Windows CNG NCryptSignHash生成的SHA512签名与openssl RSA_sign生成的签名不匹配

问题描述：Windows CNG NCryptSignHash生成的SHA512签名与openssl RSA_sign生成的签名不匹配。

回答：这个问题涉及到了Windows CNG和openssl两个工具在生成SHA512签名时的差异导致签名不匹配的情况。

首先，Windows CNG（Cryptography Next Generation）是微软提供的一套加密API，用于在Windows平台上进行各种加密操作。而openssl是一个开源的加密工具包，提供了丰富的加密算法和功能。

在这个问题中，涉及到了两个不同的签名算法：Windows CNG使用的是SHA512算法，而openssl使用的是RSA算法。

SHA512是一种哈希算法，用于生成消息的摘要。它将输入的消息转换为一个固定长度的摘要，通常是512位。SHA512算法是单向的，即无法从摘要还原出原始消息。

RSA是一种非对称加密算法，它使用一对密钥，即公钥和私钥。私钥用于签名，公钥用于验证签名。RSA签名过程中，首先对消息进行哈希运算，然后使用私钥对哈希值进行加密生成签名。

由于SHA512和RSA是两种完全不同的算法，因此使用不同工具生成的签名是不会匹配的。Windows CNG使用SHA512算法生成的签名与openssl使用RSA算法生成的签名是完全不同的。

解决这个问题的方法是，在使用Windows CNG和openssl生成签名时，要保持一致的算法和密钥对。如果需要在Windows平台上使用RSA算法生成签名，可以考虑使用Windows CNG提供的RSA算法接口，而不是使用NCryptSignHash生成SHA512签名。

总结：

Windows CNG和openssl是两个不同的加密工具，使用不同的算法和密钥对。
Windows CNG的NCryptSignHash生成的是SHA512签名，而openssl的RSA_sign生成的是RSA签名。
SHA512是一种哈希算法，RSA是一种非对称加密算法。
由于算法不同，使用不同工具生成的签名是不会匹配的。
解决方法是保持一致的算法和密钥对，或者使用Windows CNG提供的RSA算法接口来生成签名。

腾讯云相关产品推荐：

腾讯云密钥管理系统（KMS）：提供安全可靠的密钥管理服务，可用于保护加密算法中使用的密钥。
腾讯云SSL证书：提供数字证书服务，用于保护网站和应用程序的安全通信。
腾讯云容器服务（TKE）：提供高度可扩展的容器化应用程序部署和管理服务，适用于云原生应用开发和部署。

以上是对问题的回答，希望能够满足您的需求。

相关·内容

给自己和团队的镜像一个家: 借助Harbor搭建私有的Docker镜像中心

答案是OpenSSL自签名证书，可以一次性签十年，服务器续费不起了，证书还是有效的。...现在，我们开始进行证书的生成： # 生成密钥 openssl genrsa -out yourdomain.com.key 4096 # 生成公钥 openssl req -x509 -new -nodes...； -sha512: 指定使用SHA-512哈希算法进行签名。...根据生成的密钥和公钥，我们用来生成的证书，进而用于在服务端校验域名对应证书的匹配性；这里创建证书扩展配置文件： cat > v3.ext <<-EOF authorityKeyIdentifier=keyid...： # 生成一个签名请求 openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN

1.2K2 0

go-dongle 0.2.7 版本发布，一个轻量级、语义化的 golang 编码解码、加密解密库

dongle 是一个轻量级、语义化、对开发者友好的 Golang 编码解码和加密解密库Dongle 已被 awesome-go 收录, 如果您觉得不错，请给个 star 吧github.com/golang-module.../donglegitee.com/golang-module/dongle更新日志新增 dongle.openssl.RSA.GenPKCS1KeyPair() 方法，生成 PKCS#1 格式 RSA...密钥对新增 dongle.openssl.RSA.GenPKCS8KeyPair() 方法，生成 PKCS#8 格式 RSA 密钥对新增 dongle.openssl.RSA.VerifyKeyPair...() 方法，验证 RSA 密钥对是否匹配新增 dongle.openssl.RSA.IsPublicKey() 方法，判断是否是 RSA 公钥新增 dongle.openssl.RSA.IsPrivateKey...、验签Ed25519 签名、验签Rsa 签名、验签Dsa 签名、验签

