国密SSL协议之双证书体系
1 背景
國密SSL協(xié)議使用雙證書體系。本文描述了國密雙證書體系的組成和差別,并描述了在U盾里面的使用情況。
2 國密SSL雙證書
國密SSL協(xié)議使用雙證書體系,分別稱為簽名證書和加密證書,服務(wù)器和用戶持有兩對(duì)SM2獨(dú)立的密鑰對(duì)。其中加密證書和簽名證書主要的區(qū)別就是密鑰用法(KeyUsage)不一樣(當(dāng)然對(duì)應(yīng)的密鑰等也不一樣),使用相同的DN。密鑰用法具體是:
?
簽名證書:Digital Signature, Non-Repudiation (c0)
?
加密證書:Key Encipherment, Data Encipherment, Key Agreement (38)
3 國密SSL加密證書的頒發(fā)流程
國密CA體系里面,加密密鑰對(duì)是在CA端產(chǎn)生的,和通常的簽名證書流程不一樣(簽名密鑰對(duì)通常是用戶自己產(chǎn)生的,發(fā)送證書請(qǐng)求給CA來申請(qǐng)證書)。
那用戶怎么安全獲得加密證書和私鑰呢?國密規(guī)范規(guī)定,加密私鑰需要通過數(shù)字信封使用用戶的簽名公鑰加密。CA將加密私鑰密文返回給用戶,用戶因?yàn)橛袑?duì)應(yīng)的簽名私鑰,因此只有該用戶才可以解開密文,獲得加密私鑰。過程如下:
1)用戶使用U盾產(chǎn)生簽名密鑰對(duì),生成簽名證書請(qǐng)求,發(fā)送簽名證書請(qǐng)求給CA;
2)CA審核生成簽名證書,產(chǎn)生加密密鑰對(duì),生成加密證書;
3)CA生成對(duì)稱密鑰,使用用戶簽名公鑰加密,輸出對(duì)稱密鑰密文;
4)CA使用對(duì)稱密鑰,加密用戶加密私鑰,輸出加密私鑰密文;
5)CA返回給用戶簽名證書、加密證書、對(duì)稱密鑰密文和加密私鑰密文;
6)用戶導(dǎo)入對(duì)稱密鑰密文,使用U盾內(nèi)部簽名私鑰解密,獲得對(duì)稱密鑰句柄;
7)用戶使用對(duì)稱密鑰句柄解密加密私鑰,獲得加密私鑰明文。
用戶使用SKF(U盾)接口時(shí),6)和7)以及導(dǎo)入加密證書時(shí),使用一個(gè)API一步完成的,所述過程是在U盾內(nèi)部的處理。
4 國密U盾伴侶
目前大部分國密U盾的管理工具,并不支持國密證書請(qǐng)求產(chǎn)生和國密證書應(yīng)答導(dǎo)入。www.GMSSL.cn提供一個(gè)《國密U盾輔助工具》,支持國密生成證書請(qǐng)求/導(dǎo)入證書應(yīng)答操作。目前支持龍脈科技的mToken GM3000。
下載請(qǐng)參見https://www.gmssl.cn/gmssl/index.jsp?go=ukey
1)生成證書請(qǐng)求
?
2)提交簽名證書請(qǐng)求給https://www.gmssl.cn/gmssl/index.jsp?go=ca
3)www.gmssl.cn生成簽名證書/加密證書/加密私鑰密文
4)導(dǎo)入證書應(yīng)答
?
5 國密測試CA
www.GMSSL.cn提供一個(gè)國密測試CA。通過國密CA,配合國密U盾伴侶,可以給用戶生成國密雙證書,然后可以通過國密瀏覽器,就使用證書登錄國密雙向認(rèn)證的網(wǎng)站了。
CA參見https://www.gmssl.cn/gmssl/index.jsp?go=ca
總結(jié)
以上是生活随笔為你收集整理的国密SSL协议之双证书体系的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 玲珑杯 1032 A-B
- 下一篇: 直流电机控制 pwm 和 pid 算法