后我们要新建一个SSL虚拟目录,监听443端口 一般情况下我使用centos的虚拟列表都会放到/etc/httpd/conf.d/目录下 依旧是在这个目录下新建一个ssl.conf,并且在你的网站列表新建一个ssl文件夹,我的习惯是/var/www/vhosts/ssl 将你的server.crt和ca-server.crt文件以及你原来生成的server.key文件一起上传到ssl文件夹内。 进入/etc/httpd/conf.d/ 输入 vi ssl.conf 使用vi编辑器编辑ssl.conf内容如下
密钥管理系统的新进展 随着社会的信息化进程加速发展,尤其是计算机技术和网络技术的发展,使得人们越来越多地意识到信息安全在生产和生活中的重要性和紧迫性。基于密码学的信息安全解决方案是解决信息保密的可靠方式。加密技术广泛地运用于工作和生活之中,承担对军事、商业机密和个人隐私的保护任务。 保密信息的安全性取决于对密钥的保护,而不是对算法或硬件本身的保护。加密算法决定了密钥管理的机制,不同的密码系统,其密钥管理方法也不相同,如签名密钥对的管理和加密密钥对的管理。在网络环境中,密钥管理的所有工作都是围绕着一个宗旨:确保使用的密钥是安全的。设计安全的密码算法和协议并不容易,而密钥管理则更困难,因此,网络系统中的密钥管理就成为核心问题。 本文将从介绍密钥管理技术,并用单独的篇幅介绍密钥备份和密钥更新技术,同时研究其在一些领域内的进展。 1.密钥管理 1.1.目的及目标 密钥管理是指与保护、存储、备份和组织加密密钥有关的任务的管理。高端数据丢失和遵规要求刺激了企业使用加密技术的大幅度上升。问题是单个企业可以使用几十个不同的,可能不兼容的加密工具,结果就导致有成千上万个密钥——每一个都必须妥善的保存和保护。 密钥管理是数据加密技术中的重要一环,密钥管理的目的是确保密钥的安全性(真实性和有效性)。一个好的密钥管理系统应该做到: 1、密钥难以被窃取; 2、在一定条件下窃取了密钥也没有用,密钥有使用范围和时间的限制; 3、密钥的分配和更换过程对用户透明,用户不一定要亲自掌管密钥。 1.2.机构及其动作过程 1、对称密钥管理。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。 2、公开密钥管理/数字证书。贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509,对数字证书进行了定义该标准等
交通运输行业密钥管理与安全认证系统 一、项目介绍: 1、工程背景 随着现代科学技术的发展和信息社会的到来,信息已经逐渐成为比物质或能源更重要 的资源,而各类信息系统作为信息产生、存储、传输和应用的载体,在信息社会中占据了越 来越重要的地位。然而在当前日益复杂的应用系统中,各类信息资源面临的安全形势也越来越严峻,因此这些信息的安全保障也变得越来越重要。 信息安全保障的重要性逐步凸显的同时,也推动了信息安全技术的发展,基于对称密 钥算法和非对称密钥算法的IC卡技术和数字证书技术在各类信息系统中得到了越来越广泛的应用。信息安全的内涵也在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。 目前在交通运输行业中,各类信息系统的推广与应用,对行业的信息化建设起到了举 足轻重的作用。但由于之前各系统的建设和运行都相互独立,缺乏统一的身份认证、权限控制和行为监管手段,同时在信息交换过程中也缺乏有效的技术手段来实现数据传输的可靠性、保密性、防篡改性和不可否认性等。而实现上述需求则必须从全行业的角度进行统一规划,制定统一的信息安全应用业务流程和管理规范,构建统一的密钥管理与安全认证体系。 交通运输部于2007年依托“十一五”国家科技支撑计划课题建设了“联网电子收费密钥 管理与安全认证服务系统”,首先应用在跨区域联网电子不停车收费系统之中,实现了非现 金安全支付和网络数据交换的互认互信功能。以此系统为基础,交通运输部又先后完成了道路运输电子证件密钥管理系统和城市交通IC卡密钥管理系统的建设和试点发行工作。 以上成功的应用,为建设行业密钥管理和安全认证系统提供了经验。2009年年底,为满足行业信息化发展需求,依托交通运输部基本建设项目,面向整个交通运输行业的密钥管理与安全认证系统开始建设。