6122 0

python自行实现支付宝证书签名&验签全流程

(data_dict, "域名"_私钥.txt') return sign 到这里就已经完成了签名这部分，得到签名sign，将其加到请求接口中的参数“sign”中，这里需要注意的是上面得到的alipay_root_cert_sn...，app_cert_sn也要加到请求接口中的参数中支付宝网页支付需要异步验签，异步验签需要用支付宝公钥来验证支付宝传过来的参数和签名。...(public_key))) # 或者使用sdk下的verify_with_rsa(public_key, message, sign) # 验签验签支付宝密钥签名和证书签名都一样，只是证书签名下支付宝公钥需要解析证书得到...这里不得不吐槽下支付宝文档，自行实现签名全给的是参考java sdk实现，网上证书签名和验签文章也没几篇。...这里给大家分享下自己实现的全过程，希望能够避免大家少踩点坑。最后ps:若是支付宝官方觉得我这篇python自行实现支付宝证书签名和验签可以给用户当做参考的话，拿走不谢，哈哈！！！

1.2K1 0

让大象起舞：HTTPS 计算性能优化

，现在的签名算法主要是SHA（安全哈希）系列，目前SHA1算法已经不安全，不推荐使用，但由于部分比较老的操作系统只支持SHA1算法，所以目前线上使用到的签名算法主要是SHA256和少量的SHA1。...主要是如下两步： 1、选择ECC（椭圆曲线密码）的曲线类型、基点、曲线系数等参数，并根据这些参数生成公钥。 2、对曲线参数和公钥进行RSA签名。...假设请求1需要进行RSA签名（RSA_sign）操作，nginx必须等待上图中2 到 7共6个步骤全部完成才能处理下一个请求2。...异步过程如下图所示： 1、Nginx接收到请求1后，调用RSA_sign。 2、RSA_sign此时会调用RSA_private_encrypt，然后直接返回，不需等待RSA的签名结果。...openssl有很多历史遗留的无用代码，比如一些过时的算法、系统及加速硬件。 c）乱。风格不良不统一，充斥着大量宏定义，宏开关，缺少注释等。 d）深。

5.4K4 0

.NET 4.6.2正式发布带来众多特性

虽然大多数人的注意力都集中在.NET Core上，但与原来的.NET Framework相关的工作还在继续。....除了支持FIPS 186-3更大的密钥大小外，.NET Framework 4.6.2允许使用SHA-2族哈希算法（SHA256、SHA384和SHA512）计算签名。...谈及“在软件和硬件设备上存储持久化对称密钥”，至少是从Windows 7开始，微软就提供了Cryptography API: Next Generation （CNG）。....NET 4.6.2的新增特性是，SignedXml支持“RSA-SHA256、RSA-SHA384和RSA-SHA512 PKCS#1签名方法以及SHA256、SHA384和SHA512引用摘要算法”。...WPF 当使用Windows 10时，WPF现在可以自动显示和隐藏软键盘了（即屏幕键盘），并且可以酌情禁用WPF手写笔/触摸支持。对于Windows乏善可陈的手写笔支持，这是一项较大改进的一部分。

1.1K5 0

云原生时代必须具备的核心技能之Docker高级篇(Harbor-镜像私服)

您可以使用由受信任的第三方CA签名的证书，也可以使用自签名证书生成证书颁发机构证书在生产环境中，您应该从CA获得证书。在测试或开发环境中，您可以生成自己的CA。要生成CA证书，请运行以下命令。...生成CA证书私钥。 openssl genrsa -out ca.key 4096 生成CA证书调整-subj选项中的值以反映您的组织。...openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal...文件和一个.key文件生成私钥 openssl genrsa -out harbor.od.com.key 4096 生成证书签名请求（CSR） openssl req -sha512 -new \...主机生成证书 openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial

4341 0

php的RSA加密解密算法原理与用法分析

本文实例讲述了php的RSA加密解密算法原理与用法。...1、生成公钥和私钥要应用RSA算法，必须先生成公钥和私钥，公钥和私钥的生成可以借助openssl工具。...本次测验是在windows下进行的，可以到以下的地址下载windows安装包：http://gnuwin32.sourceforge.net/packages/openssl.htm，安装过程不再赘述。...安装过后，进入到安装目录的bin目录下，执行如下命令： openssl.exe // 进入OpenSSL程序 genrsa -out rsa_private_key.pem 1024 //生成私钥...*/ $res = openssl_get_privatekey($priKey); /* 对数据进行签名 */ //openssl_sign($data, $sign, $res)

