1. win7系統文件加密及其證書問題怎麼解決
從windows 2000開始,微軟為我們提供了一個叫做EFS的加密功能,通過該功能,我們可以將保存在NTFS分區上的文件加密,讓別人無法打開。雖然該功能已經面世很長時間了,不過很多人因為對這個功能不了解,導致了很多數據丟失的情況發生。x0dx0a x0dx0a什麼是EFS加密x0dx0a x0dx0a其實從設計上來看,EFS加密是相當安全的一種公鑰加密方式,只要別人無從獲得你的私鑰,那麼以目前的技術水平來看是完全無法破解的。和其他加密軟體相比,EFS最大的優勢在於和系統緊密集成,同時對於用戶來說,整個過程是透明的。例如,用戶A加密了一個文件,那麼就只有用戶A可以打開這個文件。當用戶A登錄到Windows的時候,系統已經驗證了用戶A的合法性,這種情況下,用戶A在Windows資源管理器中可以直接打開自己加密的文件,並進行編輯,在保存的時候,編輯後的內容會被自動加密並合並到文件中。在這個過程中,該用戶並不需要重復輸入自己的密碼,或者手工進行解密和重新加密的操作,因此EFS在使用時非常便捷。x0dx0a x0dx0a完全支持EFS加密和解密的操作系統包括Windows 2000的所有版本、Windows XP專業版(Professional)、Windows Vista商業版(Business)、企業版(Enterprise)和旗艦版(Ultimate)。Windows Vista家庭基礎版(Home Basic)和家庭高級版(Home Premium)只能在有密鑰的情況下打開被EFS加密的文件,但無法加密新的文件。x0dx0a x0dx0a為了向你介紹EFS加密功能的使用,下文會以Windows Vista旗艦版中的操作為例進行說明,同時這些操作也適用於Windows Vista商業版和企業版。其他支持EFS的Windows操作系統在細節上可能會有所不同。x0dx0a x0dx0aEFS加密和解密x0dx0a x0dx0a文件的加密和解密是很簡單的,我們只需要在Windows資源管理器中用滑鼠右鍵單擊想要加密或解密的文件或文件夾,選擇「屬性」,打開「屬性」對話框的「常規」選項卡,接著單擊「高級」按鈕,打開「高級屬性」對話框。x0dx0a x0dx0a如果希望加密該文件或文件夾,請選中「加密內容以便保護數據」;如果希望解密文件或文件夾,請反選「加密內容以便保護數據」,然後單擊「確定」即可;如果選擇加密或解密的對象是一個包含子文件夾或文件的文件夾,那麼單擊「確定」後,我們將看到「確認屬性更改」對話框。x0dx0a x0dx0a在這里,我們可以決定將該屬性更改應用給哪些對象。例如,如果希望同時加密或解密該文件夾中包含的子文件夾和文件,可以選擇「將更改應用於此文件夾、子文件夾和文件」;如果只希望加密或解密該文件夾,則脊型碼可以選擇「僅將更改應用於此文件夾」。x0dx0a x0dx0a默認情況下,被加密的文件或文件夾在Windows資源管理器中會顯示為綠色,提醒我們注意。如果不希望使用這一特性,那麼可以按照下列方法更改默認設置:x0dx0a1. 打開「計算機」「我的電腦」,如果是Windows Vista,請按下Alt鍵,打開菜單欄。x0dx0a2. 在菜單欄上依次單擊「工具」「文件夾選項」,打開「文件夾選項」對話框,打開「查看」選項卡。x0dx0a3. 在高級設置列表中,取消對「用彩色顯示加密或壓縮的NTFS文件」這個選項的選擇。x0dx0a4. 單擊「確定」。x0dx0a x0dx0a證書的備份和還原x0dx0a x0dx0a很多人使用EFS加密的時候都吃了虧。上文已經介紹過,EFS是一種公鑰加密體系,因此加密和解密操作都需要證書(也叫做密鑰)的參與。例如很多人都是這樣操作的:在系統中用EFS加密了文件,某天櫻哪因為一些原租櫻因直接重裝了操作系統,並創建了和老系統一樣用戶名和密碼的帳戶,但發現自己之前曾經加密過的文件都打不開了。x0dx0a x0dx0a如果僅僅是設置過NTFS許可權的文件,我們還可以讓管理員獲取所有權並重新指派許可權,但對於EFS加密過的文件,那就一點辦法都沒有了,因為解密文件所需的證書已經隨著系統重裝灰飛煙滅,在目前的技術水平下,如果要在缺少證書的情況下解密文件,幾乎是不可能的。