分类
知识中心

SSL证书助力构建数字化时代网络安全防线

《中华人民共和国网络安全法》(以下简称“《网络安全法》”)于2017年6月1日施行,至2023年6月1日已正式实施六周年。

过去的六年间,国家相继颁布了《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等网络安全领域的法律法规,对于网络安全建设和发展起到了重要的引领作用,让“没有网络安全就没有国家安全”的理念深入人心。

从全球范围看,网络安全牵一发而动全身。随着技术和安全威胁的不断更新,各领域对网络基础设施、个人信息的保护措施也在逐步增强,对广大国内企业而言,通过为服务器部署SSL证书构建网络安全体系,是对《网络安全法》的有效践行。

SSL证书为数据传输建立加密通道

《网络安全法》第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求,履行数据安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

在网络安全建设和企业数字化转型过程中,依托SSL证书对传输信息加密是网络安全非常基础且重要的一环。SSL证书具有网站身份验证和信息加密传输双重功能,可防止网络数据泄露或被窃取、篡改,有效防范网络攻击、非法侵入等风险。

SSL证书由受信任的CA机构在验证服务器身份后颁发。天威诚信是工信部许可设立的全国性CA机构,早在2000年便将DigiCert认证业务引入中国,开启为中国用户提供网络认证服务的先河。多年来,天威诚信依托服务于全行业95%以上大客户的经验,持续为广大企业提供全球信任CA机构的全类型SSL证书及认证服务,为企业网站信息安全保驾护航。

可靠的双向验证与用户信息保护

《网络安全法》第二十四条规定:国家实施网络可信身份战略,网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户使用服务器不提供真实身份信息的,网络运营者不得为其提供相关服务。

SSL证书可通过双向验证的方式确保服务端和客户端的通信安全。作为一种高效的身份验证方式,SSL双向验证通过一个客户端证书和一个服务器证书来实现,可以让数据在传输过程中实现完全加密以及通信双方的身份可信。

SSL双向验证虽然需要付出额外的成本,但对于特定的应用场景,如涉及金融业务、医疗信息等敏感数据的处理,SSL双向验证仍然是一种非常有效的安全措施。

《网络安全法》第四十二条规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

任何一个网络运营者,都必须为其用户信息的完整性负责。在保护网站用户信息不被泄露、篡改或窃取方面,为网站服务器部署SSL证书开启HTTPS加密协议十分重要。天威诚信提供的全球可信SSL证书,可为各网络运营者开启HTTPS加密绿色通道,防止信息泄露,保障用户敏感信息安全。

伴随《网络安全法》等法律法规的深入实施,加强网络信息安全保护已成为广大企业和用户的共识,天威诚信将立足SSL证书和网络可信认证服务循序构建网络信任体系,持续提升网络安全保障能力,积极践行“数字世界秩序守护者”的使命,护航全行业数字化转型。

分类
公司新闻

天威诚信“云安全合规”闭门交流会在京召开

4月21日下午,由天威诚信主办的“云安全合规”闭门交流会在北京万豪酒店成功召开,会议汇聚了来自阿里云、京东云、金山云、火山引擎、亚马逊等国内外主流云平台代表,共同探讨云安全发展中的合规建设问题,天威诚信首席安全官李延昭出席会议并发表主题演讲,天威诚信国际认证事业部总监安垠主持会议。

天威诚信“云安全合规”闭门交流会在京召开-1

会议同时邀请到了多位来自各关键领域的专家、学者,通过聚焦“云安全合规”这一主题,专家们结合行业发展特点与应用实践,以主题演讲的方式,就云安全合规建设和发展趋势分享经验、建言献策。

中国信通院云大所专家徐秀在主题为《云密码应用与测评研究》的演讲中指出,作为云服务的重要组成部分,云密码通过提供真实性、机密性、完整性、不可否认性四个密码安全功能,保障云平台及云产品应用、安全网络通信、云租户、运维管理等环节的安全。项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,通过同步规划、同步建设、同步运行密码保障系统并定期进行评估,构建适应云架构的密码基础设施,保障云平台的安全合规。

北京德恒律师事务所合伙人、网络与数据研究中心主任张韬从法律维度出发,进行了主题为《大数据时代的数据合规—立法与实务热点解析》的分享。通过对业内典型案例和合规风险点的分析,张韬阐述了现有法律体系对云安全合规建设的监督与推动作用,明确了云平台建设和应用过程中的法律责任。