1.2K6 0

python使用RSA加密算法

##一、生成公钥、私钥对使用openssl工具生成RSA公钥、私钥对。 1.下载openssl工具。...点我下载一，点我下载二 2.打开 openssl 文件夹下的 bin 文件夹，执行 openssl.exe 文件； 3.生成RSA私钥命令：这里生成的密钥文件是2048比特。...genrsa -out rsa_private_key.pem 2048 4.生成RSA公钥命令：注意，公钥和私钥是成对的，所以你在生成一个后，另一个的生成是基于前一个的文件名，否则生成的不是一对哦...rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem 生成后的文件应该在你的用户目录下，或者在openssl的bin文件夹下（有时候在有时又不在...from Crypto.Signature import pkcs1_15 from Crypto.Hash import SHA256 # RSA签名 def rsa_sign(data, rsa_key

2.4K3 0

加密工具类，提供RSA & AES & DES 等加密解密方法工具类介绍加密解密概念使用方法公钥、私钥生成

SecKeyRawSign 使用私钥生成数字签名普遍的加密方法：客户端用RSA的公钥加密AES的秘钥，服务器端用私钥解开获得的AES的秘钥，客户端再与服务器端进行AES加密的数据传输，即HTTPS...）用于密码的密文存储，服务器端是判断加密后的数据不可逆加密方法：MD5、SHA1、SHA256、SHA512 RSA算法原理：找出两个“很大”的质数：P & Q（上百位） N = P...使用私钥解密 NSLog(@"解密结果 %@", [tools RSADecryptString:result]); ---- 公钥、私钥生成公钥：就是签名机构签完给我们颁发的，放在网站的根目录上，...的证书文件 openssl genrsa -out private.pem 512 生成一个证书请求，生成证书请求文件.csr openssl req -new -key private.pem...生成证书请求界面签名，找证书颁发机构签名，证明证书合法有效的，也可以自签名一个证书生成证书并签名，有效期10年，生成一个.crt的一个base64公钥文件 openssl x509 -req -

2.1K11 0

Harbor：将制品库发挥到极致

（1）对镜像进行签名基于开源的Notary实现镜像的签名 image.png 基于GPG实现对Helm Chart的签名支持 image.png （2）对镜像进行漏洞扫描通过插件化接入扫描器，对镜像进行漏洞扫描...image.png 可以生成相应的扫描报告，以便与管理相关漏洞信息和了解安全威胁程度 image.png （3）通过策略限制不安全镜像分发可以在项目里设置相关的安全策略，以阻止不合安全规范的镜像分发...image.png 规则可以通过正则匹配，匹配上的tag会被标记为不可变。优雅的资源清理和垃圾回收犹记Harbor1.x的时候，资源清理和垃圾回收是多么的繁杂。...（3）生成ssl证书这里使用openssl工具生成。...# openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Chongqing/L=Chongqing/O=harbor.coolops.cn

2.6K1 0

IDA Pro进阶之签名文件制作

最近使用IDA Pro查看一个x86的exe文件，发现为静态编译文件，其中包含大量的OpenSSL的库函数，于是上网搜索对应的签名文件，并没有找到该版本OpenSSL的库函数签名，便亲自做一个签名文件。...一、实验环境操作系统：Windows 10 编程环境：VS 2015、ActivePerl 5.26.3 Build 2603 IDA Pro 7.0 二、制作签名制作和应用签名文件一共分为4个步骤...图8 签名文件应用结构如图8所示，libeay32签名匹配出2441个库函数，ssleay32签名匹配出664个库函数，其中vcseh签名是IDA Pro自动加载的签名文件。...图11 SSLget_wbio函数 IDA Pro提供的签名识别技术称之为FLIRT（Fast Library Identification andRecognition Technology，库文件快速识别与鉴定技术...如果签名匹配效果不好，可以尝试不同的编译参数。

