软件版本需求: NGNIX>1.10 Openssl>1.02 首先需要申请ECC和RSA两种签名SSL证书,免费证书申请详见:关于免费ssl证书的那些事儿 配置证书路径: ssl_certificate...; ssl_certificate_key example.com.ecdsa.key; 此时由于双证书,浏览器无法区分不同的加密算法使用的配套加密协议该使用哪个证书; 因此重点在于算法的区分,不同的算法对应不同是证书...-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3...:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128...至此,双证书配置完成。 原创文章转载请注明
什么是ECC算法? ECC是EllipticCurves Cryptography的缩写,意为椭圆曲线密码编码学。和RSA算法一样,ECC算法也属于公开密钥算法。...ECC算法的数学理论非常深奥和复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高,它的破译或求解难度基本上是指数级的,黑客很难用通常使用的暴力破解的方法来破解。...与RSA算法相比,ECC算法拥有哪些优势: 1、更适合于移动互联网:ECC加密算法的密钥长度很短(256位),意味着占用更少的存储空间,更低的CPU开销和占用更少的带宽。...3、更好的性能:ECC加密算法需要较短的密钥长度来提供更好的安全,例如,256位的ECC密钥加密强度等同于3072位RSA密钥的水平(目前普通使用的RSA密钥长度是2048位)。...经国外有关权威机构测试,在Apache和IIS服务器采用ECC算法,Web服务器响应时间比RSA快十几倍。 综上,对于两者之间的取舍,也请大家更具自己的用户群体,做出取舍。
一、ECC证书是什么 RSA的计算原理是简单的:对消息进行幂次方取模得到 加密消息。对高安全等级的要求势必增加幂次方的位数。所以这个RSA的加密位数长度是把双刃剑。...而ECC算法在计算复杂度远小于RSA,但是却得到RSA同样的安全等级。 二、ECC证书的生成: ECC证书自签发:openssl可以签发ecc证书,流程如同生成私钥-》csr请求-》X509格式证书。...ecc算法有多种(openssl ecparam -list_curves)。测试用例用多个参数生成多种ecc算法的证书。...命令dd if=/dev/urandom of=randfile bs=256 count=1 三、验证ECC证书 ECC的握手中主要是完成ECC证书验证(ECDSA签名用途),包括完成签名和验签。...对应的指令如下: 3.1.提取ECC公钥(通用方法,同RSA): openssl x509 -noout -pubkey -in certificate.pem 3.2.私钥签名: openssl dgst
接口和接口之前的数据也用一样的方式进行加密和解密。...思路 生成公私钥证书 公钥对接口参数明文加密 私钥对接口参数明文解密 通信双方互相持有对方公私钥 如果所有的接口都需要加解密,可以放到拦截器中去统一处理,也可以用注解的方式,控制哪些接口需要加密,哪些接口不需要加密
接口和接口之前的数据也用一样的方式进行加密和解密。...PEM格式是证书颁发机构颁发证书的最常见格式.PEM证书通常具有扩展名,例如.pem、.crt、.cer和.key。...它们是Base64编码的ASCII文件, 包含-----BEGIN RSA PRIVATE KEY-----和-----END RSA PRIVATE KEY-----语句,就像上面生在的一样。...服务器证书,中间证书和私钥都可以放入PEM格式。 DER 格式 DER格式只是证书的二进制形式,而不是ASCII PEM格式。...所有类型的证书和私钥都可以用DER格式编码。 DER通常与Java平台一起使用。 SSL转换器只能将证书转换为DER格式。 如果您需要将私钥转换为DER,请使用此页面上的OpenSSL命令。
目前最常用的密钥交换算法有 RSA 和 ECDHE:RSA 历史悠久,支持度好,但不支持 PFS(Perfect Forward Secrecy);而 ECDHE 是使用了 ECC(椭圆曲线)的 DH(...内置 ECDSA 公钥的证书一般被称之为 ECC 证书,内置 RSA 公钥的证书就是 RSA 证书。...由于同等安全条件下,ECC 算法所需的 Key 更短,所以 ECC 证书文件体积比 RSA 证书要小一些。以下是本站的对比,可以看到左侧的 ECC 证书要小 1/3: ?...RSA 证书可以用于 RSA 密钥交换(RSA 非对称加密)或 ECDHE 密钥交换(RSA 非对称签名);而 ECC 证书只能用于 ECDHE 密钥交换(ECDSA 非对称签名)。...好消息是,Nginx 1.11.0 开始提供了对 RSA/ECC 双证书的支持。