质量管理体系认证完全指南 质量管理体系认证 百科名片 质量管理体系认证-简称"ISO9001"。ISO9001:2008标准是根据世界上170个国家大约100万个通过IS O9001认证的组织的8年实践,更清晰、明确地表达ISO9001:2000的要求,并增强与ISO14001:2004的兼容性。 目录[隐藏] 简介 特点 优点 内涵 策划设计 文件编制 试运行 审核评审 简介 特点
优点 内涵 策划设计 1. 教育培训,统一认识 2. 组织落实,拟定计划 3. 确定质量方针,制定质量目标 4. 现状调查和分析 5. 调整组织结构,配备资源 文件编制 试运行 审核评审 [编辑本段] 简介 目前,2008 版ISO9001《质量管理体系认证要求》国际标准计划于2008 质量管理体系认证证书 年底发布GB/T 19001-2008《质量管理体系认证要求》。ISO9001:2008标准发布1年后,所有经认可的认证机构所发放的认证证书均为ISO9001:2008认证证书;为贯彻实施ISO9001:2008标准的需要,帮助企业进行国际标准转换工作特举办此次管理体系内审员培训班。内审员全称叫内部质量体系审核员,通常由既精通ISO9001:2008国际标准又熟悉本企业管理状况的人员担任。按照IS O9001:2008新标准的要求,凡是推行ISO9001:2008新标准的组织每年至少需进行一次内部质量审核,所以,凡是推行ISO9001:2008的组织,通常都需要培养一批内审员。内审员可以由各部门人员兼职担任,因此内审员在一个组织内对质量体系的正常运行和改进起着重要的作用。 [编辑本段] 特点 (一)它代表现代企业或政府机构思考如何真正发挥质量的作用和如何最优地作出质量决策的一种观点。 (二)它是深入细致的质量文件的基础。
关于建设部注册证书挂靠问题汇总大全 1、初始注册需要个人提供的证件? a.身份证 b.学历证 c.执业资格证 d.报考单位的解聘证明 2、转注册需要个人提供的证件? a.身份证 b.学历证 c.执业资格证 d.执业印章 e.与原单位的解聘证明 3、注册时提供的证件是否必须是原件? 大多数情况下都是需要提供证书原件的 4、初始注册大概需要多长时间? 初始注册大概需要3个月的时间,公路专业需要的时间更长一些,因为这个证书不仅建设部要审,交通部也要审,耗得时间长一些 5、转注册大概需要多长时间? 转注册大概有20天左右就能办下来,比较快 6、报考时考试年限不够,证书无法注册,X年后年限够了,证书还能否注册? 这种情况一般是注册不了的,因为建设部审核的时候看的是你报考时的信息状态,也就说你报考的时候年限不够那就无法注册了。 7、工作经验能否累加? 例如某人中专毕业就开始工作了,两年后又考了大专,然后工作了4年就报考了一级建造师,那他前后的工作经验是可以累加的,可以加上中专毕业后的两年工作经验,这样中专毕业,有六年的工作经验,是可以注册上的,只要个人提供以前的劳动合同就成,越全越好。 8、初始注册是否可以由朋友代办? 一般初始注册个人是没有手续的,只要把相关证件提供给企业就成了,剩下的就是企业去上报审批了。 目前只有浙江省有特殊规定,注册的时候要求建造师本人必须到场。 9、转注册是否可以由朋友代办? 转注册的时候需要个人去原单位办理一下转出手续,开出解聘证明并要求企业调出个人信息;如果在注册地有朋友,可由朋友代办。 目前只有浙江省有特殊规定,转注册的时候也要求建造师本人必须到场。
