1. win7系统文件加密及其证书问题怎么解决
从windows 2000开始,微软为我们提供了一个叫做EFS的加密功能,通过该功能,我们可以将保存在NTFS分区上的文件加密,让别人无法打开。虽然该功能已经面世很长时间了,不过很多人因为对这个功能不了解,导致了很多数据丢失的情况发生。x0dx0a x0dx0a什么是EFS加密x0dx0a x0dx0a其实从设计上来看,EFS加密是相当安全的一种公钥加密方式,只要别人无从获得你的私钥,那么以目前的技术水平来看是完全无法破解的。和其他加密软件相比,EFS最大的优势在于和系统紧密集成,同时对于用户来说,整个过程是透明的。例如,用户A加密了一个文件,那么就只有用户A可以打开这个文件。当用户A登录到Windows的时候,系统已经验证了用户A的合法性,这种情况下,用户A在Windows资源管理器中可以直接打开自己加密的文件,并进行编辑,在保存的时候,编辑后的内容会被自动加密并合并到文件中。在这个过程中,该用户并不需要重复输入自己的密码,或者手工进行解密和重新加密的操作,因此EFS在使用时非常便捷。x0dx0a x0dx0a完全支持EFS加密和解密的操作系统包括Windows 2000的所有版本、Windows XP专业版(Professional)、Windows Vista商业版(Business)、企业版(Enterprise)和旗舰版(Ultimate)。Windows Vista家庭基础版(Home Basic)和家庭高级版(Home Premium)只能在有密钥的情况下打开被EFS加密的文件,但无法加密新的文件。x0dx0a x0dx0a为了向你介绍EFS加密功能的使用,下文会以Windows Vista旗舰版中的操作为例进行说明,同时这些操作也适用于Windows Vista商业版和企业版。其他支持EFS的Windows操作系统在细节上可能会有所不同。x0dx0a x0dx0aEFS加密和解密x0dx0a x0dx0a文件的加密和解密是很简单的,我们只需要在Windows资源管理器中用鼠标右键单击想要加密或解密的文件或文件夹,选择“属性”,打开“属性”对话框的“常规”选项卡,接着单击“高级”按钮,打开“高级属性”对话框。x0dx0a x0dx0a如果希望加密该文件或文件夹,请选中“加密内容以便保护数据”;如果希望解密文件或文件夹,请反选“加密内容以便保护数据”,然后单击“确定”即可;如果选择加密或解密的对象是一个包含子文件夹或文件的文件夹,那么单击“确定”后,我们将看到“确认属性更改”对话框。x0dx0a x0dx0a在这里,我们可以决定将该属性更改应用给哪些对象。例如,如果希望同时加密或解密该文件夹中包含的子文件夹和文件,可以选择“将更改应用于此文件夹、子文件夹和文件”;如果只希望加密或解密该文件夹,则脊型码可以选择“仅将更改应用于此文件夹”。x0dx0a x0dx0a默认情况下,被加密的文件或文件夹在Windows资源管理器中会显示为绿色,提醒我们注意。如果不希望使用这一特性,那么可以按照下列方法更改默认设置:x0dx0a1. 打开“计算机”“我的电脑”,如果是Windows Vista,请按下Alt键,打开菜单栏。x0dx0a2. 在菜单栏上依次单击“工具”“文件夹选项”,打开“文件夹选项”对话框,打开“查看”选项卡。x0dx0a3. 在高级设置列表中,取消对“用彩色显示加密或压缩的NTFS文件”这个选项的选择。x0dx0a4. 单击“确定”。x0dx0a x0dx0a证书的备份和还原x0dx0a x0dx0a很多人使用EFS加密的时候都吃了亏。上文已经介绍过,EFS是一种公钥加密体系,因此加密和解密操作都需要证书(也叫做密钥)的参与。例如很多人都是这样操作的:在系统中用EFS加密了文件,某天樱哪因为一些原租樱因直接重装了操作系统,并创建了和老系统一样用户名和密码的帐户,但发现自己之前曾经加密过的文件都打不开了。x0dx0a x0dx0a如果仅仅是设置过NTFS权限的文件,我们还可以让管理员获取所有权并重新指派权限,但对于EFS加密过的文件,那就一点办法都没有了,因为解密文件所需的证书已经随着系统重装灰飞烟灭,在目前的技术水平下,如果要在缺少证书的情况下解密文件,几乎是不可能的。