none
怎样设置数字签名? RRS feed

  • 问题

  • 请问,怎样设置数字签名(电子签名)?
    是不是在服务器上的IIS上设置了之后就可以了吧?
    我看招商银行的SSL好像还需要用户下载后安装才可以,什么原因呢?
    谢谢!
    2009年6月29日 5:31

答案

  • 根据不同的加密级别  签名也分很多种

    "在服务器上的IIS上设置了之后就可以"  的级别仅仅保证你受到的信息不被篡改  数据是被验证的  一般采用  sha1 或者 md5  协议  

    银行一般需要的更高级   数据是被加密的    你这边用一个证书加密的数据    对方要用另一个证书解开才能观看内容   所以要求你在客户段安装你自己的私钥证书。


    具体您可以搜索下  verisign  的产品介绍叶面
    紫柔版主的头像真叫萌得一个不行啊。。。。
    答案800 撒花
    2009年6月29日 5:39
  • 请问,怎样设置数字签名(电子签名)?
    是不是在服务器上的IIS上设置了之后就可以了吧?
    我看招商银行的SSL好像还需要用户下载后安装才可以,什么原因呢?
    谢谢!
    呵呵,3】证书和签名:

            证书实际对于非对称加密算法(公钥加密)来说的,一般证书包括公钥、姓名、数字签名三个部分。证书好比身份证,证书机构(ca)就好比是公安局,职责就是负责管理用户的证书也就是身份证。

           比如我的公钥是FrankKey,姓名是Frank Xu Lei。公安局可以给我登记,但是怎么保证我和别的Frank Xu Lei区别开呢,于是公安局(证书机构)就使用我的名字和密钥做了个组合,再使用一种哈希算法,得出一串值,来标识我的唯一性,这个值就是我的身份证号码,也就是证书里的数字签名。 
             假设一个朋友给我写信,他就可以到公安局(证书机构)来查找我的身份证(证书)。上面包括我的个人信息,可以保证这个公钥就是我的。然后他把新建进行加密,邮寄给我。别人即使拆开我的信件,因为没有密钥进行解密,所以无法阅读我的信件内容。这样就保证了信息安全。
        所以说加密不一定要证书,取决于你数据安全具体的需求。一般大型的电子商务网站都有自己特定的证书。证书管理的机构比较有名的就是VeriSign(可以说是互联网上的身份证管理局)。企业可以申请注册,它会给申请者生成特定的签名。
    我们自己的企业内部应用如果需要的话,可以在企业局域网内部建立企业私有的证书服务器,来产生和管理证书。
        其实X.509是由国际电信联盟(ITU-T)制定的一种定义证书格式和分布的国际标准(相当于制作身份证的规范)。为了提供公用网络用户目录信息服务,并规定了实体鉴别过程中广泛适用的证书语法和数据接口, X.509 称之为证书,或者说是身份证的一种形式,类似与我们现在的二代身份证,也是身份证的一种,根据特定的标准制作出来的。 另外证书使用的时候还有有效期的限制,和我们的身份证的10年有效期一样。证书也可以设置有效期。

    你可以参考我的:
    WSE3.0构建Web服务安全(3):WSE3.0策略配置、证书、签名、与实例开发
    WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理

    Frank.Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    老徐的博客:http://frank_xl.cnblogs.com
    2009年6月30日 0:56
    版主

全部回复

  • 根据不同的加密级别  签名也分很多种

    "在服务器上的IIS上设置了之后就可以"  的级别仅仅保证你受到的信息不被篡改  数据是被验证的  一般采用  sha1 或者 md5  协议  

    银行一般需要的更高级   数据是被加密的    你这边用一个证书加密的数据    对方要用另一个证书解开才能观看内容   所以要求你在客户段安装你自己的私钥证书。


    具体您可以搜索下  verisign  的产品介绍叶面
    紫柔版主的头像真叫萌得一个不行啊。。。。
    答案800 撒花
    2009年6月29日 5:39
  • 请问,怎样设置数字签名(电子签名)?
    是不是在服务器上的IIS上设置了之后就可以了吧?
    我看招商银行的SSL好像还需要用户下载后安装才可以,什么原因呢?
    谢谢!
    呵呵,3】证书和签名:

            证书实际对于非对称加密算法(公钥加密)来说的,一般证书包括公钥、姓名、数字签名三个部分。证书好比身份证,证书机构(ca)就好比是公安局,职责就是负责管理用户的证书也就是身份证。