Linux下利用openssl 生成SSL证书步骤 1、概念 首先要有一个CA根证书,然后用CA根证书来签发用户证书。 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。 2、后缀详解 .key格式:私有的密钥 .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request 的缩写 .crt格式:证书文件,certificate的缩写 .crl格式:证书吊销列表,Certificate Revocation List的缩写 .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式 3、添加 index.txt 和 serial 文件 cd /etc/pki/CA/ touch /etc/pki/CA/index.txt touch /etc/pki/CA/serial echo 01 > /etc/pki/CA/serial 4、CA根证书的生成 4.1 生成CA私钥(.key) openssl genrsa -out ca.key 2048 [root@CA]# openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............+++ .....+++ e is 65537 (0x10001) 4.2 生成CA证书请求(.csr) openssl req -new -key ca.key -out ca.csr [root@CA]# openssl req -new -key ca.key -out ca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
质量管理体系认证证书 合理的组织结构和提供适宜的资源负责;管理者代表和质量职能部门对形成文件的程序的制定和实施、过程的建立和运行负直接责任。 质量管理体系应具有惟一性 质量管理体系的设计和建立,应结合组织的质量目标、产品类别、过程特点和实践经验。因此,不同组织的质量管理体系有不同的特点。 质量管理体系应具有系统性 质量管理体系是相互关联和作用的组合体,包括 质量管理体系认证证书 :①组织结构——合理的组织机构和明确的职责、权限及其协调的关系;②程序——规定到位的形成文件的程序和作业指导书,是过程运行和进行活动的依据;③过程——质量管理体系的有效实施,是通过其所需请过程的有效运行来实现的;④资源——必需、充分且适宜的资源包括人员、资金、设施、设备、料件、能源、技术和方法。 质量管理体系应具有全面有效性 质量管理体系的运行应是全面有效的,既能满足组织内部质量管理的要求,又能满足组织与顾客的合同要求,还能满足第二方认定、第三方认证和注册的要求。 质量管理体系应具有预防性 质量管理体系应能采用适当的预防措施,有一定的防止重要质量问题发生的能力。 质量管理体系应具有动态性 最高管理者定期批准进行内部质量管理体系审核,定期进行管理评审,以改进质量管理体系;还要支持质量职能部门(含车间)采用纠正措施和预防措施改进过程,从而完善体系。质量管理体系应持续受控 质量管理体系所需求过程及其活动应持续受控。 质量管理体系应最佳化,组织应综合考虑利益、成本和风险,通过质量管理体系持续有效运行使其最佳化。 质量管理体系的特点 (一)它代表现代企业或政府机构思考如何真正发挥质量的作用和如何最优地作出质量决策的一种观点; (二)它是深入细致的质量文件的基础; (三)质量体系是使公司内更为广泛的质量活动能够得以切实
1.确定配置好java的环境变量 2.生成密钥库 新建一个密钥临时目录/home/genkey,并cd到/home/genkey 参数alias的为密钥标识第2、3、4步的命令中的alias必须完全一致 输入以下命令: keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 3650 -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 按照提示输入信息,第一个名字与姓氏必须为localhost,其他可以随意填写。 执行成功后/home/genkey下生成了一个server.keystore文件。 Tomcat: 3.导出证书 keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass changeit 执行成功后/home/genkey下生成了一个server.cer文件。