x0dx0a x0dx0a所以要安全使用EFS加密,一定要注意证书的备份和还原,很多人正是因为不了解这个情况而吃亏。好在从Windows Vista开始,当我们第一次用EFS加密功能加密了文件后,系统会提醒我们备份自己的证书,而且操作也相对比较简单。x0dx0a x0dx0a下文会从证书的备份和还原两方面介绍如何在Windows XP和Windows Vista下进行操作。x0dx0a x0dx0a需要注意的是,每个人的证书都只有在这个人第一次用EFS加密了文件的时候才会自动生成,新创建的用户,如果还没有加密过文件,是不会有证书的。因此我们应当先加密一些临时文件,并立刻将证书备份起来,以便日后需要的时候还原。x0dx0a x0dx0a在Windows XP中,如果想要备份证书,可以这样操作:x0dx0a x0dx0a1. 打开“开始”菜单,单击“运行”,打开“运行”对话框,输入“certmgr.msc”并回车,打开证书控制台。x0dx0a x0dx0a2. 在“证书控制台”窗口左侧的树形图中依次展开到“证书当前用户”“个人”“证书”,随后在右侧窗格中会看到当前用户所有的个人证书。x0dx0a x0dx0a3. 这里需要注意,如果你还进行过其他需要证书的操作,例如访问加密网站,或者使用网络银行系统,这里可能会出现多个证书。我们需要的是“预期目的”被标记为“加密文件系统”的证书,在备份的时候记得不要选错了。x0dx0a x0dx0a4. 找到要备份的证书后,在该证书上单击鼠标右键,指向“所有任务”,选择“导出”,这将打开“证书导出”向导。x0dx0a x0dx0a5. 在向导的第一个界面上单击“下一步”,随后向导会询问是否导出私钥。因为我们需要备份该证书,方便日后恢复系统时解密文件,因此这里一定要选择“是,导出私钥”,然后单击“下一步”。x0dx0a x0dx0a6. 随后可以看到“导出文件格式”对话框。x0dx0a x0dx0a因为是用于加密文件系统的证书,因此证书的格式不可选择,使用默认选项即可。但这里要介绍另外一个选项“如果导出成功,删除密钥”。选中该选项后,系统会在成功导出证书后自动将当前系统里的密钥删除,这样加密的文件就无法被任何人访问了。为什么要这样做?对于安全性要求较高的文件,我们可以把导出的证书利用U盘等移动设备保存并随身携带,只在需要的时候才导入到系统中,平时系统中不保留证书,这样可以进一步防止他人在未经授权的前提下访问机密数据。设置好相应的选项后单击“下一步”。x0dx0a x0dx0a7. 随后我们需要为证书设置一个密码。注意,这个密码需要在导入证书的时候提供,并且为了安全,建议和自己的帐户密码设置不同。输入好密码后单击“下一步”。x0dx0a x0dx0a8. 接着单击“浏览”按钮,为导出的证书选择一个保存路径和名称,并单击“下一步”。x0dx0a x0dx0a9. 复查所有设置,如果觉得一切无误,就可以单击“完成”按钮,完成导出操作。x0dx0a x0dx0a在Windows Vista中,如果想要备份证书,可以这样操作:x0dx0a x0dx0a1. 在Windows Vista中,当一个用户第一次使用EFS加密文件或文件夹后,系统通知区域很快就会显示一个图标,并用气泡通知提醒用户注意备份自己的密钥(如果第一次加密文件时没有理会这个提示信息,那么以后每次登录系统后都可以看见,或者也可以直接运行certmgr.msc,按照上文介绍的Windows XP中的步骤操作)。x0dx0a x0dx0a2. 单击该通知后,可以看到“加密文件系统”对话框,在这里我们有不同的操作可以选择。x0dx0a x0dx0a3. 因为我们的目的是备份EFS加密证书,因此直接单击“现在备份(推荐)”,随后可以打开证书导出向导。x0dx0ax0dx0a导出的证书要记得保存在安全的地方,同时保险起见最好在不同地方保存多个副本。
2. SSL证书智能管理系统是怎么管理证书密钥的
可以上传私钥进行云保护或采渗敬取本地自行保喊滑存。
解释原因:
- SSL证书智能系统里面都会保存给个证书的公共证书。
私钥通常用户为确保安全,自行保存到本地计算机。
如果怕SSL证书私钥丢失,可以将私钥上传到系统郑喊腊管理。
解决办法:根据自身情况选择保存私钥。
3. https 证书 私钥 公钥
引言