           比如我的公钥是FrankKey,姓名是Frank Xu Lei。公安局可以给我登记,但是怎么保证我和别的Frank Xu Lei区别开呢,于是公安局(证书机构)就使用我的名字和密钥做了个组合,再使用一种哈希算法,得出一串值,来标识我的唯一性,这个值就是我的身份证号码,也就是证书里的数字签名。 
             假设一个朋友给我写信,他就可以到公安局(证书机构)来查找我的身份证(证书)。上面包括我的个人信息,可以保证这个公钥就是我的。然后他把新建进行加密,邮寄给我。别人即使拆开我的信件,因为没有密钥进行解密,所以无法阅读我的信件内容。这样就保证了信息安全。
        所以说加密不一定要证书,取决于你数据安全具体的需求。一般大型的电子商务网站都有自己特定的证书。证书管理的机构比较有名的就是VeriSign(可以说是互联网上的身份证管理局)。企业可以申请注册,它会给申请者生成特定的签名。
    我们自己的企业内部应用如果需要的话,可以在企业局域网内部建立企业私有的证书服务器,来产生和管理证书。
        其实X.509是由国际电信联盟(ITU-T)制定的一种定义证书格式和分布的国际标准(相当于制作身份证的规范)。为了提供公用网络用户目录信息服务,并规定了实体鉴别过程中广泛适用的证书语法和数据接口, X.509 称之为证书,或者说是身份证的一种形式,类似与我们现在的二代身份证,也是身份证的一种,根据特定的标准制作出来的。 另外证书使用的时候还有有效期的限制,和我们的身份证的10年有效期一样。证书也可以设置有效期。

    你可以参考我的:
    WSE3.0构建Web服务安全(3):WSE3.0策略配置、证书、签名、与实例开发
    WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理

    Frank.Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    老徐的博客:http://frank_xl.cnblogs.com
    2009年6月30日 0:56
    版主
  • 还有个疑问
    IIS中当使用SSL功能时,他就要求配置服务器证书,仅仅有服务器证书而没有客户端证书的话,就相当于只有服务器有身份证,而客户端没有身份证,那么这样的话,能够保证数字签名中所说的“不可抵赖性”吗?
    2009年6月30日 1:11
  • 我再说一次  有不同等级的证书   你说的是发行商证书    非对称属于更高级的证书   需要你购买   或者通过2003的证书服务生成后  让你的客户手动导入信任
    紫柔版主的头像真叫萌得一个不行啊。。。。
    答案800 撒花
    2009年6月30日 2:09
  • "让你的客户手动导入信任" 应该只是客户端同意接受这个服务器证书吧!而不是为客户端安装了 客户端证书吧!
    2009年6月30日 2:38
  • 对,大多数情况下都需要客户手动导入证书,如果是你生成的证书。
    我的博客,最近新写了一个Windows Mobile 6.5 Widget开发的文章,欢迎捧场
    尽力回答每一个问题,但不代表一定正确,希望初学者能够多自己尝试。。共勉。。:)
    2009年6月30日 2:43
    版主
  • 我觉得还是没有说清楚,好像IIS里面只能发布“服务器证书”,而不能发布“客户端证书”吧!
    如果不在客户端安装“客户端证书”,即使建立了SSL,能够有效防止“会话劫持”吗?
    我觉得采用数字签名的话,应该能够有效防止“会话劫持”吧!

    2009年6月30日 5:20
  • 2003的证书服务是可以建立公私钥证书的    建立以后导入服务器端的到iis  发布客户端的到用户  就可以了
    紫柔版主的头像真叫萌得一个不行啊。。。。
    答案800 撒花
    2009年6月30日 5:27
  • "让你的客户手动导入信任" 应该只是客户端同意接受这个服务器证书吧!而不是为客户端安装了 客户端证书吧!

    hi,
        简单理解啊,客户端证书好比是客户端的身份证,能鉴别和保证客户端是合法的客户端。这个证书必须经过CA的认证。
    CA知道密钥啊,客户端要安装证书,他必须在请求的时候提供这个证书,或者签名对应的数据信息,服务器向CA请求验证客户端证书的真伪。  
       客户端为什么要安装,简单啊,我们的身份证办理下来以后,我们不随身携带,拿什么来证明我们是合法的呢。
       没什么啊,可能证书在签名等加密算法的复杂度和安全性上有区别吧,实际作用和目的一样啊。
    你的一代身份证和我的二代身份证有区别,但是作用不是一样吗,呵呵我通过你的身份证来验证你这个人的真是身份~
    Frank.Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    老徐的博客:http://frank_xl.cnblogs.com
    2009年7月3日 11:49
    版主