4.导入到java信任库中 keytool -import -trustcacerts -alias tomcat -file server.cer -keystore /opt/Java/jdk1.6.0_35/jre/lib/security/cacerts -storepass changeit /opt/Java/jdk1.6.0_35修改为服务器java安装目录再执行 5.修改tomcat配置 打开tomcat目录下conf/server.xml,修改keystoreFile及keystorePass
管理体系认证合同-服务合同 甲方(申请认证组织):________ 地址及邮政编码:______________ 联系人:______________________ 电话:________________________ 传真:________________________ 乙方(审核方):______认证中心 地址及邮政编码:______________ 联系人:______________________ 电话:________________________ 传真:________________________ e-mail:______________________ 网址:________________________ 就有关认证事宜,经甲乙双方协商一致,在甲方向乙方提交’管理体系认证申请表’,并经乙方合同评审后,签订合同如下: 一、审核依据及范围 1.审核依据: □gb/t 19001-XX idt iso 9001:XX □gb/t 24001-XX idt iso 14001:XX □gb/t 28001-XX □haccp-ec-01/□iso2XX:XX
□gb/t19220-XX/□gb/t19221-XX □其他 2.审核范围: 体系所覆盖的产品/服务/经营范围:_______________________________________________________ (以审核组长在审核现场确认的产品/服务/经营范围为准); 生产/服务地点(现场审核地点):________________________________________________________ 二、甲方责任及义务 1.遵守国家法律法规有关认证工作的规定; 2.正式审核前一个月向乙方提交本单位有效版本的质量手册和程序文件,同时提交《现场审核申请表》; 3.认证期间为审核人员提供各种必要的(如:初访或第一阶段审核、初审、现场验证及监督审核)交通食宿费和办公条件; 4.在获准认证的范围内说明获证资格,在宣传认证结果时,不得损害本中心声誉,不得作出使本中心认为误导或未授权的声明; 5.对获证范围的管理体系运行的有效性和出现违反法规的相应事故负全责; 6.按国家有关认证的规定接受监督审核,并按时交纳相关费用; 7.获证后严格遵守中心有关认证证书和标识(牌)使用的规定,若暂停、撤销或注销认证证书,应立即停止涉及认证内容的广告及相关宣传活动。 三、乙方责任及义务
注册证书管理办法 第一章总则 第一条为加强人才队伍建设,规范公司员工注册职业资格、中高级职称、现场管理岗位证书等管理,维持我司资质管理,发展工程业务开展的工作需要,根据国家《建筑业企业资质管理规定》、《建筑业企业资质等级标准》、《注册建造师管理规定》及有关法律法规,特制定本办法。 第二条本办法适用于获得注册职业资格、中高级职称、岗位证书等执业证的员工,以及符合取得相关执业资格的员工。 第三条公司对全部执业资格证书实行统一管理,具体工作由综合部负责。 第二章考试与注册管理 第四条考试报名、购书、培训费用员工先自行支付,通过者公司予以报销,报销费认定为企业提供的培训,员工需与企业签订《培训协议》,约定服务期,服务期内自行离职,按劳动法规定需向企业偿还培训费用。 第五条本公司取得执业资格证书的人员,必须在本公司注册。 第三章证书、执业印章保管与使用 第六条公司在职员工取得一二级注册建造师、中高级职称工程师、安全员等执业证统一由公司综合部负责保管。 执业印章在注册建造师担任项目经理后交本人保管,以便于工程项目管理活动中施工管理用印,工程项目竣工后应及时归还公司综合部统一保管。