简而言之,ECC提供具有类似安全性的较小密钥,这反过来转化为更高的加密性能,适用于SSL等数字签名。 本教程和所有ECC证书都依赖于椭圆曲线协议,该协议可以有多种形式。...我们需要将私钥和证书存储在一个容易记忆的位置,因此我们需要创建一个新目录。 sudo mkdir /etc/nginx/ssl 第3步 - 创建自签名ECC证书 在本节中,我们将申请新证书并签名。...sudo chmod 600 /etc/nginx/ssl/* 您的证书和保护它的私钥现在可以进行设置了。 第4步 - 设置证书 在本节中,我们将使用密钥和证书配置Nginx虚拟主机。...在server_name之后,添加您的SSL密钥和证书路径。...想要了解更多关于创建ECC证书的相关教程,请前往腾讯云+社区学习更多知识。
项目中需要加密超长json内容才发现rsa加密长度有限制,于是换一种思路:我们将原本需要加密的内容拆分为多个字符串,一段一段的加密,解密端也是一段一段的解密即可完成。...(1).确认每次加密多少长度首先我们要知道rsa加密长度是多少,1024位的rsa能加密的长度也是1024位。那么我们一次加密多长的字符串比较好? 是不是1024/8呢?不是的!...那么我们分段加密的长度的公式就是:证书位数/8-padding长度,例如1024的证书配合OPENSSL_PKCS1_PADDING 长度的公式:1024/8-11即可(2).确认每次解密多少长度解密不需要考虑填充...,所以每次解密大小 = 证书位数/8(3).我们封装了一个简单的类你可以直接使用,同事(刘平)编写,我整理完善了下。...,因为我们的类已经帮您自动适配了证书大小和分段加密的大小,如果你要修改padding方式记得改掉11
### 生成 RSA 密钥 打开 OpenSSL 工具,使用以下命令行生成 RSA 私钥。...您可以选择生成 1024 或 2048 位的私钥 openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits...:2048 根据 RSA 私钥生成 RSA 公钥: openssl rsa -pubout -in private_key.pem -out public_key.pem 生成 ECC 密钥 打开 OpenSSL...工具,使用以下命令行生成 ECC 的密钥对。...椭圆曲线算法 openssl ecparam -name secp256k1 -genkey -noout -out secp256k1-key.pem 根据 secp256k1-key.pem 密钥对生成 ECC
密钥 密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密,具体原理可以参考RSA加密算法。...服务器认证证书,中级认证证书和私钥都可以储存为PEM格式(认证证书其实就是公钥)。Apache和nginx等类似的服务器使用PEM格式证书。...扩展名为.der,但也经常使用.cer用作扩展名,所有类型的认证证书和私钥都可以存储为DER格式。Java使其典型使用平台。...# 帮助 openssl req -h # 生成CSR请求文件和私钥 openssl req -nodes -days 365 -newkey rsa:2048 -keyout key_rsa -out...# 生成证书和私钥 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout key_rsa -out key.crt # 从已存在的私钥生成生成证书
在公开密钥加密和电子商业中RSA被广泛使用。它被普遍认为是目前比较优秀的公钥方案之一。RSA是第一个能同时用于加密和数字签名的算法,它能够抵抗到目前为止已知的所有密码攻击。...from rsa import common # 使用 rsa库进行RSA签名和加解密 class RsaUtil(object): PUBLIC_KEY_PATH = 'xxxxpublic_key.pem...(message, signature, self.company_public_key) ECC加密 全称:椭圆曲线加密(Elliptic Curve Cryptography),ECC加密算法是一种公钥加密技术...则给定k和G,根据加法法则,计算K很容易但反过来,给定K和G,求k就非常困难。 因为实际使用中的ECC原则上把p取得相当大,n也相当大,要把n个解点逐一算出来列成上表是不可能的。...椭圆曲线加密*************") ecc_main() 本文主要介绍了MD5,SHA-1,HMAC,DES/AES,RSA和ECC这几种加密算法和python代码示例。
