アウトライン
この必要性に関する実験的研究は、国の秘密のアルゴリズムekeyを使用することです。1つ以上のアプリケーションのために、各アプリケーションは1つ以上の容器(コンテナ)を含むことができる、各容器は、暗号化と署名鍵ペア、および2つのそれぞれの証明書または証明書のための2つのペアに格納することができますチェーン。各容器は、ECCまたはRSA、ECCの一種類のみが容器と鍵RSA鍵で混合することができません。個人的な理解は、ekey発生室の役割、または証明書、ekey容器に証明書を生成するために、暗号化に対応する暗号アルゴリズムを使用してメッセージファイルを暗号化する必要があることです。証明書認証、安全性を確保することができる容器に対応する、EKEYを使用して、別の端末上のファイルにこの方法で使用される場合。
実験環境
- Windows 7の
- DebianのLinuxのカーリー
- GmSSLプロジェクト
文書を暗号化するためにSM2アルゴリズムを使用してここに
実験
実験には、次のプロセスに分かれて:
- SM2は、鍵ペアを生成します
- SM2は、ルートCAとして自己署名証明書を生成します
- SM2は、鍵ペアを生成します
- 証明書要求のCSRの生成
- CAで署名
- テストをチェック
- PKCS12形式の証明書ファイルを生成します
- 勝利環境での検証証明書
次のように具体的なプロセスは次のとおり
:鍵ペアSM2 cakeyGM.pem生成
自己署名証明書SM2を生成、ルートCAに関連する詳細を入力し、cacertGM.crt生成:
鍵ペアSM2 testUserGM.key生成:
CSRを生成し、証明書の要求の後に:
gmssl req -new -key testUserGM.com.key -out testUserGM.com.csr
そしてその後、CAで最初に生成記号:
gmssl ca -in testUserGM.com.csr -out testUserGM.com.crt -cert demoCA/cacertGM.crt -keyfile demoCA/private/cakeyGM.pem
検査記号:
gmssl verify -verbose -x509_strict -CAfile demoCA/cacertGM.crt testUserGM.crt
PKCS12形式の証明書ファイルを生成する:
上記の動作は、PKCS12形式を生成し、そしてekeyにインポートされた、win7のシステムを開いた後、ekey管理ツールを構成します我々はContainerGuo容器は以下に示すように、上記生成された証明書を示しており、生成されたが見つかりました:
詳細タッチ証明書、以下に示すように、証明書の詳細は、入力された情報を上記構成と一致する人を参照してください。
これまでのところ、ekeyは、認証が成功すると、証明書の生成に格納され、設定情報と一致しています。
上記、すなわちekey基本的な使用法を説明しています。
参考文献:https://blog.csdn.net/weixin_42037232/article/details/88537092