第七条各项目因投标、办理注册、履约检查等原因需使用注册建造师证书和执业印章时,一律到公司办理借用手续,公司综合部对一二级注册建造师、中高级职称工程师、安全员等执业证使用情况进行详细登记,领取人必须履行有关使用手续。 第八条借用项目必须妥善保管所借注册证书和执业印章,不得遗失、复制、涂改、出租、出卖、转借他人和转交注册建造师本人。证书和执业印章使用完毕后,要按期归还公司综合部,并办理使用注销手续。 第九条一二级注册建造师、中高级职称工程师、安全员等执业证调出公司,必须经公司主管领导批准后方可领取证书和执业印章。 第四章奖励与处罚 第十条通过一级建造师执业资格考试并在公司注册者,第一专业公司一次性奖励现金元,第二专业以上每专业元。通过二级建造师执业资格考试者,公司一次性奖励现金元。通过中级职称工程师证书并在公司注册者,公司一次性奖励现金元。通过高级职称工程师证书并在公司注册者,公司一次性奖励现金元。通过安全员证书并在公司注册者,公司一次性奖励现金元。通过其他工程执业证书并在公司注册者,公司一次性奖励现金元。 第十一条公司员工一级注册建造师、高级职称工程师证书和执业印章在公司保管期间,每月给予元的注册津贴;公司员工二级注册建造师、中级职称工程师证书和执业印章在公司保管期间,每月给予元的注册津贴;公司员工其他工程类证书和执业印章在公司保管期间,每月给予元的注册津贴,随员工工资发放。
天威诚信SSL证书工具使用说明 天威诚信SSL证书工具专业版,集CSR生成、CSR校验、证书格式转换和证书配置检测于一体,在客户端上即可完成CSR 在线自动生成并能快速校验CSR信息,实现不同证书间的格式互转,快速有效的检测出证书的安装状态,操作简单,易于上手,是SSL证书安装使用过程中不可或缺的得力干将。 一,CSR生成 按照工具提示的信息填写您申请证书的真实信息,点击生成CSR文件。下图为填写示例:
*注:目前主流密钥算法为RSA,长度为2048位,签名算法为SHA256。 通过点击保存私钥文件和CSR文件,保存文件到本地。私钥文件您需要在本地备份并妥善保管,CSR申请文件需要提交给商务人员。 二,CSR校验 字符串校验:您可以打开制作的CSR文件,并把字符串复制到空白框中并点击“验证CSR 文件”。
文件校验:通过添加本地CSR文件并进行验证。 二,证书格式转换 1,PEM转JKS 1,首先准备好server.pem证书文件和server.key私钥文件。 2,将证书签发邮件中的包含服务器证书代码的文本复制出来(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中。在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行不留空行),修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 3,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(如果您的.key 私钥文件没有设置密码,源私钥密码处可以为空) 4,在“目标证书别名”选择中这是JKS文件密钥别名,并在“目标证书密码”中设置JKS 文件密码。
制作和使用SSL证书 在Linux环境下,一般都安装有OPENSSL。下面的内容就是用OPENSSL快速制作root 证书以及客户端证书的步骤和方法。 1、初始准备工作 1)创建一个我们制作证书的工作目录 # mkdir CA # cd CA # mkdir newcerts private 2)制作一个我们创建证书时需要的配置文件,内容可以参考见 # cd CA # vi 3)创建我们自己的证书库的索引 # echo '01' >serial # touch 2、制作一个root证书 执行下面的命令 # openssl req -new -x509 -extensions v3_ca -keyout private/ \ -out -days 3650 -config ./ 在屏幕上会出现如下的交互内容,按照提示相应的信息。