| RSA算法 | 您所在的位置:网站首页 › 如何生成rsa公私钥 › RSA算法 |
RSA算法
|
前言: PEM是OpenSSL和许多其他SSL工具的标准格式,OpenSSL 使用PEM 文件格式存储证书和密钥。这种格式被设计用来安全的包含在ascii甚至富文本文档中,如电子邮件。这意味着您可以简单的复制和粘贴pem文件的内容到另一个文档中。 PEM文件是Base64编码的证书。PEM证书通常用于web服务器,因为他们可以通过一个简单的文本编辑器,很容易地转换成可读的数据。通常当一个PEM编码在文本编辑器中打开文件,它会包含不同的页眉和页脚。 -----BEGIN CERTIFICATE REQUEST----- and -----END CERTIFICATEREQUEST----- CSR(证书签名请求) -----BEGIN RSA PRIVATE KEY----- and -----END RSA PRIVATEKEY----- 私钥 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 证书文件 PKCS #8: Private-Key Information Syntax(语法) Standard(标准) OpenSSL:是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。 一、OpenSSL生成pem格式公私钥 1、生成RSA私钥openssl genrsa -out rsa_private_key.pem 1024 该命令会生成1024位的私钥,运行,如下图: 生成私钥文件rsa_private_key.pem,内容如下: 用记事本方式打开它,可以看到-----BEGIN RSA PRIVATE KEY-----开头,-----END RSA PRIVATE KEY-----结尾的字符串,这个就是原始的私钥。 备注:若运行openssl.exe,会进入OpenSSL命令行界面,此时输入命令时,则无需再写openssl。 2、RSA私钥转换成PKCS8格式 openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -out rsa_private_key_01.pem -nocrypt
打开生成的文件后可以看到,控制台打印出的内容,-----BEGIN PRIVATE KEY-----开头,-----END PRIVATE KEY-----结尾的字符串,这个就是PKCS#8格式的私钥。 3、生成RSA公钥 openssl rsa -in rsa_private_key.pem-pubout -out rsa_public_key.pem 运行,如下图:
生成公钥文件rsa_public_key.pem, 打开它,可以看到-----BEGIN PUBLIC KEY-----开头,-----END PUBLIC KEY-----结尾的字符串,这个就是公钥。 4、Java使用pem文件内容,示例代码 1)私钥签名 a)获取私钥 //获取KeyFactory,指定RSA算法 KeyFactorykeyFactory = KeyFactory.getInstance("RSA"); //将BASE64编码的私钥字符串进行解码 BASE64Decoderdecoder = newBASE64Decoder(); byte[] encodeByte = decoder.decodeBuffer(priKey); //将BASE64解码后的字节数组,构造成PKCS8EncodedKeySpec对象,生成私钥对象 PrivateKeyprivatekey = keyFactory.generatePrivate(new PKCS8EncodedKeySpec(encodeByte));
b)使用私钥,对数据进行签名 //获取Signature实例,指定签名算法(本例使用SHA1WithRSA) Signaturesignature = Signature.getInstance("SHA1WithRSA"); //加载私钥 signature.initSign(privatekey); //更新待签名的数据 signature.update(plain.getBytes("UTF-8")); //进行签名 byte[] signed = signature.sign(); //将加密后的字节数组,转换成BASE64编码的字符串,作为最终的签名数据 BASE64Encoderencoder = newBASE64Encoder(); return encoder.encode(signed); 2)公钥验签 a)获取公钥 //获取KeyFactory,指定RSA算法 KeyFactorykeyFactory = KeyFactory.getInstance("RSA"); //将BASE64编码的公钥字符串进行解码 BASE64Decoderdecoder = newBASE64Decoder(); byte[] encodeByte = decoder.decodeBuffer(pubKey); //将BASE64解码后的字节数组,构造成X509EncodedKeySpec对象,生成公钥对象 PublicKeypublicKey = keyFactory.generatePublic(new X509EncodedKeySpec(encodeByte));
b)使用公钥,进行验签 //获取Signature实例,指定签名算法(与之前一致) Signaturesignature = Signature.getInstance("SHA1WithRSA"); //加载公钥 signature.initVerify(publicKey); //更新原数据 signature.update(plain.getBytes("UTF-8")); //公钥验签(true-验签通过;false-验签失败) BASE64Decoderdecoder = newBASE64Decoder(); returnsignature.verify(decoder.decodeBuffer(sign)); 备注: 验签时,签名数据需要先BASE64解码 附:遇到的问题:在RSA加解密验证时,使用私钥无法生成签名,报algid parse error, not a sequence错误原因:私钥在使用前为pkcs1格式,而java在不引用第三方包的情况下无法直接使用pkcs1格式的秘钥,需要将其转化为pkcs8编码解决方案:使用openssl(官网:https://www.openssl.org/source/)将私钥进行pkcs8编码,将秘钥文件拷贝到openssl安装目录中,打开cmd命令进入该目录,执行命令:openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -out rsa_private_key_01.pem -nocrypt其中rsa_private_key.pem表示原私钥文件,rsa_private_key_01.pem表示pkcs8编码后的私钥文件。注:目前网上还没找到java在不使用第三方jar包的情况下处理pkcs1格式私钥的解决方案。绝大多数都是使用openssl工具将秘钥文件处理为pkcs8编码后再进行操作。 |
【本文地址】