x0dx0a x0dx0a所以要安全使用EFS加密,一定要注意證書的備份和還原,很多人正是因為不了解這個情況而吃虧。好在從Windows Vista開始,當我們第一次用EFS加密功能加密了文件後,系統會提醒我們備份自己的證書,而且操作也相對比較簡單。x0dx0a x0dx0a下文會從證書的備份和還原兩方面介紹如何在Windows XP和Windows Vista下進行操作。x0dx0a x0dx0a需要注意的是,每個人的證書都只有在這個人第一次用EFS加密了文件的時候才會自動生成,新創建的用戶,如果還沒有加密過文件,是不會有證書的。因此我們應當先加密一些臨時文件,並立刻將證書備份起來,以便日後需要的時候還原。x0dx0a x0dx0a在Windows XP中,如果想要備份證書,可以這樣操作:x0dx0a x0dx0a1. 打開「開始」菜單,單擊「運行」,打開「運行」對話框,輸入「certmgr.msc」並回車,打開證書控制台。x0dx0a x0dx0a2. 在「證書控制台」窗口左側的樹形圖中依次展開到「證書當前用戶」「個人」「證書」,隨後在右側窗格中會看到當前用戶所有的個人證書。x0dx0a x0dx0a3. 這里需要注意,如果你還進行過其他需要證書的操作,例如訪問加密網站,或者使用網路銀行系統,這里可能會出現多個證書。我們需要的是「預期目的」被標記為「加密文件系統」的證書,在備份的時候記得不要選錯了。x0dx0a x0dx0a4. 找到要備份的證書後,在該證書上單擊滑鼠右鍵,指向「所有任務」,選擇「導出」,這將打開「證書導出」向導。x0dx0a x0dx0a5. 在向導的第一個界面上單擊「下一步」,隨後向導會詢問是否導出私鑰。因為我們需要備份該證書,方便日後恢復系統時解密文件,因此這里一定要選擇「是,導出私鑰」,然後單擊「下一步」。x0dx0a x0dx0a6. 隨後可以看到「導出文件格式」對話框。x0dx0a x0dx0a因為是用於加密文件系統的證書,因此證書的格式不可選擇,使用默認選項即可。但這里要介紹另外一個選項「如果導出成功,刪除密鑰」。選中該選項後,系統會在成功導出證書後自動將當前系統里的密鑰刪除,這樣加密的文件就無法被任何人訪問了。為什麼要這樣做?對於安全性要求較高的文件,我們可以把導出的證書利用U盤等移動設備保存並隨身攜帶,只在需要的時候才導入到系統中,平時系統中不保留證書,這樣可以進一步防止他人在未經授權的前提下訪問機密數據。設置好相應的選項後單擊「下一步」。x0dx0a x0dx0a7. 隨後我們需要為證書設置一個密碼。注意,這個密碼需要在導入證書的時候提供,並且為了安全,建議和自己的帳戶密碼設置不同。輸入好密碼後單擊「下一步」。x0dx0a x0dx0a8. 接著單擊「瀏覽」按鈕,為導出的證書選擇一個保存路徑和名稱,並單擊「下一步」。x0dx0a x0dx0a9. 復查所有設置,如果覺得一切無誤,就可以單擊「完成」按鈕,完成導出操作。x0dx0a x0dx0a在Windows Vista中,如果想要備份證書,可以這樣操作:x0dx0a x0dx0a1. 在Windows Vista中,當一個用戶第一次使用EFS加密文件或文件夾後,系統通知區域很快就會顯示一個圖標,並用氣泡通知提醒用戶注意備份自己的密鑰(如果第一次加密文件時沒有理會這個提示信息,那麼以後每次登錄系統後都可以看見,或者也可以直接運行certmgr.msc,按照上文介紹的Windows XP中的步驟操作)。x0dx0a x0dx0a2. 單擊該通知後,可以看到「加密文件系統」對話框,在這里我們有不同的操作可以選擇。x0dx0a x0dx0a3. 因為我們的目的是備份EFS加密證書,因此直接單擊「現在備份(推薦)」,隨後可以打開證書導出向導。x0dx0ax0dx0a導出的證書要記得保存在安全的地方,同時保險起見最好在不同地方保存多個副本。
2. SSL證書智能管理系統是怎麼管理證書密鑰的
可以上傳私鑰進行雲保護或采滲敬取本地自行保喊滑存。
解釋原因:
- SSL證書智能系統裡面都會保存給個證書的公共證書。
私鑰通常用戶為確保安全,自行保存到本地計算機。
如果怕SSL證書私鑰丟失,可以將私鑰上傳到系統鄭喊臘管理。
解決辦法:根據自身情況選擇保存私鑰。