注意,一定要记住PEM,这个在以后生成客户端证书时都需要。 Using configuration from ./ Generating a 1024 bit RSA private key .......++++++ ..........................++++++ writing new private key to 'private/' Enter PEM pass phrase:demo Verifying password - Enter PEM pass phrase:demo ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
iso质量管理体系认证详解 文章来源:文章作者:发布时间:2006-06-16 字体: [大中小] A 质量认证的主要类型 ISO出版的《认证的原则与实践》一书,将国际上通用的认证型式归纳为以下八种: 第一种:型式试验。按照规定的试验方法对产品样品进行试验,来检验样品是否符合标准或技术规范。这种认证只发证书,不允许使用合格标志,只能证明现在的产品符合标准,不能保证今后的产品符 合标准。 第二种:型式检验加认证后监督——市场抽样检验。这是一种带监督措施的型式检验。监督的办法 是从市场上购买样品或从批发商、零售商的仓库中抽样进行检验,以证明认证产品的质量持续符合标准 或技术规范的要求。 第三种:型式检验加认证后监督——工厂抽样检验。与第二种认证型式的区别在于,以工厂样品随 机检验或成品库抽样检验代替市场样品的核查试验。 第四种:型式检验加认证后监督——市场和工厂抽样检验。这种认证制是第二、三两种认证制的综合。从产品样品核查试验来看,样品来自市场和工厂两个方面,因而要求更加严格。 第五种:型式检验加工厂质量体系评定加认证后监督--质量体系复查加工厂和市场抽样检验。这一 型式的认证,既对产品作型式试验,又对与产品有关的供方质量体系进行评定。评定内容包括供方的质 量体系对其生产设备、材料采购、检验方法等能否进行恰当的控制,能否使产品始终符合技术规范。第 五种型式试验的认证通过后,可证实申请使用认证标志的供方,确能控制其生产活动,确能在标上合格 标志前明确鉴别出不合格产品,将它们从合格产品中分离出来并加以纠正。 第六种:评定供方的质量体系。这一认证型式已逐渐被国际上所接受。ISO导则48 《供方质量体 系的第三方评定和注册导则》规定,对供方质量体系作评定的依据是ISO9000标准系列,但对供方质量 体系的评定不能代替对产品的认证,因此通过质量体系评定的企业的产品不能使用合格标志,认证机构 只给予与该产品有关的供方质量体系注册登记,发给注册号和注册证书,表明该体系是根据ISO9000标 准系列中某一个质量保证模式作过评定,取得注册的权力。 第七种:批量试验。这是依据统计抽样试验的方法对某批产品进行抽样试验的认证。其目的在于帮
筑工程有限责任公司文件 桂建集团**字…2017?106号 集团**筑工程有限责任公司 证件管理办法(2017版) 第一章总则 第一条为规范公司证件管理,提高证件使用效率,调动职工取证的积极性,为公司生产经营发展提供证件支持,结合公司实际情况,制定本办法。 第二条本办法适用于注册在本公司,且能服从本公司调配的各类证件,包括执业证、资格证、注册证、职称证、岗位证、安全生产考核合格证、安全继续教育证、诚信卡等。 第二章证件管理规定 第三条公司实行职工证件统分相结合的管理制度,即公司劳资管理处统一管理一级建造师证及其配套证件,分公
