如何生成ECC算法CSR文件

1.生成ECC算法尘并私钥文件 openssl ecparam -genkey -name prime256v1 -out domain.key

2.生成ECC证书申请CSR文件 openssl req -new -sha265 -key domain.key -out domain_csr.txt

注意事项： ECC算法加密强度有3个选项：prime256v1 ／secp384r1／secp521r1,prime256v1 目前已经足够安全，如无特培蔽殊需要请保持ECC算法prime256v1 默认即可。 SHA256目前已经足够安全，如无特殊需要请保持派中迹默认。

（1）Openssl生成公私钥

使用Openssl是为了生成公钥和私钥对，用于外部商户系统和xxx系统之间报文的安全性验证。如果使用者不需要生成公私钥，而塌岩是直接对报文进行处理，则差态参考第四部分，计算摘要及签名值。

1. 安装openssl步骤直接点击exe文件。出现需要安装vs2008插件的，直接忽略。

2. 在安装过程中找到OpenSSL相应的安装目录，进入bin目录下找到openssl.exe可执行文件，点击运行。然后分别按顺序输入如下命令：

a. genrsa –out private-rsa.key 1024

说明:该命令是生成一个没有加密的私钥

genrsa 生成私钥文件，私钥存储在private-rsa.key中，长度为1024。out后面指定输出文件名。

private-rsa.key 为生成的私钥文件，但该文件必须经过处理得到私钥。

b. req –new –x509 –key private-rsa.key –days 750 –outpublic-rsa.cer

说明：根据private-rsa.key生成证书public-rsa.cer

-new 表示新的请求

-509 表示输出的证书结构

750表示证书有效天数

-out public-rsa.cer -out后面表示公钥证书，用于验证数字签名，此公钥证书或者公钥需要提前发送给需要验证本单位或部门数据的接收方。

c. pkcs12 –export –name test-alias –in public-rsa.cer–inkey private-rsa.key –out 99bill-rsa.pfx

说明：生成PKCS12 格式Keystore

密码前后输入要一致，这个密码在用Keystore生成公私钥过程中会用到。

Public-rsa.cer, private-rsa.key是之前生成的。

附1：

下述代码是从99bill-rsa.pfx中获取私钥的Java版本代码。因为private-rsa.key中生成的私钥无法直接使团庆御用，必须进行一定的处理。

代码有几个注意点：

文件流初始化路径需要根据自己的实际路径来填写。

密码是在第二节中c步骤中的密码，本实例输入的是suning。

KeyStorekeyStore = KeyStore.getInstance("PKCS12")

FileInputStreamfileInputStream = newFileInputStream("D:/OpenSSL/bin/99bill-rsa.pfx")

char[]nPassword = "suning".toCharArray()

StringkeyAlias = null

keyStore.load(fileInputStream,nPassword)

fileInputStream.close()

System.out.println("keystoretype=" + keyStore.getType())

Enumeration<String>enumeration = keyStore.aliases()

if(enumeration.hasMoreElements())

{

keyAlias = (String) enumeration.nextElement()

System.out.println("alias=[" + keyAlias +"]")

}

System.out.println("iskey entry=" + keyStore.isKeyEntry(keyAlias))

PrivateKeyprikey = (PrivateKey) keyStore.getKey(keyAlias, nPassword)

//私钥转成字符串

StringprivateStr = Base64.encodeBase64String(prikey.getEncoded()).trim()

//生成公钥字符串，还可以通过cer证书生成

Certificatecert = keyStore.getCertificate(keyAlias)

PublicKeypubkey = cert.getPublicKey()

StringpublicStr = Base64.encodeBase64String(pubKey.getEncoded()).trim()

注意：

1. 所用类的说明：

Base64:

import org.apache.commons.net.util.Base64

Certificate:

import java.security.cert.Certificate

2. 在openssl生成公私钥过程中，用户输入了密码。本例中密码为suning。

1. 摘要及生成方法

摘要的生成过程(digest方法全部实现了下述3个过程)：

1. 根据key对传来的map数据排序；

2. 生成a1=b1&a2=b2&a3=b3形式的字符串，排除某些字符串Key值；

3. 调用digest方法进行md5编码；

以上三步均通过Digest.digest()方法实现：

String digest = Digest.digest(Map<String,String>map, String... keys)

传递的http报文体body内容如a1=b1&a2=b2&a3=b3形式的字符串，提取出需要加签的字符串并转成map形式。execludeKes是要排除的字段，是一个字符串数组。

计算摘要这一步很关键，因为选取的字段要求发送方和接收方必须一致，即发送方对哪些字段计算摘要，那么同样地接收方也必须对相同的字段计算摘要，否则会报6601的错误。

说明：a. Map是存储了计算摘要的字段

b. keys表示排除的字段，不能用于计算摘要的字段，如signature,signAlgorithm

2. 公钥证书及字符串转换方法

转换的目的：便于存储。(商户直接提供公钥证书也可以，但是对于向验签系统提供公钥字符串的商户，需要用下述代码把公钥转成字符串)

1. 公钥/私钥字符串转成公钥/私钥，主要是把字符串转成公钥PublicKey

X509EncodedKeySpec pubKeySpec = newX509EncodedKeySpec(Base64.decodeBase64(strPubKey))

KeyFactorykeyFactory = KeyFactory.getInstance(RSA)

PublicKeypubKey = keyFactory.generatePublic(pubKeySpec)

2. 公钥或私钥转成Base64字符串：

StringpublicStr = Base64.encodeBase64String(pubKey.getEncoded()).trim()

3. 公私钥验证方法

验证目的：公私钥生成之后，需要验证是否匹配。(之前许多商户生成公私钥混乱，无法确定公私钥是否匹配就添加到验签系统中)。此代码由用户自己用junit验证运行。验证公私钥生成是否正确，如果result为true，则说明公私钥生成正确；否则生成的公私钥有问题，不能使用。

String prik1 =""

String pubb =""

String data ="wkk"

String digest =Digest.digest(data)

PrivateKey privateKey =RSAUtil.getPrivateKey(prik1)

String sign =RSAUtil.sign(digest, privateKey)

boolean result =RSAUtil.vertiy(digest, sign,

RSAUtil.getPublicKey(pubb))

System.out.println(result)

---