使用HTTP(超文本传输)协议访问互联网上的数据是没有经过加密的。也就是说,任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候,我们需要在网络上传输一些安全性或者私秘性的数据,譬如:包含信用卡及商品信息的电子订单。这个时候,如果仍然使用HTTP协议,势必会面临非常大的风险!相信没有人能接受自己的信用卡号在互联网上裸奔。
HTTPS(超文本传输安全)协议无疑可以有效的解决这一问题。所谓HTTPS,其实就是HTTP和SSL/TLS的组合,用以提供加密通讯及对网络服务器的身份鉴定。HTTPS的主要思想是在不安全的网络上创建一安全信道,防止黑客的窃听和攻击。
SSL(安全套接层)可以用来对Web服务器和客户端之间的数据流进行加密。
SSL利用非对称密码技术进行数据加密。加密过程中使用到两个秘钥:一个公钥和一个与之对应的私钥。使用公钥加密的数据,只能用与之对应的私钥解密;而使用私钥加密的数据,也只能用与之对应的公钥解密。因此,如果在网络上传输的消息或数据流是被服务器的私钥加密的,则只能使用与其对应的公钥解密,从而可以保证客户端与与服务器之间的数据安全。
数字证书(Certificate)
在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢?
所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点:
使用数字证书能够提高用户的可信度
数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密
在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上
X.509证书包含三个文件:key,csr,crt。
key是服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密
csr是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名
crt是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息
备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。
创建自签名证书的步骤
注意:以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步:生成私钥
使用openssl工具生成一个RSA私钥
1$ openssl genrsa -des3 -out server.key 2048
说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。
注意:生成私钥,需要提供一个至少4位的密码。
第2步:生成CSR(证书签名请求)
生成私钥之后,便可以创建csr文件了。
此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书(很贵)。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名,具体操作如下:
1$ openssl req -new -key server.key -out server.csr
说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
1
2
3
4
5
6
7
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:删除私钥中的密码
在第1步创建私钥的过程中,由于必须要指定一个密码。而这个密码会带来一个副作用,那就是在每次Apache启动Web服务器时,都会要求输入密码,这显然非常不方便。要删除私钥中的密码,操作如下:
1
2
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自签名证书
如果你不想花钱让CA签名,或者只是测试SSL的具体实现。那么,现在便可以着手生成一个自签名的证书了。
需要注意的是,在使用自签名的临时证书时,浏览器会提示证书的颁发机构是未知的。
