問題タブ [pki]

OK、RSAの数学的動作についての私の理解は、それほど深くはないかもしれません。ですから、これがばかげている場合は、遠慮なく頭を叩いてください。

秘密鍵を生成するには、2つのランダムな大きな素数が必要です。これを正確かつ効率的に実行できるアルゴリズムはありませんが、99.99999 ...（バジリオン9）... 999％の素数の確率を持つ大きな数を生成できるアルゴリズムがあります。

私の質問は、不運の驚異的なストロークによって、キーを生成しているときに、素数生成アルゴリズムが非素数を生成した場合はどうなるでしょうか。それは、その不運なキーを使用するソフトウェアにどのように影響しますか？

編集：私は他の要因がこの問題に関する悪い結果のはるかに可能性の高い原因であることを知っています。これは純粋なオタク数学の好奇心です。

証明書を作成してデータベースに保存したいのですが、APIまたはライブラリを終了するとそれを行うのに役立つ場合、その方法がわかりません ありがとう

（Makecertユーティリティを使用して）–peスイッチを指定することにより、秘密鍵をエクスポート可能にします。

a）秘密鍵がエクスポート可能であるとはどういう意味ですか？作成した.pvkファイル（秘密鍵を含む）を別のシステムにコピーして、そこで使用できるということですか？

b）その場合、.pvkは、秘密鍵をエクスポートする場合にのみ作成されると思いますか？！したがって、秘密鍵をエクスポートしたくない場合、したがって–pe証明書を作成するときにスイッチを指定しない場合、どのように秘密鍵を使用/取得するのでしょうか。

ありがとうございました

-sky スイッチ サブジェクトのキー タイプを指定します。これは、署名、交換、またはプロバイダー タイプを表す整数でなければなりません。デフォルトでは、交換キーには 1 を、署名キーには 2 を渡すことができます。

これを正しく理解していれば、signatureとexchangeは 2 つのキー タイプですか? それぞれどのような場面で使われますか？

ありがとうございました

認証に PKI パブリックおよびプライベート暗号化を使用して、より合理化された安全なアプリケーション アクセス制御システムを実現したいと考えています。証明書と認証の生成に関するヘルプは役に立ちます。もう 1 つの質問ですが、System.Security.Cryptography.X509Certificates クラスを同じものに使用できますか?

KeyTool を使用してキーストアに追加された証明書があります。本番/テスト環境で使用するための秘密鍵も提供されています。証明書が公開鍵を使用していることを理解しています。コマンドラインプログラムで読み取れるようにするには、キーストアと秘密鍵をどこに配置すればよいですか? 次のキーはキーストアを読み取ります。

プログラムが読み取る秘密鍵をどこに置く必要がありますか。公開鍵/秘密鍵の暗号化は初めてなので、助けていただければ幸いです。

敬具、マティーン

SSLCertificateKeyFile が必要な技術的な理由 (秘密鍵) は何ですか? それはどこで、何のために使われますか？

最近、私はPKIの実際の作業プロセスに関する基本的な理解に出くわしました。私は原則に関する主要な記事を見てきましたが、それでもこのプロセスを理解するのはかなり馬鹿げています。PKIは「私のブログ」用ではないことを理解していますが、簡単にするために、簡単な例「My e-Shop」（たとえば、apacheやphp）と簡単な概念を見ていきましょう。あいまいまたは間違っている可能性のあるステートメントをいくつか書きましたが、それがPKIのプロセスについて知りたいことです。

1. 会社としての「私のeショップ」は、サードパーティのCAで「認定」される必要があります。つまり、そのCAで1年間のメンバーシップを購入する必要があります。そうすると、システムに「My e-Shop」が登録され、証明書や一意の公開鍵と秘密鍵のペアなどが発行されます。証明書ファイルを入手できますか？

2. 発行された証明書には私の情報と公開鍵が入力され、Webサーバーのファイルに保存されます。証明書は、「私のeショップ」が泥棒の局ではないことを証明します。

3. ユーザーが「https」を介して「Mye-shop」にアクセスするたびに、ブラウザは「Mye-shop」の提示された証明書をCAに登録されているものと「サイレント」にチェックします。

   1. ユーザーはどうですか？https経由で「Mye-shop」に入ると、ブラウザはローカルの公開キーと秘密キーを生成しますか？

4. 一部のユーザーがhttps経由で「Mye-shop」に入ると、次のようになります。「Mye-shop」（Webサーバー）はユーザーの公開鍵（PK1）を取得します。サーバーは「Mye-shop」の証明書をユーザーにサイレントに提示するため、ユーザーは「My e-shop」の公開鍵（PK2）を取得します。サイレントチェックの後、ユーザーのブラウザは提示された証明書を検証し、安全なパイプが確立されます。

5. ユーザーが安全なパイプを介してリクエストを送信すると、リクエストは「Mye-shop」の公開鍵で暗号化されます。次に、Webサーバーは秘密鍵を使用して要求を復号化します。次に、Webサーバーはユーザーの公開鍵を使用して暗号化された応答を送信します。最後に、ユーザーのブラウザーは自分の秘密鍵を使用して応答を復号化します。

比較的新しい SunMSCAPI セキュリティ プロバイダを試しています。ブラウザーに証明書選択ボックスをポップアップさせる単純なアプレットを作成したいと考えています。そこから取ります。私はこれをある方法でグーグル検索し、別の方法でグーグル検索しました。何かアドバイス？

私たちのユースケースでは、PKIX セットアップで OCSP を介して証明書の失効を検証する必要があります。私の出発点は、この関連する質問のコードでした: OCSP Revocation on client certificate

Tomcat ではサポートされていないため、アプリケーション レベルで手動で行っています。ただし、certPath の構築に問題があり、基本的な理解が欠けていると思います。

最初に、着信クライアント x509Certificate の certPath を作成しようとします。

KeyStore ストアは正しく初期化されており、クライアント x509Certificate に一致するルート証明書のみが含まれています。

編集:中間証明書も追加した後、同じ結果が得られました。

ただし、実行時にエラーが発生します。

何が欠けている可能性がありますか？