3. https 證書 私鑰 公鑰
引言
使用HTTP(超文本傳輸)協議訪問互聯網上的數據是沒有經過加密的。也就是說,任何人都可以通過適當的工具攔截或者監聽到在網路上傳輸的數據流。但是有時候,我們需要在網路上傳輸一些安全性或者私秘性的數據,譬如:包含信用卡及商品信息的電子訂單。這個時候,如果仍然使用HTTP協議,勢必會面臨非常大的風險!相信沒有人能接受自己的信用卡號在互聯網上裸奔。
HTTPS(超文本傳輸安全)協議無疑可以有效的解決這一問題。所謂HTTPS,其實就是HTTP和SSL/TLS的組合,用以提供加密通訊及對網路伺服器的身份鑒定。HTTPS的主要思想是在不安全的網路上創建一安全信道,防止黑客的竊聽和攻擊。
SSL(安全套接層)可以用來對Web伺服器和客戶端之間的數據流進行加密。
SSL利用非對稱密碼技術進行數據加密。加密過程中使用到兩個秘鑰:一個公鑰和一個與之對應的私鑰。使用公鑰加密的數據,只能用與之對應的私鑰解密;而使用私鑰加密的數據,也只能用與之對應的公鑰解密。因此,如果在網路上傳輸的消息或數據流是被伺服器的私鑰加密的,則只能使用與其對應的公鑰解密,從而可以保證客戶端與與伺服器之間的數據安全。
數字證書(Certificate)
在HTTPS的傳輸過程中,有一個非常關鍵的角色——數字證書,那什麼是數字證書?又有什麼作用呢?
所謂數字證書,是一種用於電腦的身份識別機制。由數字證書頒發機構(CA)對使用私鑰創建的簽名請求文件做的簽名(蓋章),表示CA結構對證書持有者的認可。數字證書擁有以下幾個優點:
使用數字證書能夠提高用戶的可信度
數字證書中的公鑰,能夠與服務端的私鑰配對使用,實現數據傳輸過程中的加密和解密
在證認使用者身份期間,使用者的敏感個人數據並不會被傳輸至證書持有者的網路系統上
X.509證書包含三個文件:key,csr,crt。
key是伺服器上的私鑰文件,用於對發送給客戶端數據的加密,以及對從客戶端接收到數據的解密
csr是證書簽名請求文件,用於提交給證書頒發機構(CA)對證書簽名
crt是由證書頒發機構(CA)簽名後的證書,或者是開發者自簽名的證書,包含證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息
備註:在密碼學中,X.509是一個標准,規范了公開秘鑰認證、證書吊銷列表、授權憑證、憑證路徑驗證演算法等。
創建自簽名證書的步驟
注意:以下步驟僅用於配置內部使用或測試需要的SSL證書。
第1步:生成私鑰
使用openssl工具生成一個RSA私鑰
1$ openssl genrsa -des3 -out server.key 2048
說明:生成rsa私鑰,des3演算法,2048位強度,server.key是秘鑰文件名。
注意:生成私鑰,需要提供一個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之後,便可以創建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發送給證書頒發機構(CA),CA驗證過請求者的身份之後,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:
1$ openssl req -new -key server.key -out server.csr
說明:需要依次輸入國家,地區,城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持一致,否則會引起瀏覽器警告。
1
2
3
4
5
6
7
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:刪除私鑰中的密碼
在第1步創建私鑰的過程中,由於必須要指定一個密碼。而這個密碼會帶來一個副作用,那就是在每次Apache啟動Web伺服器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:
1
2
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自簽名證書
如果你不想花錢讓CA簽名,或者只是測試SSL的具體實現。那麼,現在便可以著手生成一個自簽名的證書了。