所谓“双证书”其实就是 SSL 证书加密算法不同的两个证书而已,Let's Encrypt 就支持同时申请同域名不同加密算法的证书,也就是RSA 加密算法和ECC 加密算法(椭圆加密算法),俗称 ECC...公钥密码系统的加密算法 ECC 与 RSA 的对比 第六届国际密码学会议对应用于公钥密码系统的加密算法推荐了两种:基于大整数因子分解问题(IFP)的 RSA 算法和基于椭圆曲线上离散对数计算问题(...目前用国际上公认的对于 RSA 算法最有效的攻击方法--一般数域筛(NFS)方法去破译和攻击 RSA 算法,它的破译或求解难度是亚指数级的。...正是由于 RSA 算法和 ECC 算法这一明显不同,使得 ECC 算法的单位安全强度高于 RSA 算法,也就是说,要达到同样的安全强度,ECC 算法所需的密钥长度远比 RSA 算法低(见表 1 和图...注意事项 ECC+RSA 双证书在 CDN 下的注意事项 ECC+RSA 双证书模式虽然 Nginx 完美的支持了,但是如果你有使用 CDN 的话,这个双证书就会失效,因为用户访问到的都是 CDN
三、ECC 和 RSA 在 1976 年,由于对称加密算法已经不能满足需要,Diffie 和 Hellman 发表了一篇叫《密码学新动向》的文章,介绍了公匙加密的概念,由 Rivet、Shamir、Adelman...现在 SSL 证书普遍使用的是 RSA 算法,由于上述的 RSA 算法存在的缺点,使用 ECC 作为其公钥算法的数字证书近几年的发展也不容小觑:2008 年左右 CA 开始储备 ECC 根证书,2012...年左右 CA 开始对外公开销售 ECC 证书,2014 年 ECC 证书在国外被普遍开始使用,2015 年国内开始接受 ECC 证书。...本测试案例中使用了两个不同的身份验证算法: 我们看到,ECC-256 层次结构优于 RSA-2048 和 RSA-3072 4.2 响应时间与吞吐量指标之比较 下表中的条目和以下章节详细说明了我们为云主机运行的测试...- 1200K GET,重用为 0% 一个有趣的现象是,在 Apache 一例中我们观察到 ECC-256 和 RSA-2048 的网络传输开始饱和,但 RSA-3072 却达到了 CPU 利用极限。
Thawte RSA CA 2018 SSL证书分为DV、OV、EV三种类型,但无论哪一种SSL证书在最长有效期只有1年,意味着每年就需要申请续订,如果不续订会导致项目业务被终止并且发生错误警告。...可以直接联系Gworg进行Thawte RSA CA 2018 SSL证书续费申请。 image.png 第一步:将网站域名提交到Gworg进行申请并且认证。...第二步:对域名进行认证,如果是选择OV和EV进行实名认证。 第三步:拿到SSL证书文件就可以直接配置或者换之前的文件。 说明:DV类型的证书几分钟就可以签发,OV、EV企业级一个工作日签发。...另外证书类型分为:单域名、通配符、多域名,保护的功能不同,域名数量也不同,如果是续费,请将域名提供给Gworg确定类型。
因为加密套件的第二个部分是针对证书的要求,所以当服务器配置ECC证书时,加密套件只能选择ECDSA_XXX或者ECDH_XXX。...当服务器配置RSA证书时,只能选择RSA_XXX或者ECDHE_RSA_XXX形式的加密套件。(这里解释下原因:如果RSA证书,那么密钥交换方式也是RSA的,肯定可以。...密钥交换模式是ECDHE的话,由于ECDHE的密钥交换过程无需证书的实质性参与,所以RSA证书也可以和ECDHE一起工作;ECDHE的密钥交换方式可以参考我的另一篇博客;交换过程主要是client和server...按照协商好的椭圆曲线去生成会话密钥,无需使用证书)如果加密套件选择ECDH_RSA或者ECDH_ECDSA时:由于ECDH加密套件默认表明了握手需要ECC证书(即ECC证书的公钥充当握手中server...详见 RFC:https://tools.ietf.org/html/rfc4492#section-2.3像ECDHE-RSA,表示证书必须是RSA签名的,证书里的公钥必须是RSA的公钥,可以用来给serve