同时,通过对《个人信息保护法》以及“数据二十条”的专业解读,张韬提出了在遵循各项法律法规基础上,云平台及其他企业合规体系的建设重点,具有十分重要的指导意义。

在主题为《中国商用密码算法公共可信证书体系建设发展趋势》的演讲中,李延昭将欧洲、北美和中国的信任体系模式进行了对比分析,诠释了公共可信证书的核心价值,即“更高的服务水平、更高的责任承担”,并由此提出,当前建设国产密码算法的服务器证书信任体系是我国网络信任体系的重要组成部分,是全面提升我国网络安全保障能力的重要抓手。

李延昭通过国密算法证书在互联网平台服务商、云服务商、政府和企业的应用实践,展示了天威诚信在推进国密算法证书应用方面的改造能力和适配的解决方案,通过研发国产密码算法的开源密码库和CA 基础设施改造,天威诚信致力于打造国产密码算法服务器证书的产业链,促进国密生态环境的形成。

亚马逊云科技首席安全布道师江学森在会上做了主题为《亚马逊云安全背后的细节》的演讲,江学森开篇介绍了贯穿亚马逊业务全流程的安全文化,通过亚马逊首创的安全责任共担模型,展示了亚马逊在推动安全及合规方面的建设思路和现行制度,并通过与国内其他云平台合规建设的对比,深度诠释了亚马逊“云中的安全”和“云自身的安全”两大建设和运营核心。
江学森重点提及,在云安全合规建设中,亚马逊云科技可提供280多项安全、合规服务及功能,覆盖威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规五大领域,切实保障“云上安全”与合规发展。

闭门会上,围绕当下行业热点话题和云平台安全合规建设等议题,来自各大主流云平台产品运营和风控领域的专家展开了热烈讨论,会议重点关注了“企业级专有云如何部署”“云厂商如何兼顾企业的国产化安全保障手段”“云厂商内部数据安全与合规应用”等合规发展方向。

在云计算和大数据持续深入企业数字基础设施的今天,数字安全成为小微企业数字化发展的关键。天威诚信以电子认证服务在云安全与数据安全领域的研究及实践为依托,积极协同各大云平台、厂商和生态合作伙伴,持续深化云安全合规建设与企业数字化转型服务,通过打造云计算安全保障体系,坚持以安全合规之盾全方位护航企业数字化转型和高质量发展。

分类
公司新闻

天威诚信提供双算法SSL证书最佳解决方案

SSL证书是提升网站服务器防护能力的重要措施,也是在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

伴随着国际算法SSL证书的市场增长,国家层面也在持续推进国密算法应用建设,相继颁布了一系列法律法规。尤其是2020年《中华人民共和国密码法》的施行,标志着我国在密码的应用和管理等方面有了统一针对性的法律保障,也意味着SSL证书国产化成为必然趋势。

但在实际应用中,金融、政务、电商等领域企业在部署SSL证书时面临多重考量因素。既要能达到数据审核不出境、数据安全受保障、密码算法合规定,还能做到与主流应用/浏览器兼容,以保障业务的连续性。

参考遵循国家密码管理及信创产品等多项规范标准,依据客户实际需求,天威诚信基于坚实的密码技术和数字证书服务经验,在推进国产密码算法应用的同时,适时推出国产/国际双算法证书自适应解决方案,以满足企业数据传输加密与国密算法合规等要求。

-1

双算法证书由一张国际算法证书和一张国密算法证书组成,可兼顾国密合规性和全球通用性。在客户端环境支持国产密码算法时,自动选择国产密码算法SSL证书;在客户端环境仅支持国际算法时,自动选择国际算法SSL证书。通过国产密码算法与国际密码算法无缝切换应用,满足企业在不同场景、条件下的应用。

天威诚信是国内可信网络安全认证服务商,同时也是制定国密SM算法服务器证书体系标准课题研究的牵头单位之一。在探索国密算法应用过程中,天威诚信自主建设的vTrus系列SSL证书已广泛应用于政府、电信、金融、能源等重点行业和关键领域,帮助企业实现轻量化国密改造

截至目前,天威诚信vTrus国密算法自主根和国家根下的二级根已通过奇安信、麒麟操作系统、统信操作系统联合认证,并实现了在360、红莲花、赢达信、零信等主流国产浏览器的预埋,有力推动了国密算法生态建设。

在国家的大力支持下,市场上将会出现越来越多可用、好用的国产化产品和应用,天威诚信也将在夯实现有业务的基础上,携手更多业内机构,积极推进国密算法应用落地,提供满足不同用户需求的SSL证书及证书全生命周期管理服务。