1$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
说明:crt上有证书持有人的信息,持有人的公钥,以及签署者的签名等信息。当用户安装了证书之后,便意味着信任了这份证书,同时拥有了其中的公钥。证书上会说明用途,例如服务器认证,客户端认证,或者签署其他证书。当系统收到一份新的证书的时候,证书会说明,是由谁签署的。如果这个签署者确实可以签署其他证书,并且收到证书上的签名和签署者的公钥可以对上的时候,系统就自动信任新的证书。
第5步:安装私钥和证书
将私钥和证书文件复制到Apache的配置目录下即可,在Mac 10.10系统中,复制到/etc/apache2/目录中即可。
4. 公钥、私钥、数字签名和数字证书简介
加密方式一共分为两种 对称加密 和 非对称加密
加密和解密使用的是同一种密钥。
这类加密算法的优点是 计算量小,加密速度快,加密效率高
缺点也明显,在传输数据前,双方必须商定并且保存好密钥,任何一方泄露了密钥,加密信息就不再安全了。另外,每次使用对称加密算法时,都需要使用其他人不知道的唯一密钥,这样会使得双方会拥有大量的密钥,让管理密钥称为一种负担
非对称加密需要两个密钥来进行加密和解密,这两个密钥分别称为 公有密钥 和 私有密钥
这两份钥匙的使用是相互对应的。如果使用了公有密钥加密文件,那么解密就只能用对应的私密钥匙才能解密,同理,如果用私密钥匙加密了文件,那么解密也只能使用对应的公有。
这里有一个缺点:因为乙的公钥是公开的,所以有被人冒充甲方使用乙的公钥发送请求。
解决方案:首先甲用自己的私钥对消息进行加密,生成另一个密文,然后将密文发送给乙,乙收到消息之后,如果能用乙的公钥解密,就说明这个消息确实是甲方发送的。
虽然上面的方法解决了身份认证的问题,但是由于所有人都有甲的公钥,所以只要消息发送中途被截获就一定能被解密;而且对文件加密可能是个耗时的过程,比如文件足够大,那么用私钥加密整个文件以及拿到文件后解密的开销无疑是巨大的。为了解决这两个问题,于是有了数字签名。
数字签名的发送流程如下:
有了数字签名,我们就可以验证来源和消息的完整性。但是仍然还存在缺陷。假如存在第三人丙,偷偷在乙的电脑用自己的公钥替换了甲的公钥,然后用自己的私钥给乙发送信息,这时乙收到的消息会以为是甲发送的。
为了解决这个问题,于是有了 数字证书
数字证书,就是为了解决,无法区分电脑中的密钥归属的问题,其实就是给公钥做个身份证,以便让别人搞清楚公钥到底是谁的.。
但仍然存在问题:假设有一万个人,他们每个人都有CA的证书,那么乙就要报关一万份不同的CA公钥来验证这些人的身份。这是不可能的。
所以就有了"根证书"。根证书里面存储着CA公钥来验证所有CA颁发的数字证书,乙只需要保管一份根证书就可以验证所有人的身份了。
以上
原文连接: https://blog.csdn.net/kswkly/article/details/83617944
5. Windows 系统EFS加密出了问题的解决方法
Windows 系统EFS加密出了问题怎么办呢?下面是我为大家整理的Windows 系统EFS加密出了问题的解决方法,欢迎阅读。
备份加密证书
重新安装系统后要打开加密文件的解决办法
EFS加密原理
让我们来简单了解一下EFS是如何工作的。在EFS中,数据靠FEK(文件加密钥匙)加密,而FEK跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。简言之,系统是靠你的公钥/私钥(统称密钥)来加解密的。
那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中,每一个用户都有一个SID(安全标示符),首次使用EFS时,系统会根据SID首先生成密钥。SID都是惟一的,如同人的指纹,因而用户的密钥也绝不会相同,这就保证了EFS加密的'可靠。目前,据官方消息说EFS还未证实被破解过。
需要注意的是,如果重新安装了系统,就会产生一个新的SID,即使你安装系统的时候采用的是原来的用户名和密码,也无法直接打开原来被加密的文件(夹)了,很多朋友经常由于忽略了这一点而导致数据损失。
备份密钥
既然EFS采用加密密钥来进行加解密,那么只要加密密钥存在,我们就能恢复数据。因此,将密钥备份下来以作不时之需是最好的办法。