数字签名的过程: 图1 数字签名生成及验证过程 数字证书(Digital Certificate) 数字证书的出现是为了防止一种更复杂的情况出现,即如何确保收到的公钥(Public Key)真的是你要与之通信的信息发送方发过来的...数字证书这一名词并非是我国原有,而是来自于英文digital certificate的翻译。...数字证书从本质上来说是一种电子文档,是由电子商务认证中心(以下简称为CA中心)所颁发的一种较为权威与公正的证书,对电子商务活动有重要影响,例如我们在各种电子商务平台进行购物消费时,必须要在电脑上安装数字证书来确保资金的安全性...(百度百科) 数字证书的生成: 图2 数字证书生成及使用过程 一般数字证书(Digital Certificate)都是由大型机构CA(Certificate Authority)提供,这就保证了接收到的公钥...所以在使用RSA算法的通信过程中,公钥提供方一般是需要将数字签名(Digital Signature)、数字证书(Digital Certificate) 以及消息(Message)一并发给接收方,接收方通过
,但是还是决定更换一个证书看看,因为之前是RSA的证书,那我换个ECC的证书试试(推荐七牛云SSL证书申请,可以选择ECC证书) 换过之后有新的发现 curl: (35) Cannot communicate...而在这两个系统上curl默认是禁用ECC加密的,虽然服务端加密套件支持ECC,但是客户端不支持,所以请求失败,需要客户端curl通过指定加密套件来请求 curl --ciphers ecdhe_rsa_aes...指定加密套件后,又回到起点,仍然是原来的错误,看来和证书没有关系 柳暗花明 没办法,仔细对比了其他网站的nginx配置,没什么不一样,只是没有配ssl_session_cache,以我对该参数的了解,该参数只是作为...加密,但是服务端证书没有提供RSA公钥 协商采用了DH(EC Diffie-Hellman)加密,但是服务端证书没有提供DH参数 协商采用了fortezza_kea加密,但是服务端证书没有提供参数 ?...证书要比RSA证书更小,加解密更快,推荐
Nginx1.11.0版本后提供了ESA/ECC双证书的支持,以下是参考链接: https://www.mf8.biz/ecc-nginx-double-cert http://www.freebuf.com.../articles/database/155912.html ECDSA (椭圆曲线数字签名算法) 就是我们所说的 ECC 证书了,相比 RSA, ECC 证书具有安全性高, 处理速度更快的优点,尤其适合在移动设备上使用...但是其唯一的缺点就是兼容性问题,古代的 XP 和 Android2.3 不支持这种加密方式。...ECC和RSA,可惜只有90天有效期,大家90天后再续期就可以了!...我们继续编辑nginx.conf配置文件 ssl_certificate和ssl_certificate_key分别放入两个证书文件以及密钥, 使用openssl dhparam -out dhparam.pem
SM2算法概念 SM2算法和RSA算法都是公钥密码算法,SM2算法是一种更先进安全的算法,在我们国家商用密码体系中被用来替换RSA算法。 SM2为非对称加密,基于ECC。该算法已公开。...由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。...验证算法中的①检查签名分量r’的合理性 验证算法中的②检查签名分量s’的合理性 验证算法中的⑤检查t的正确性 国密SM2算法证书VS传统SSL证书的优势 (1)加密强度更高 传统SSL证书通常是RSA算法...(2)安全性能更强 作为传统SSL证书的核心算法,RSA算法虽然仍占据着SSL证书市场的主流地位,但是随着计算机技术的发展,加上对因子分解的改进,对低位数的密钥攻击已成为可能,传统的SSL证书也面临着更多的未知风险...当前,我国正在大力推动国密SM2算法,替换采用RSA算法的SSL证书,以政府、金融领域为主要示范行业,并在教育、社保、交通、通信、能源、税收、公共安全、国防工业等重要领域广泛要求使用符合国家标准的密码算法和产品
修改MSDN上的示例,使之可以通过RSA证书文件加密和解密,中间遇到一个小问题。...A:导入带有私钥的证书时,需要使用"X509KeyStorageFlags"参数标记"私钥可导出"。...//Console.WriteLine(RSA.ToXmlString(false)); //Pass the data to ENCRYPT, the public...//Import the RSA Key information....//Import the RSA Key information.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