分类
知识中心

TLS握手的过程

1.客户端问候:客户端向服务器发送通信请求时,会出现客户端问候。TLS版本、支持的密码套件以及称为“客户端随机数”的随机字节字符串包含在hello中。

2.服务器问候:在服务器问候中,服务器确认客户端问候。然后,它确保它使用的是与客户端TLS版本兼容的TLS版本,从客户端提供的密码套件中选择兼容的密码套件,并将其证书、服务器随机(类似于客户端随机数)和公钥发送到客户端。

3.证书验证:客户端首先通过证书颁发机构检查服务器证书的有效性。证书颁发机构(CA)是一个高度受信任的实体,负责签署和生成数字证书

4.预主字符串:然后客户端使用服务器的公钥加密一个随机的字节串,称为“预主字符串”,并将其发送回服务器。这可确保只有服务器可以使用自己的私钥解密密钥,从而充当另一个安全级别。

5.会话密钥创建:服务器解密预主密钥,然后客户端和服务器都从客户端随机数、服务器随机数和预主字符串创建会话密钥。

6.完成消息传递:然后客户端和服务器相互发送消息,说他们已经完成了密钥的创建,并且他们相互比较密钥。如果会话密钥匹配,则TLS握手完成,会话密钥用于加密和解密服务器和客户端之间发送的任何数据。

创建后,证书可用于服务器、客户端或其他设备的身份验证。证书被视为在特定时间段内有效,并在该时间范围之后过期。证书遵循恒定的生命周期,其中包括创建、续订、暂停、过期等阶段。如果证书过期,则证书持有者将不再受信任,从而导致正在使用的网站或设备的服务丢失。要获得证书,用户或网站必须首先通过证书颁发机构或自己签名。

分类
知识中心

Nginx实现OCSPStapling的方法

OCSP(OnlineCertificateStatusProtocol,在线证书状态协议)是用来检验证书合法性的在线查询服务,一般由证书所属CA提供。

在实际应用中,某些客户端会在TLS握手阶段进一步协商时,实时查询OCSP接口,并在获得结果前阻塞后续流程。OCSP查询本质是一次完整的HTTP请求—响应,这中间DNS查询、建立TCP、服务端处理等环节都可能耗费很长时间,导致最终建立TLS连接时间变得更长。

而OCSPStapling,是指服务端主动获取OCSP查询结果并随着证书一起发送给客户端,从而让客户端跳过自己去验证的过程,提高TLS握手效率。

那么,在我们常用的Nginx模式下,如何实现OCSPStaplin呢?小威将从四个方面为您讲述。

  一、要求

Nginxversion1.3.7以上

  二、自动OCSPStapling

1、在Nginx.conf添加如下到您的https配置下

ssl_staplingon;

ssl_stapling_verifyon;

resolver8.8.8.88.8.4.4valid=300s;

resolver_timeout5s;

ssl_trusted_certificateca.pem;

其中ca.pem为证书链中两张中级CA证书

2、验证OCSPStapling状态

openssls_client-connectlocalhost:443-tlsextdebug–status

已开启

OCSPresponse:

OCSPResponseData:

OCSPResponseStatus:successful(0x0)ResponseType:BasicOCSPResponse

……

未开启

OCSPresponse:noresponsesent

  三、手动OCSPStapling

1、获取OCSP地址

opensslx509-inserver.pem-noout-ocsp_uri

2、生成stapling.ocsp

opensslocsp-CAfile root.pem-issuer ca.pem-cert server.pem-urlhttp://ss.symcd.com-text-respout./stapling.ocsp

其中root.pem为两张中级CA证书和顶级根证书,ca.pem为两张中级CA证书,server.pem为服务器证书,顶级根证书请联系技术人员获取(下载连接:xx)。

注:stapling.ocsp需每次在update到期之前更新

3、在Nginx.conf添加如下内容到您的https配置下

ssl_staplingon;

ssl_stapling_verifyon;

resolver8.8.8.88.8.4.4valid=300s;

resolver_timeout5s;

ssl_trusted_certificateca.crt;

ssl_stapling_filestapling.ocsp;

其中ca.pem中为两张中级CA证书。

4、验证OCSPStapling状态

openssls_client-connectlocalhost:443-tlsextdebug–status

已开启

OCSPresponse:

OCSPResponseData:

OCSPResponseStatus:successful(0x0)ResponseType:BasicOCSPResponse

……

未开启

OCSPresponse:noresponsesent

  四、启用OCSPStapling的条件

在Nginx中配置ssl_staplingon并reload后,Nginx并不会马上获取OCSPResponse,它要等第一个请求过来,再发起异步OCSP请求,所以刚开始几个响应,很可能不带OCSPStapling。另外,有时候由于OCSP域名无法解析,或者服务器无法访问造成OCSPResponse获取失败,也会导致OCSPStapling无法生效。

分类
公司新闻

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖

日前,全球领先的数字信任提供商DigiCert在马来西亚吉隆坡君悦酒店召开“2022年亚太区合作伙伴会议”。来自美国、日本、澳大利亚、韩国等多国DigiCert高管和合作伙伴齐聚一堂,共创数字信任与网络安全新生态。

作为DigiCert中国市场坚实可靠的合作伙伴,天威诚信受邀出席会议,并揽获2022年度最佳合作伙伴、年度卓越销售业绩奖等三项重量级大奖。

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖-1

年度最佳合作伙伴是DigiCert战略合作模式中的最高资质,天威诚信是亚太地区该荣誉的唯一获得者,充分展现了天威诚信携手DigiCert在证书服务方面的突出优势和特殊贡献,印证了天威诚信的企业实力以及DigiCert对天威诚信的信赖和认可。

年度杰出销售业绩奖则是DigiCert颁发给年度销售业绩超百万美元机构的荣誉奖项。自从与DigiCert建立合作关系以来,天威诚信已多次获得该奖项,展示了天威诚信在亚太地区服务器证书市场中的极高占有率,以及市场、行业、客户对天威诚信在证书服务领域的长期高度认同。

天威诚信国际认证事业群总监安垠代表公司参加了会议。安垠表示,自2000年天威诚信将DigiCert TLS证书引入中国以来,双方在合作过程中积累了丰富的行业最佳实践,共同打造了完善的联合服务机制,依托证书服务持续为国内用户提供安全可靠的数字信任建设方案,赋能千行百业的数字化转型。

会上,双方就今后的重点合作方向达成了一致。安垠表示,天威诚信正积极布局推动与DigiCert在数字证书自动化等领域的深入合作,以更好地满足客户数字化转型需求,推动数字经济蓬勃发展。

DigiCert高管对天威诚信在中国市场取得的成就表示祝贺,并表示作为大客户覆盖率超过95%的CA机构,天威诚信拥有丰富的应对和解决各种复杂及突发情况的专业服务经验,并能够根据中国本地合规的要求,为国内企业和个人提供证书生命周期管理服务,将信任扩展到供应链和互联生态系统。

双方一致认为,伴随着中国企业数字化转型进程的加快,今后更需立足资源禀赋与服务优势,共同携手为中国企业的数字化转型聚势赋能,通过提供更有效的数字信任解决方案,同时进一步夯实本地化服务,实现应用场景快速落地,为更广泛的企业与个人的数字安全保驾护航。

分类
公司新闻

天威诚信国密SSL改造方案助力200余家头部企业

在信息化、网络化、数字化高度发达的今天,密码技术已经渗透到了社会生产生活各个方面。

国密改造,大势所趋

我国近年来陆续发布实施了《网络安全法》《密码法》《关键信息基础设施安全保护条例》《数据安全法》等法律法规,在为承载我国国计民生的重要网络信息系统的安全提供法律保障的同时,也在不断推进密码国产化的深入应用。

随着互联网应用拓展到全行业全社会的覆盖,推进国密算法应用与国密改造成为全行业的大势所趋和必然要求。

国密算法是指由国家密码管理局及其密码管理标准委员会制定的一系列算法。其中包括了对称加密算法,椭圆曲线非对称加密算法,杂凑算法,具体包括SM1、SM2、SM3、SMS4等。

天威诚信国密SSL改造方案助力200余家头部企业-1

国密改造”是指信息系统通过更新目前的密码技术、产品、服务,满足《中华人民共和国密码法》、GB/T39786-2021《信息安全技术信息系统密码应用基本要求》等国家发布的密码相关法律、政策、标准等,以实现密码的自主可控。

目前不少企业、机构信息系统存在国产算法密码应用不合规、未使用、或者使用不规范等问题,“国密改造”能够有效提升信息系统的安全属性,如何平稳推进国产密码改造,是众多企业、机构迫在眉睫需要解决的问题。