司自行管理本单位的其他证件(一级建造师证及其配套证件除外,下同)。公司职工有义务为公司考取各类证件。 第四条公司劳资管理处和分公司及时更新完善人力资源管理系统中各自负责的持证总名册信息,做好相应证件的报考、注册、变更、培训、年审等相关工作。若需使用企业锁办理的证件业务,则由公司劳资管理处统一办理(分公司不及时更新完善持证总名册信息的证件不纳入统一办理的范围)。 第五条针对持证总名册中即将到期的证件,由公司劳资管理处牵头、分公司组织相关持证人员及时参加继续教育培训,并做好证件年审工作,以确保证件的有效性。因持证人员或用证单位原因导致证件失效的,由持证人员或用证单位承担全部责任。 第六条在合同聘用期间,未经公司许可私自将证件原件(证件信息)挂至外单位或在签订合同后三个月内未将证件所属单位变更到公司,在公司下发通知书的7天内,仍未将证件信息从外单位网上系统删除或未将变更材料交至公司的,公司不负责其证件的培训、年审等工作,取消或收回个人证件奖励、持证津贴、项目津贴,处以2000元罚款,并解除劳动合同。 第三章证件管理流程 第七条公司劳资管理处统一调配一级建造师证;分公司自行使用本单位的其他证件,若需使用本单位之外的其他证件,则由分公司之间自行调配。
密钥管理及安全服务系统 产品白皮书 2017-10
目录 目录 1 概述 (1) 1.1 产品简介 (1) 1.2 产品应用 (2) 1.3 系统结构 (3) 2 产品功能 (4) 2.1 统一密钥管理 (4) 2.2 统一应用安全接口 (4) 2.3 密码设备分组及负载均衡 (5) 2.4 远程主密钥分发功能 (5) 2.5 多算法、多厂家密码机支持 (6) 2.6 分级管理,职权分离 (6) 2.7 模块化设计,支持热升级 (6) 3 高可用性设计 (7) 3.1 集群化部署 (7) 4 性能指标 (8) 4.1 性能指标 (8) 4.2 对称算法算法 (8) 4.3 非对称算法 (8) 5 软硬件配置方案 (9) 5.1 服务器配置 (9) 5.1.1 硬件配置 (9) 5.1.2 软件配置 (9) 5.1.3 客户端配置 (9) 5.1.4 硬件配置 (9) 5.1.5 软件配置 (10) 6 成功案例 (11)
1 概述 1.1 产品简介 密钥管理及安全服务系统是为银行各种业务系统提供交易过程中安全服务的核心系统,通过安全方案的设计和数据安全处理保障交易过程中数据的安全。密钥管理及安全服务系统管理各种型号的密码设备,支持同时为多个业务系统提供安全服务。支持密码设备的分组和复用,不同的业务系统可共享相同型号的密码设备,大大降低了银行在安全系统和密码设备上的投入成本。 密钥管理及安全服务系统管理业务系统安全方案中的所有密钥,提供密钥的生成、启用、更新、停用、销毁、作废、备份、恢复等功能。密钥管理及安全服务系统为业务安全方案中的所有密钥提供流程化的管理,重要的密钥操作都需要通过领导审批才能执行,保证密钥的安全。 业务系统通过密钥管理及安全服务系统提供的联机服务接口(API)获取实时的交易安全服务,例如PIN转换、MAC生成/验证、签名生成/验证、数据加/解密、密钥联机服务等,保证交易过程中的数据安全。相关密钥初始化完成后,业务系统就可以调用密钥管理及安全服务系统提供的API进行各种安全处理。 密钥管理及安全服务系统支持金融行业的多个标准和规范,支持多个主流密码机厂商(56所、30所、歌盟等)的密码机。系统通过配置化的方式实现安全方案的建设、业务系统的接入、密码设备的增加等,有较强的可扩展性,业务拓展非常方便。 系统具有完善的人员认证、操作授权、安全控制、运维监控及审计机制,关键算法运算和操作通过硬件密码设备来实现,具有极高的安全性和可靠性,完全符合金融行业对核心安全系统的要求。
密钥管理技术 一、摘要 密钥管理是处理密钥自产生到最终销毁的整个过程的的所有问题,包括系统的初始化,密钥的产生、存储、备份/装入、分配、保护、更新、控制、丢失、吊销和销毁等。其中分配和存储是最大的难题。密钥管理不仅影响系统的安全性,而且涉及到系统的可靠性、有效性和经济性。当然密钥管理也涉及到物理上、人事上、规程上和制度上的一些问题。 密钥管理包括: 1、产生与所要求安全级别相称的合适密钥; 2、根据访问控制的要求,对于每个密钥决定哪个实体应该接受密钥的拷贝; 3、用可靠办法使这些密钥对开放系统中的实体是可用的,即安全地将这些密钥分配给用户; 4、某些密钥管理功能将在网络应用实现环境之外执行,包括用可靠手段对密钥进行物理的分配。 