需要注意的是,在使用自簽名的臨時證書時,瀏覽器會提示證書的頒發機構是未知的。
1$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如伺服器認證,客戶端認證,或者簽署其他證書。當系統收到一份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,並且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統就自動信任新的證書。
第5步:安裝私鑰和證書
將私鑰和證書文件復制到Apache的配置目錄下即可,在Mac 10.10系統中,復制到/etc/apache2/目錄中即可。
4. 公鑰、私鑰、數字簽名和數字證書簡介
加密方式一共分為兩種 對稱加密 和 非對稱加密
加密和解密使用的是同一種密鑰。
這類加密演算法的優點是 計算量小,加密速度快,加密效率高
缺點也明顯,在傳輸數據前,雙方必須商定並且保存好密鑰,任何一方泄露了密鑰,加密信息就不再安全了。另外,每次使用對稱加密演算法時,都需要使用其他人不知道的唯一密鑰,這樣會使得雙方會擁有大量的密鑰,讓管理密鑰稱為一種負擔
非對稱加密需要兩個密鑰來進行加密和解密,這兩個密鑰分別稱為 公有密鑰 和 私有密鑰
這兩份鑰匙的使用是相互對應的。如果使用了公有密鑰加密文件,那麼解密就只能用對應的私密鑰匙才能解密,同理,如果用私密鑰匙加密了文件,那麼解密也只能使用對應的公有。
這里有一個缺點:因為乙的公鑰是公開的,所以有被人冒充甲方使用乙的公鑰發送請求。
解決方案:首先甲用自己的私鑰對消息進行加密,生成另一個密文,然後將密文發送給乙,乙收到消息之後,如果能用乙的公鑰解密,就說明這個消息確實是甲方發送的。
雖然上面的方法解決了身份認證的問題,但是由於所有人都有甲的公鑰,所以只要消息發送中途被截獲就一定能被解密;而且對文件加密可能是個耗時的過程,比如文件足夠大,那麼用私鑰加密整個文件以及拿到文件後解密的開銷無疑是巨大的。為了解決這兩個問題,於是有了數字簽名。
數字簽名的發送流程如下:
有了數字簽名,我們就可以驗證來源和消息的完整性。但是仍然還存在缺陷。假如存在第三人丙,偷偷在乙的電腦用自己的公鑰替換了甲的公鑰,然後用自己的私鑰給乙發送信息,這時乙收到的消息會以為是甲發送的。
為了解決這個問題,於是有了 數字證書
數字證書,就是為了解決,無法區分電腦中的密鑰歸屬的問題,其實就是給公鑰做個身份證,以便讓別人搞清楚公鑰到底是誰的.。
但仍然存在問題:假設有一萬個人,他們每個人都有CA的證書,那麼乙就要報關一萬份不同的CA公鑰來驗證這些人的身份。這是不可能的。
所以就有了"根證書"。根證書裡面存儲著CA公鑰來驗證所有CA頒發的數字證書,乙只需要保管一份根證書就可以驗證所有人的身份了。
以上
原文連接: https://blog.csdn.net/kswkly/article/details/83617944
5. Windows 系統EFS加密出了問題的解決方法
Windows 系統EFS加密出了問題怎麼辦呢?下面是我為大家整理的Windows 系統EFS加密出了問題的解決方法,歡迎閱讀。
備份加密證書
重新安裝系統後要打開加密文件的解決辦法
EFS加密原理
讓我們來簡單了解一下EFS是如何工作的。在EFS中,數據靠FEK(文件加密鑰匙)加密,而FEK跟用戶的公鑰一起加密保存;解密的時候順序剛好相反,首先用私鑰解密出FEK,然後用FEK解密數據。簡言之,系統是靠你的公鑰/私鑰(統稱密鑰)來加解密的。
那麼密鑰從何而來呢?密鑰是通過用戶的SID產生的。在Windows 2000/XP中,每一個用戶都有一個SID(安全標示符),首次使用EFS時,系統會根據SID首先生成密鑰。SID都是惟一的,如同人的指紋,因而用戶的密鑰也絕不會相同,這就保證了EFS加密的'可靠。目前,據官方消息說EFS還未證實被破解過。
需要注意的是,如果重新安裝了系統,就會產生一個新的SID,即使你安裝系統的時候採用的是原來的用戶名和密碼,也無法直接打開原來被加密的文件(夾)了,很多朋友經常由於忽略了這一點而導致數據損失。
備份密鑰