1.8K1 0

PHP怎么使用OpenSSL生成RSA加解密所需要的公私钥？

image.png RSA算法是现今使用最广泛的公钥密码算法，也是是号称地球上最安全的加密算法，与 md5 和 sha1 不同，到目前为止，也只有极短的RSA加密被破解根据密钥的使用方法，可以将密码分为对称密码和公钥密码...在Windows下生成需要openssl.cof的支持，如果你装了Git bash客户端的话，也可以直接操作我这里使用的是PHPStudy的集成环境，在它的Apache\conf目录下就有一个openssl.cof...php $config = array( "config" => "D:\phpStudy\Apache\conf\openssl.cnf", "digest_alg" => "sha512...由于私钥是不公开的，确保了内容的保密，没有私钥无法获得内容使用公钥加密数据，刷新或者重新请求会改变加密后返回的字符串 image.png 用私钥加密需要公钥解密，称为“签名”。...原创文章采用CC BY-NC-SA 4.0协议进行许可，转载请注明：转载自：PHP怎么使用OpenSSL生成RSA加解密所需要的公私钥？

1.4K5 0

SSL证书生成流程

crt是CA认证后的证书文件（windows下面的csr，其实是crt），签署人用自己的key给你签署的凭证。二：概念首先要有一个CA根证书，然后用CA根证书来签发用户证书。...数字证书包含证书中所标识的实体的公钥（就是说你的证书里有你的公钥），由于证书将公钥与特定的个人匹配，并且该证书的真实性由颁发机构保证（就是说可以让大家相信你的证书是真的），因此，数字证书为如何找到用户的公钥并知道它是否有效这一问题提供了解决方案.../config --prefix=/home/blave/openssl 生成服务器端的私钥 (key 文件） #openssl genrsa -out server.key 1024 生成服务器端证书签名请求文件...在实际的软件开发工作中，往往服务器就采用这种自签名的方式，因为毕竟找第三方签名机构是要给钱的，也是需要花时间的。...六：用户证书的生成步骤生成私钥（.key）-->生成证书请求（.csr）-->用CA根证书签名得到证书（.crt）服务器端用户证书： # private key $openssl

3.4K2 0

让大象起舞第二弹---HTTPS计算性能优化

由于我们现在的证书主要使用RSA签名，暂时没有ECDSA签名证书，所以当前设计只针对RSA签名证书。 RSA签名证书最常用的密钥交换算法是ECDHE_RSA，DHE_RSA和RSA。...对曲线参数和公钥进行RSA签名。由之前的分析得知，这里的RSA签名过程需要使用2048位长度的私钥对数据进行加密，非常消耗CPU。...RSA密钥交换算法分离 RSA密钥交换算法的过程相对简单，因为没有ECC参数及公钥生成的过程。...异步请求的过程： Nginx接收到请求1后，调用RSA_sign。 RSA_sign此时会调用RSA_private_encrypt，然后直接返回，不需等待RSA的签名结果。...openssl有很多历史遗留的无用代码，比如一些过时的算法、系统及加速硬件。乱。风格不良不统一，充斥着大量宏定义，宏开关，缺少注释等。深。

1K1 0

nginx配置https(亲测可用)

配置https前需要先创建证书，这里使用自签名ca证书： 1、创建ca自签名证书，使用sha256 算法签名，rsa2048位公钥算法。...-sha256将会被server-openssl.cnf中的default_md配置项代替另外在当前目录下还要创建index.txt,创建并初始化serial文件。...req -noout -text -in server.csr 生成server证书 openssl ca -in server.csr -out server.pem -keyfile ca.key...//摘要算法使用sha256 -sha384 to use the sha384 message digest algorithm //摘要算法使用sha384 -sha512...to use the sha512 message digest algorithm //摘要算法使用sha512 -whirlpool to use the

