crl认证

⑴ 什么是CA证书

CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

⑵ 如何发布CRL

CRL是证书来作废表的缩写。CRL中记录尚自未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
1、进CA
2、将“证书吊销列表（CRL）”发布出来
3、之后网络上的计算机只要下载这个CRL
4、就可以知道有哪些证书已经被吊销。

⑶ 什么是CRL

CRL是证书抄作废表的缩写袭。CRL中记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。 在验证证书或签名时，应用系统可以通过检查 CRL，来确定给定证书是否仍然可信（有些应用程序使用 CryptoAPI 中的 Microsoft 证书链验证 API 来完成此任务）。如果不可信，应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。

⑷ java 代码实现 签发（制作）CRL（证书吊销列表）文件，

java 解析 CRL 文件(java 解析 证书吊销列表)2010-04-06 10:25import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.security.cert.CRLException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509CRL;
import java.security.cert.X509CRLEntry;
import java.text.SimpleDateFormat;
import java.util.Iterator;
import java.util.Set;
public class Test2 {
public static void main (String[] args) throws FileNotFoundException ,CertificateException,CRLException {
FileInputStream fis = new FileInputStream("E:\\1.crl");
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509CRL aCrl = (X509CRL) cf.generateCRL(fis);
int i = 0;
Set tSet = aCrl.getRevokedCertificates();
Iterator tIterator = tSet.iterator();
while (tIterator.hasNext()) {
X509CRLEntry tEntry = (X509CRLEntry) tIterator.next();
String sn = tEntry.getSerialNumber().toString(16).toUpperCase();
String issName = aCrl.getIssuerDN().toString();
String time = new SimpleDateFormat("yyyyMMddHHmmss").format (tEntry.getRevocationDate());
i++;
System.out.println(sn);
System.out.println(issName);
System.out.println(time);
System.out.println("***************************");
}
}
}

⑸ 权威的数字证书颁发机构有哪些

不知道这里的数字证书是否指的是SSL证书，因为它也是数字证书的一种，主要作用是服务器认证和数据加密传输，保障网络的基本安全。
申请SSL证书一定要选择权威的CA机构颁发的，目前比较受欢迎的国际品牌推荐如下：
一、Comodo
Comodo是世界上知名的SSL证书颁发机构，著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务，Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。 Comodo SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性，真实性以及安全性，使Comodo成为一个非常值得信赖的品牌。
二、Symantec
Symantec成立于1982年，全球安全领域的领导者，Symantec SSL证书(前身为VeriSign)是全球公认最可靠证书颁发机构。90%的世界500强在使用Symantec SSL证书，工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。服务于全球超过35个国家，拥有众多的企业、政府和个人用户。全球100家最大的金融机构中有90多家，北美500家最大的电子商务网站中75%的网站使用的都是赛门铁克的SSL证书。
三、GeoTrust
GeoTrust是世界第二大的数字安全提供者，是非常受欢迎，低廉的价格非常适合中小型企业，签发速度快并且提供高达256位SSL加密。现已超过150个国家的用户选择GeoTrust产品来保护他们的在线交易和各类在线业务，Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。

四、RapidSSL
Rapid是美国GeoTrust公司的一个面向低端用户而提供的简易版、快速签发、入门级SSL证书的品牌，主要应用于中小规模、入门级的电子商务网站。RapidSSL是GeoTrust公司的下属品牌，面向个人和小微企业提供廉价的SSL/TLS证书产品，不限制服务器安装数量。 作为一款域名型 GeoTrust DV SSL证书，RapidSSL申请简单，通常只需要10分钟就可以完成服务器证书的签发。

⑹ 身份认证怎么绕过CRL验证

http://wenku..com/link?url=v6x75s2wYkRdSz-eEdzwUGKVANfmpR9HvKo0q

⑺ 该怎么选择CA证书颁发机构

选择CA证书颁发机构，
为网站安装SSL证书无非是让网站的数据安全有所保障，版
所以免费SSL或者无资质权SSL颁发机构的出现，
势必为网站数据安全带来安全隐患。
因此，在选择SSL证书时，一定要选择权威、安全可靠的颁发机构。
Symantec赛门铁克（CA机构）高端的SSL证书品牌，国际知名的CA机构，行业领先者，是互联网上最受认可和信任的SSL安全证书品牌，为用户与服务端之间提供安全的网络信息通道。

⑻ 怎么用java代码生成一个crl证书吊销列表

证书吊销列表（CRL） 定义：一个被签署的列表，它指定了一套证书发布者认为回无效的证书。除了普通答CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。 解释：CRL一定是被CA所签署的，可以使用与签发证书相同的私钥，也可以使用专门的CRL签