广泛应用的SSL证书国密改造方案

作为制定SM算法服务器证书体系标准课题研究的牵头单位之一,天威诚信始终拥护国家政策,积极配合国产密码算法的推进和国密改造工作。

早在2012年,天威诚信自主研发的支持SM2算法的电子认证服务系统/密钥管理系统便顺利通过国家密码管理局的安全性审查,其后推出的vTrus系列SSL证书也广泛应用于政府、电信、金融、能源等重点行业和关键领域,切实推动各行业国密改造工作落地,保障客户信息安全。

天威诚信在多年的实践中逐步形成了对开源软件中间件的国密算法改造技术方案,方案中包含硬件网关设备、软件Nginx国密兼容服务端、移动端SDK、报文签名验签等能力,可为企业提供以服务器证书为核心的国密改造解决方案,在天威诚信的助力下,目前已有数十个行业的200多家头部企业完成国密改造

同时,结合不同行业客户要求,天威诚信可提供国际可信的RSA算法证书+国密标准SM2算法证书的“双证书”改造方案。用户通过国际浏览器访问自动适配RSA算法证书,通过国密浏览器自动适配SM2算法证书,以此保障网站系统的稳定性和业务的连续性,实现国密改造的平滑过渡。

国密算法是我国在密码核心领域自主研发的技术成果,在应用环境不可控的情况下,使用自主可控的国产密码技术加密数据是保护我国网络信息安全最有效的方式。天威诚信将继续紧贴国家政策和市场需求,依托在国密算法领域的服务经验,为更多行业客户提供国密改造服务,为保障我国网络空间安全可信、自主可控做出更多努力和贡献。

分类
公司新闻

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫

银保监会办公厅近日向各银保监局、各大型银行、股份制银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。

《通知》旨在督促银行保险机构建立健全消费者个人信息保护工作机制。对于整治发现的问题,银行保险机构要逐一建档,确保整改到位、问责到位。对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。

根治乱象,实现密码自主可控是核心

从《通知》内容可见监管部门保护金融领域网络信息安全的决心。在金融科技快速发展的数字经济时代,金融行业数智化程度日益加深的同时,行业重要数据和个人信息安全问题也日趋严峻,成为国家监管部门和全社会共同关心的话题。

长期以来,国家层面高度重视金融领域信息安全工作。作为保障网络与信息安全的核心技术和基础支撑,密码技术已广泛应用于金融领域的身份认证、数据加密校验等各个环节,成为维护金融行业网络安全与数据安全的最重要手段之一,而从长远来看,密码技术的自主可控程度则决定着整个金融行业的安全基础是否牢靠。

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫鉴于密码技术在算法、协议、密钥等多个维度的重要作用,在金融领域使用由我国自主设计的以国密SM2为核心的系列算法,成为保障金融行业网络安全和创新发展的必然选择,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行、金融机构稳健运行的又一重要隐患,金融领域实施国密改造已刻不容缓。

国密改造,提升信息安全自主可控能力

为保障金融领域重要数据和用户信息安全,推进金融业务的安全快速发展,天威诚信依托深耕密码领域的技术优势和行业经验,结合金融机构在国密算法改造过程中遇到的问题,推出了适用金融行业的覆盖软硬件一体化的改造方案。

方案包括服务器证书、客户端证书、统一身份认证系统、签名验签服务、国密浏览器、国密安全网关等多种产品和服务,保障客户重要信息系统全面支持SM2、SM3、SM4等国产密码算法的应用,以及业务系统通信数据安全,提升金融行业信息安全的自主可控能力,同时满足金融领域国密政策安全监管要求。

目前,由天威诚信主导和参与的成功改造案例涵盖银行、互联网金融、期货、保险、证券、第三方支付等金融场景,可有效解决金融机构在身份认证、数据存储、数据传输过程中面临的安全问题,并通过轻量化、集成化、定制化的改造方式,充分满足金融机构对国密改造的不同需求。

随着国产密码在金融领域的应用不断深入,天威诚信将继续紧贴政策导向和市场需求,持续为金融领域的国密改造提供安全可靠的解决方案,同时加强与生态伙伴的紧密合作,推动国产密码在各重要领域的落地应用,为关键信息基础设施安全筑牢屏障。

分类
公司新闻

天威诚信国密改造持续推进中

随着网络购物、移动支付、金融理财等场景的普及盛行,大量个人金融信息留存在各金融类服务平台中。高频、高速、高密度的个人金融信息在不同渠道传输,个人数据违法获取、违规泄露等侵害用户权益的情况屡有发生。