既然EFS採用加密密鑰來進行加解密,那麼只要加密密鑰存在,我們就能恢復數據。因此,將密鑰備份下來以作不時之需是最好的辦法。
點擊「開始→運行」,在「運行」對話框中輸入「certmgr.msc」打開證書管理器,打開「證書→當前用戶」下的「個人→證書」,只要你做過加密操作,右邊窗口就會有與用戶名同名的(如果有多份證書,選「預期目的」為「加密文件系統」)證書。
選中證書後點滑鼠右鍵,選「所有任務→導出」,在彈出的「證書導出向導」中,選擇「導出私鑰」,並按照向導的要求輸入密碼來保護導出的私鑰,最後存儲為一個PFX後綴的文件。
當加密文件的賬戶出現問題或重新安裝了系統後需要訪問或解密以前加密的文件時,只要使用滑鼠右鍵單擊備份的證書,選擇「安裝PFX」,系統將彈出「證書導入向導」,鍵入當初導出證書時輸入用於保護備份證書的密碼,然後選擇讓向導「根據證書類型,自動選擇證書存儲區」即可。完成後就可以訪問以前的加密文件了。
提示:需要注意的是,任何其他用戶只要獲得了你備份的證書,都可以對你的加密文件進行解密,因此一定要確保備份證書的安全性。
小知識
1.把未加密的文件復制到已經加密的文件夾中,這些文件會被自動加密。
2.若是將加密文件移動到NTFS分區上,數據會保留加密屬性;如果移動到FAT(FAT32)區上,這些數據將會被自動解密。另外,NTFS分區上保存的文件不能同時被壓縮和加密。
3.Windows的系統文件和系統文件夾不能被加密。
遠程FTP工具——tftp
FTP為一網路傳輸的協議,通過這個程序可以非常方便地FTP到對方的伺服器上進行文件的存取操作,省得再找如第三方的FTP軟體了,但可惜的是它是字元界面。
好用的聊天工具——winchat
上網免不了要同網友們聊上幾句,而有些專業的聊天程序使用起來太麻煩而且有些功能我們根本無需掌握!相信在Windows 2000中提供的這個小巧的聊天工具一定會給您帶來驚喜(如下圖)。
Windows升級程序——wupdmgr
我們在安裝完Windows後,在開始菜單的上方會有Windows Update菜單項,通過它能夠自動地登錄到Microsoft 公司的網站上(http://windowsupdate.microsoft.com/)完成自己Windows的升級工作,但時間一長,可能會把這個快捷方式誤刪除掉了,這時候我們就可以通過打開Windows下的Wupdmgr.exe文件來完成這個功能。
Windows是一個操作系統,但是它只是一個操作系統,只有充分地發揮出其內置的功能,才能夠更好地使用它,這真符合「基礎的未必是最壞的,回到基礎還是好的」的道理。希望本文能夠為的工作您帶來一些方便。另外,有些程序必須在DOS下運行,通過「開始」「運行」是不行的,必須先通過運行CMD命令(前面有介紹)進入DOS才行。
6. 建行 怎麼讓密鑰和證書一起導出
對於建行網銀證書來說,只有下載於瀏覽器中的軟文件證書才能導出,如果當時帶敏下載軟文件證書時選擇的是私鑰可導出,則證書可以導出備份,證書成功下載後,可以按以下步驟將證書導出備份。
證書導出步驟:
隨意打開一個網頁旦納,在頂端點擊工具Internet選項內容證書,在個人欄下方找到頒發者為ccbca的證書後,點擊導出,下一步選擇是,導出私鑰,默認私人信息交換,下一步須設置證書密碼。當系統提示指定要導出的文件名,請點擊瀏覽選擇存儲路徑(如U盤),再對您的證書進行命名。點擊保存後下一步系統會顯示此次備份的一些信息,點擊完成,您的證書就按要求備份在需要的位置了。建議您將證書備份在U盤里,以後證書損壞或換電腦後,可將U盤鏈接到電腦上,雙擊證書即可將證書導入電腦,繼續使用網銀進行交易。
今後證書損壞或更換電腦的情況下,可將備份的證書再導入電腦。
證書導入步驟:客戶可以在每次使用網銀前,將U盤鏈接到電腦上,雙擊備份的證書,然後按照證書導入向導提示操作,輸入證書密碼,並選擇啟用強私鑰保護和標志此密鑰為可導出的,再點擊下一步,直至系統提示您證書導入成功,即可將證書導入電腦。
另外,更換電腦後,請將原電腦中的原證書刪除,以保證賬戶資金安全。
證蠢遲枝書刪除步驟:使用完網銀後可將證書從電腦中刪除,隨意打開一個網頁,在頂端點擊工具Internet選項選擇內容里的證書找到頒發者為ccbca的證書後點擊刪除即可。下次可按同樣的步驟導入證書。