点击“开始→运行”,在“运行”对话框中输入“certmgr.msc”打开证书管理器,打开“证书→当前用户”下的“个人→证书”,只要你做过加密操作,右边窗口就会有与用户名同名的(如果有多份证书,选“预期目的”为“加密文件系统”)证书。
选中证书后点鼠标右键,选“所有任务→导出”,在弹出的“证书导出向导”中,选择“导出私钥”,并按照向导的要求输入密码来保护导出的私钥,最后存储为一个PFX后缀的文件。
当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时,只要使用鼠标右键单击备份的证书,选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入用于保护备份证书的密码,然后选择让向导“根据证书类型,自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。
提示:需要注意的是,任何其他用户只要获得了你备份的证书,都可以对你的加密文件进行解密,因此一定要确保备份证书的安全性。
小知识
1.把未加密的文件复制到已经加密的文件夹中,这些文件会被自动加密。
2.若是将加密文件移动到NTFS分区上,数据会保留加密属性;如果移动到FAT(FAT32)区上,这些数据将会被自动解密。另外,NTFS分区上保存的文件不能同时被压缩和加密。
3.Windows的系统文件和系统文件夹不能被加密。
远程FTP工具——tftp
FTP为一网络传输的协议,通过这个程序可以非常方便地FTP到对方的服务器上进行文件的存取操作,省得再找如第三方的FTP软件了,但可惜的是它是字符界面。
好用的聊天工具——winchat
上网免不了要同网友们聊上几句,而有些专业的聊天程序使用起来太麻烦而且有些功能我们根本无需掌握!相信在Windows 2000中提供的这个小巧的聊天工具一定会给您带来惊喜(如下图)。
Windows升级程序——wupdmgr
我们在安装完Windows后,在开始菜单的上方会有Windows Update菜单项,通过它能够自动地登录到Microsoft 公司的网站上(http://windowsupdate.microsoft.com/)完成自己Windows的升级工作,但时间一长,可能会把这个快捷方式误删除掉了,这时候我们就可以通过打开Windows下的Wupdmgr.exe文件来完成这个功能。
Windows是一个操作系统,但是它只是一个操作系统,只有充分地发挥出其内置的功能,才能够更好地使用它,这真符合“基础的未必是最坏的,回到基础还是好的”的道理。希望本文能够为的工作您带来一些方便。另外,有些程序必须在DOS下运行,通过“开始”“运行”是不行的,必须先通过运行CMD命令(前面有介绍)进入DOS才行。
6. 建行 怎么让密钥和证书一起导出
对于建行网银证书来说,只有下载于浏览器中的软文件证书才能导出,如果当时带敏下载软文件证书时选择的是私钥可导出,则证书可以导出备份,证书成功下载后,可以按以下步骤将证书导出备份。
证书导出步骤:
随意打开一个网页旦纳,在顶端点击工具Internet选项内容证书,在个人栏下方找到颁发者为ccbca的证书后,点击导出,下一步选择是,导出私钥,默认私人信息交换,下一步须设置证书密码。当系统提示指定要导出的文件名,请点击浏览选择存储路径(如U盘),再对您的证书进行命名。点击保存后下一步系统会显示此次备份的一些信息,点击完成,您的证书就按要求备份在需要的位置了。建议您将证书备份在U盘里,以后证书损坏或换电脑后,可将U盘链接到电脑上,双击证书即可将证书导入电脑,继续使用网银进行交易。
今后证书损坏或更换电脑的情况下,可将备份的证书再导入电脑。
证书导入步骤:客户可以在每次使用网银前,将U盘链接到电脑上,双击备份的证书,然后按照证书导入向导提示操作,输入证书密码,并选择启用强私钥保护和标志此密钥为可导出的,再点击下一步,直至系统提示您证书导入成功,即可将证书导入电脑。
另外,更换电脑后,请将原电脑中的原证书删除,以保证账户资金安全。
证蠢迟枝书删除步骤:使用完网银后可将证书从电脑中删除,随意打开一个网页,在顶端点击工具Internet选项选择内容里的证书找到颁发者为ccbca的证书后点击删除即可。下次可按同样的步骤导入证书。