天威诚信国密改造持续推进中
为保护金融领域数据安全,银保监会在2022年5月19日发布了《银行保险机构消费者权益保护管理办法征求意见稿》,其中包括对于个人信息保护机制的要求,“从收集、使用、传输消费者个人信息等方面作出规定,保护消费者信息安全权。”

然而,我国个人信息泄露现状仍需重视。据微众银行近日发布的《ESG丨个人信息保护专题研究报告》显示,82.5%的用户遭遇过个人信息泄露事件,其中12.9%的用户遭遇了10次以上的个人信息泄露,频繁的电话骚扰和数据失窃,给用户和金融机构造成了诸多困扰。

在数字经济“数据为王”的时代背景下,个人金融信息的经济价值日益凸显。与其他个人信息相比,个人金融信息具有高价值的特点,若因网络黑客攻击导致用户信息泄露,或由此关联到银行或者国家关键基础设施建设的安全,将会造成无法估量的损失。

在保护金融机构等国家关键基础设施建设安全方面,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强金融行业安全可控的要求。国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的首选措施之一,也是我国从根本上实现信息化产业完全自主可控的安全基础。

作为电子认证机构这个国产密码算法排头兵来说,由于密码服务是信息化安全建设的基础服务,密码的国产化改造和推广就成为电子认证机构重要的历史使命。鉴于金融机构往往存在分支机构多、渠道多、业务场景多的特点,在网络层及应用层实施全面的数据国密改造仍存在较大的困难。

天威诚信作为深耕国密改造领域多年的全国性电子认证机构,同时也是制定SM算法服务器证书体系标准课题研究的牵头单位之一,早在2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查并获得商用密码产品型号证书。

通过结合金融行业客户国密改造需求,依托密码与数据加密技术,天威诚信可从算法、协议、密钥等多个方面为金融机构提供一站式全面国密改造方案,方案支持SM2/SM3/SM4等国密算法,可有效解决金融系统服务端和客户端在身份认证、数据存储、数据传输过程中面临的安全问题。

目前,天威诚信国密改造方案已在银行、互联网金融、期货、保险、证券、第三方支付等金融场景中得到深入应用,未来天威诚信将继续立足在国密改造领域的技术优势,通过赋能多元化金融场景,加速推进金融行业国密改造工作,为金融机构数据安全和高质量发展保驾护航。

分类
知识中心

SSL证书格式

SSL证书实质上是X.509证书。X.509是定义证书结构的标准。它定义应包含在SSL证书中的数据字段。X.509使用ASN.1的形式语言来表示证书的数据结构。

X.509证书有不同格式,如PEM、DER、PKCS#7和PKCS#12。PEM和PKCS#7格式使用Base64ASCII编码,而DER和PKCS#12使用二进制编码。证书文件根据其使用的格式和编码具有不同的扩展名。

证书格式
PEM格式

大多数CA(证书颁发机构)在Base64 ASCII编码文件中提供PEM格式的证书。证书文件类型可以是.pem、.crt、.cer或.key。.pem文件可以在单个文件中包含服务器证书、中间证书和私钥。服务器证书和中间证书也可以位于单独的.crt或.cer文件中。私钥可以位于.key文件中。

PEM文件使用ASCII编码,因此您可以在任何文本编辑器(如记事本,MSWord等)中打开它们。PEM文件中的每个证书都包含在—-BEGIN CERTIFICATE—-和—-END CERTIFICATE—-语句之间的—-。私钥包含在—–BEGIN RSA PRIVATE KEY—–和—–END RSA PRIVATE KEY—–语句之间。CSR包含在—–BEGIN CERTIFICATE REQUEST—–和—–END CERTIFICATE REQUEST—–语句之间。

PKCS#7格式

PKCS#7格式是加密消息语法标准。PKCS#7证书使用文件扩展名为.p7b或.p7c的Base64ASCII编码。只能以这种格式存储证书,而不能存储私钥。P7B证书包含在“—–BEGIN PKCS7—–”和“—–END PKCS7—–”语句之间。

DER格式

DER证书采用二进制形式,包含在.der或.cer文件中。这些证书主要用于基于Java的Web服务器。

PKCS#12格式

PKCS#12证书采用二进制形式,包含在.pfx或.p12文件中。

PKCS#12可以将服务器证书、中间证书和私钥存储在具有密码保护的单个.pfx文件中。这些证书主要用于Windows平台。