2.2K7 1

OpenSSL安全套接字密码库命令

[TOC] 0x00 前言简述 OpenSSL命令有两种运行模式交互模式和批处理: 输入openssl回车进入交互模式输入带命令选项的openssl进入批处理模式 OpenSSL整个软件包大概可以分成三个主要的功能部分...= rand #实例1.随机数的生成 openssl rand -base64 位数 -out 写出的文件 openssl rand -base64 128 od3xDJVOVKGYfSXHELXI3oVw0hyElUE34tZWsYHrU6yk7Gyr6Z7B8QlZ2zbZBcTCR3DJMr81j1l3SaFYxbO1xhs4ki4iZXPwwpO1gyG4sAnfGC1bDEBYzKw...dgst - 摘要校验与生成描述:它是OpenSSL子命令主要用于文件的摘要信息的验证与生成; $openssl dgst -h options are -c to output...-verify file 使用文件中的公钥验证签名 -prverify file 使用文件中的私钥验证签名 -keyform arg 关键文件格式(PEM或引擎) -out filename...-md5 file.txt 当在配置ssl_ciphers参数中的套件顺序不一样，浏览器在协商时会优先使用排位靠前的套件，我们可通过执行openssl ciphers命令检查加密套件配置支持的协议信息

9692 0

浅谈Openssl与私有CA搭建

第二步，服务器A收到用户B发来的证书后，查找系统内置或通过其它可靠途径获得证书公钥解密（非对称加密）证书的签名信息，完成CA的合法身份验证，并得到签名信息的特征码，而后使用同样的算法提取签名信息的特征码与之对比...4、应用接口（API）为方便用户使用加密、数字签名等安全服务而提供的良好的应用接口，使得各种应用能以安全、一致可信的方式与PKI交互，确保网络环境的完整性和易用性。...,不指定输出到屏幕 /path/from/somefile 指定需要执行单项加密的文件例：将/var/log/messages拷贝至/tmp/下，分别使用openssl...指定使用md5进行加密，CentOS 6 一般使用sha512) 例：其中-salt后面的字符串可以使用随机获取字符来替代， openssl 随机生成字符串...，这个时候我们就可以利用openssl来搭建私有的CA服务器，用以签名、颁发证书，管理已签名证书和已吊销证书等。

1.8K8 0

Ssl证书自动续签

自签证书生成CA证书私钥 openssl genrsa -out ca.key 4096 生成CA证书 openssl req -x509 -new -nodes -sha512 -days 3650...openssl genrsa -out domain.com.key 4096 生成证书签名请求 openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing...openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial...： –issue是 acme.sh 脚本用来颁发证书的指令； -d是–domain的简称，其后面须填写已备案的域名； -w 是–webroot的简称，其后面须填写网站的根目录 # 查看证书 acme.sh...--list # 删除证书 acme.sh --remove -d plyx.site [--ecc] 安装证书生成的证书放在了/root/.acme.sh/plyx.site目录，因为这是 acme.sh

1K3 0

PKI - 借助Nginx 实现Https_使用CA签发证书

生成服务器密钥对和证书签名请求 (CSR) # 服务器的 RSA 密钥对 openssl genrsa -out server.key 2048 # 证书签名请求 (CSR) openssl req..." -out server.csr 这个错误通常意味着服务器证书中指定的域名与请求的域名不匹配。...可以使用以下命令检查证书中的主题信息： openssl x509 -in /cert/server.crt -noout -subject 如果主题信息中的域名与正在访问的域名不匹配，那么需要获取一个正确匹配的证书...检查服务器配置：确保服务器配置正确，将证书配置为与正在访问的域名匹配。检查服务器配置文件，确保域名和证书的匹配性。...重新签发证书：如果服务器证书确实是针对错误的域名签发的，需要重新签发一个正确匹配的证书。使用正确的域名生成证书签名请求 (CSR)，并使用 CA 对其进行签名。

590 0

数据安全及各种加密算法对比

MD5解密网站，并不是对加密后的数据进行解密，而是数据库中存在大量的加密后的数据，对用户输入的数据进行匹配（也叫暴力碰撞），匹配到与之对应的数据就会输出，并没有对应的解密算法。...次方 mod N = 225的29次方 mod 323 = 123（明文） openssl生成密钥命令生成强度是 512 的 RSA 私钥：$ openssl genrsa -out private.pem...数字证书数字证书包含：公钥认证机构的数字签名（权威机构CA）数字证书可以自己生成，也可以从权威机构购买，但是注意，自己生成的证书，只能自己认可，别人都不认可....自己生成一个证书生成私钥 openssl genrsa -out private.pem 1024 创建证书请求 openssl req -new -key private.pem -out rsacert.csr...生成证书并签名，有效期10年 openssl x509 -req -days 3650 -in rsacert.csr -signkey private.pem -out rsacert.crt 将

2.2K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云