⑼ CRL是什么

中文意思：证书吊销列表
英文：Certificate Revocation List
出处：ITU/T X.509 | ISO/IEC 9594-8：2001，GB/T 16264.8-2005
定义：一个被签署的列表，它指定了一套证书发布者认为无效的证书。除了普通CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。
解释：CRL一定是被CA所签署的，可以使用与签发证书相同的私钥，也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。

证书吊销
证书具有一个指定的寿命，但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL)，列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。
可将下列情况指定为吊销证书的理由：
泄露密钥
泄露 CA
从属关系改变
被取代
业务终止
证书持有（这是唯一让您能够改变被吊销证书状态的理由码，在证书状态有问题的情况下非常有用）
由 CA 吊销证书意味着，CA 在证书正常到期之前撤销其允许使用该密钥对的有关声明。在吊销的证书到期之后，CRL 中的有关条目被删除，以缩短 CRL 列表的大小。
在验证签名期间，应用程序可以检查 CRL，以确定给定证书和密钥对是否仍然可信（有些应用程序使用 CryptoAPI 中的 Microsoft 证书链验证 API 来完成此任务）。如果不可信，应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。如果该证书被用来验证签名，且签名的日期早于 CA 吊销该证书的日期，那么该签名仍被认为是有效的。
应用程序获得 CRL 之后，由客户机缓存 CRL ，在它到期之前客户机将一直使用它。如果 CA 发布了新的 CRL，拥有有效 CRL 的应用程序并 不 使用新的 CRL，直到应用程序拥有的 CRL 到期为止。