二、关键字 密钥种类密钥的生成、存储、分配、更新和撤销密钥共享会议密钥分配密钥托管 三、正文 (一)密钥种类 1、在一个密码系统中,按照加密的内容不同,密钥可以分为一般数据加密密钥 (会话密钥)和密钥加密密钥。密钥加密密钥还可分为次主密钥和主密钥。 (1)、会话密钥, 两个通信终端用户在一次会话或交换数据时所用的密钥。一般由 系统通过密钥交换协议动态产生。它使用的时间很短,从而限制了密码分析者攻 击时所能得到的同一密钥加密的密文量。丢失时对系统保密性影响不大。 (2)、密钥加密密钥(Key Encrypting Key,KEK), 用于传送会话密钥时采用的密 钥。 (3)、主密钥(Mater Key)主密钥是对密钥加密密钥进行加密的密钥,存于主机 的处理器中。 2、密钥种类区别 (1)、会话密钥 会话密钥(Session Key),指两个通信终端用户一次通话或交换数据时使用的密钥。它位于密码系统中整个密钥层次的最低层,仅对临时的通话或交换数据使用。 会话密钥若用来对传输的数据进行保护则称为数据加密密钥,若用作保护文件则称为文件密钥,若供通信双方专用就称为专用密钥。 会话密钥大多是临时的、动态的,只有在需要时才通过协议取得,用完后就丢掉了,从而可降低密钥的分配存储量。 基于运算速度的考虑,会话密钥普遍是用对称密码算法来进行的 (2)、密钥加密密钥
名称管理单位 ISO14000内审员/外审员其他 ISO9000内审员/外审员其他 安全评价师其他 保险代理人其他 保险经纪人其他 报关员其他 报检员其他 策划师劳动部 单证员其他 导游资格旅游局 地震安全性评价工程师中国地震局 电子商务师劳动部 房地产估价师其他 房地产经纪人人事部 房地产职业经理人其他 公关员劳动部 国际货运代理师其他 国际商务单证员其他 国际商务跟单员其他 国际商务师其他 国际注册投资分析师中国证券监督管理委员会环境影响评价工程师人事部 会计从业资格证财政部 会计职称人事部、财政部 会展管理师其他 监理工程师其他 建造师住房和城乡建设部 建筑安全员住房和城乡建设部 建筑材料员住房和城乡建设部 建筑施工员住房和城乡建设部 建筑预算员住房和城乡建设部 建筑质检员住房和城乡建设部 教师资格证教育部 经济师人事部 经营师劳动部 景观设计师劳动部 口腔执业药师其他 理财规划师劳动部 临床执业其他 秘书劳动部 企业法律顾问人事部 企业培训师劳动部 汽车营销师其他 人力资源管理师劳动部 设备监理师其他 审计师其他 统计师其他 投资建设项目管理师人事部 土地登记代理人其他 土地估价师其他
外销员其他 物流师劳动部 物业管理企业经理住房和城乡建设部 物业管理师劳动部 项目管理师劳动部 心理咨询师劳动部 信用管理师其他 岩土工程师其他 营销师劳动部 营养师劳动部 园艺师劳动部 造价员住房和城乡建设部 证券、期货特许注册会计师财政部、中国证券监督管理委员会共管执业护士卫生部 执业律师司法部 执业兽医农业部 执业药师卫生部 执业医师卫生部 职业经理人劳动部 质量专业技术资格人事部 中国精算师中国保险监督管理委员会 中国准精算师中国保险监督管理委员会 中级导游旅游局 中医师其他 助理医师其他 注册安全工程师国家安全生产监督管理总局 注册采矿/矿物工程师住房和城乡建设部 注册测绘师国家测绘局 注册城市规划师住房和城乡建设部 注册电气工程师住房和城乡建设部 注册房地产估价师住房和城乡建设部 注册房地产经纪人住房和城乡建设部 注册公用设备工程师住房和城乡建设部 注册核安全工程师环境保护部 注册化工工程师住房和城乡建设部 注册环保工程师住房和城乡建设部、环境保护部共管注册会计师财政部 注册机械工程师住房和城乡建设部 注册计量师国家质量监督检验检疫总局 注册价格鉴证师国家发展改革委 注册监理工程师住房和城乡建设部 注册建筑师住房和城乡建设部 注册结构工程师住房和城乡建设部 注册矿产储量评估师国土资源部 注册矿业权评估师国土资源部 注册棉花质量检验师国家质量监督检验检疫总局 注册设备监理师国家质量监督检验检疫总局 注册石油天然气工程师水利部 注册水利工程监理工程师水利部 注册水利工程师水利部 注册税务师国家税务总局