⑽ 如何看CRL

数字证书基本概念
（1）什么是证书?
在一个电子商务系统中，所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份（每份证书都是经“相对权威的机构”签名的），另一方面由于每份证书都携带着证书持有者的公钥（签名证书携带的是签名公钥，密钥加密证书携带的是密钥加密公钥），所以，证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。
（2）什么是CA?
CA是Certificate Authority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。
（3）什么是SSL?
安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性，主要采用公开密钥体制和X.509数字证书技术来提供安全性保证。对于电子商务应用来说， SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名（Form Signing）"的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。
（4）什么是RA?
RA即证书发放审核部门，它是CA系统的一个功能组件。它负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此它应由能够承担这些责任的机构担任。
（5）什么是CP?
CP即证书发放的操作部门，它是CA系统的一个功能组件，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。
（6）什么是CRL?
CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
（7）什么是OCSP?
OCSP即在线证书状态查询（Online Certificate Status Protocol），使用户可以实时查询证书的作废状态。
（8）什么是密钥对，怎样使用它，怎样获得密钥对?
像有的加密技术中采用相同的密钥加密、解密数据，公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理，每把的功能恰恰与另一把相反，一把用于加密时，则另一把就用于解密。
公共密钥是由其主人加以公开的，而私人密钥必须保密存放。为发送一份保密报文，发送者必须使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。
相反地，用户也能用自己私人密钥对数据加以处理。换句话说，密钥对的工作是可以任选方向的。这提供了"数字签名"的基础，如果要一个用户用自己的私人密钥对数据进行了处理，别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥，这种被处理过的报文就形成了一种电子签名----一种别人无法产生的文件。
数字证书中包含了公共密钥信息，从而确认了拥有密钥对的用户的身份。
大多数情况下，当你申请数字证书时，会为你产生密钥对。出于安全性考虑，密钥对应当在您的机器产生并且私人密钥不会在网上传输。
一旦产生，就应在认证中心上登记自己的公共密钥，随后认证中心将发送给用户数字证书，以证实你的公共密钥及其他一些信息。
（9）如何确保得到我的私钥的安全？
有以下三种保护方法：
将私人密钥存放在自己计算机的硬盘上，这样你能控制对它的存取。
将私人密钥存放在IC卡上，并将IC卡存放在自己可以控制的地方。
当你产生自己的私人密钥时，你所使用的软件（如浏览器）将要求你输入一个密码，这一密码将保护对私人密钥的存取。对于微软Internet Explorer用户，私人密钥将由Windows密码加以保护。 只有在下述两种情况下，第三方可以存取您的私人密钥：
有权存取你存放密钥的文件（常常是你的系统配置文件）。
知道你的私人密码。有的软件允许你选择不使用密码来保护你的私人密钥。如果你选择了这项，你必须已确信，无论现在还是将来，都不会有人非法访问你的计算机。
总而言之，使用密码要比完全以物理角度保护你的计算机方便得多。不选用密码，就像在自己的支票夹上预先签好了所有支票，并将它打开着放在办公桌上。
二：数字证书的一些问题：
1. 我的私钥怎样保存？
私钥可以通过两种方式保存：
以文件的形式保存在你的计算机硬盘中，这样你可以很容易控制对它的访问。
产生私钥时，使用的软件（例如浏览器）可能会要求你提供一个密码，通过这个密码来保护私钥免被非法使用。对于Microsoft IE用户， 私钥可以由Windows的密码保护。
第三方只可以在下列情况下访问你的私钥：1、能够访问用于存储密钥的文件（该文件往往是你的计算机系统配置文件的一部分）；2、知道保护私钥的密码。某些软件允许你选择不使用密码来保护你的私钥，如果选择了该选项，你必须确信现在或者将来不会有人在非授权的情况下使用你的计算机
一般来说，可以很简单的使用密码将你的计算机完全的保护起来。不使用密码就象填好支票后将支票本放在桌上一样不安全。
2. 我该怎样保存我的私钥？
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施（例如系统密码）。采取措施来防病毒，因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
3. 什么是好的密码？
一个好的密码要足够的长和足够的特别，通过彻底搜寻（例如使用目录）也不能被查到，好的密码应该是你很容易就能记住而别人很难猜到的密码；最好使用八位以上的密码，不要使用容易与你某些事情联系起来的密码，比如你的电话号码、生日或是你家庭成员的名字。不要使用英文单词、常见的术语或是你以前用过的密码；如果将密码写下来了，不要放到容易找到的地方。
4. 我的计算机将我的密码保存在哪儿？
你的私钥一般以加密的形式保存在参数选择或配置文件里，只能用你的私钥保护密码才能打开。
5. 我需要在家里和办公室都使用我的数字证书，我可以安全的在计算机之间移动我的私钥和数字证书吗？
在计算机之间移动密钥和数字证书是可能的，只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时，使用安全的密码来保护你的密钥是非常重要的。
6. 我在没有获得一个新证书的情况下可以更改我保护私钥的密码吗？
可以。你的密码加密了你的证书私钥。可以用产生这个密码的程序更改密码（重新加密你的私钥）。如果你认为其它人有可能知道你的密码时，你应该立刻更改密码。
7. 我忘了我的私钥密码，有人能帮我更换掉它吗？
不能。如果你忘了你的私钥密码，没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效，除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥（该方式一般在支持双密钥对体系中）。有些情况下，你还需要重新安装你的电子邮件程序和网络浏览器。
8. 在我忘了我的密码时没有人能帮助我，这听起来非常不友好，为什么？
这是介于安全和便利之间的矛盾。如果有方法让其他人能为你恢复私钥密码，那他或者她也能盗用密码以达到其不可告人的目的。证书仍然是新的，但证书私钥可能已经被外泄，也就是说，该证书持有者进行的交易已经不具备不可否认性。将来可能可以将你的私钥不加密地保存在一张软盘上（不需要密码），而软盘被放在安全的地方，比如保管箱。微软和网景都是在这样的系统上运作的。如果你忘了正常加密的密码，可以用这张软盘来恢复你的证书的私钥。
9. 有人偷了我的计算机，他们现在拥有我的证书的私钥吗？
如果你使用了一个好的密码来保护你的私钥，那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系，要求废除你的证书，然后给你发放一个新的证书（有新的密钥对）。
10. 有人偷了我的计算机，而我已经选择不要密码保护我的私钥，我现在该怎么办？
你应该立即通知你的CA你的私钥受到安全威胁，它会安排撤销你的证书并给你颁发新的证书。注意：虽然关系伙伴一般都会检查证书的撤销状态，但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
CA认证功能介绍
概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下：
（1）接收验证最终用户数字证书的申请。
（2）确定是否接受最终用户数字证书的申请-证书的审批。
（3）向申请者颁发、拒绝颁发数字证书-证书的发放。
（4）接收、处理最终用户的数字证书更新请求-证书的更新。
（5）接收最终用户数字证书的查询、撤销。
（6）产生和发布证书废止列表（CRL）。
（7）数字证书的归档。
（8）密钥归档。
（9）历史数据归档。
认证中心为了实现其功能，主要由以下三部分组成：
（1）注册服务器：通过 Web Server 建立的站点，可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等烦恼。 （2）证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。 （3）认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。
CA认证简介
为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合X.509国际标准，同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。
数字证书认证中心（Certficate Authority,CA）是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心（根CA）。
电子交易的各方都必须拥有合法的身份，即由数字证书认证中心机构（CA）签发的数字证书，在交易的各个环节，交易的各方都需检验对方数字证书的有效性，从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制，CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任关系，即建立安全认证体系（CA）；选择安全标准（如SET、SSL）；采用高强度的加、解密技术。其中安全认证体系的建立是关键，它决定了网上交易和结算能否安全进行，因此，数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心（CA），是电子商务体系中的核心环节，是电子交易中信赖的基础。它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。
数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：

（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否;

（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。

数字证书的格式一般采用X.509国际标准。
参考资料：http://hyzj.go2.icpcn.com/index1.htm