OpenSSL简介
OpenSSL简单介绍
OpenSSL简单介绍本⽂对密码学中常⽤的底层库OpenSSL进⾏简单说明,包括基本介绍、简单使⽤等内容。
简单介绍是密码学中⼀个流⾏的底层密码库,也是SSL和TLS最常见的开源实现。
SSL全称为Secure Sockets Layer,安全套接层协议( 对⽹络连接进⾏加密处理 )。
TLS全称为Transport Layer Security,安全传输层协议(由记录协议和握⼿协议组成 )。
SSL协议由Netscape(⽹景)公司开发,因为应⽤⼴泛,到了1999年SSL已经成为互联⽹上的事实标准。
同年,IETF把SSL标准化后改名为TLS,它建⽴在SSL 3.0协议规范上,是SSL的后续版本。
TLS 和 SSL,两者差别极⼩,可以简单看做是同⼀个东西的两个不同阶段。
是由⼀些志愿者合作开发的开源⼯具库,其⽬标是开发⼀个强壮的、具有完备功能的商业级⼯具集,以实现SSL 和 TLS协议以及⼀个全功能的通⽤加密库。
OpenSSL主要以C语⾔实现,⽬前最新稳定版本为2018年9⽉11⽇发布的1.1.1版本。
OpenSSL的主要组成❏ openssl 多⽤途的命令⾏⼯具。
❏ libcrypto 常⽤加密算法库。
❏ libssl 实现了SSL及TLS的加密模块应⽤库。
⽀持许多不同的加密算法:其中包括但不限于单向散列函数的、、MD2、、、、RIPEMD-160、MDC-2、GOST R 34.11-94、BLAKE2、Whirlpool、SM3等算法,对称加密有、Blowfish、Camellia、Chacha20、Poly1305、SEED、CAST-128、、IDEA、RC2、RC4、、SM4、TDES、GOST 28147-89等算法,以及⾮对称加密的、DSA、迪菲-赫尔曼密钥交换、椭圆曲线、SM2、X25519、Ed25519、X448、Ed448、GOST R 34.10-2001等算法。
参考资料opsnssl 命令⾏简单说明的安装通常,很多操作系统都会默认安装OpenSSL ⼯具,我们可以通过在终端中输⼊openssl version命令来查看和进⾏验证。
openssl tls 握手协议 certificate消息格式
openssl tls 握手协议 certificate消息格式
【最新版】
目录
1.OpenSSL 简介
2.TLS 握手协议
3.证书消息格式
4.总结
正文
1.OpenSSL 简介
OpenSSL 是一个安全套接字层(SSL)和传输层安全(TLS)的开源加密库,广泛应用于互联网的加密通信。
它可以提供数据加密、数据完整性保护以及服务器身份验证等功能,确保网络通信的安全可靠。
2.TLS 握手协议
TLS 握手协议是 TLS 协议的一部分,负责在客户端和服务器之间建立安全参数。
在握手过程中,客户端和服务器会通过交换一系列的消息来协商加密算法、生成加密密钥等。
TLS 握手协议的主要目的是确保通信双方都能使用相同的加密算法和密钥进行通信。
3.证书消息格式
在 TLS 握手协议中,证书消息用于传输服务器的数字证书,以便客户端验证服务器的身份。
证书消息格式如下:
- 消息类型:表示消息的类型,例如证书请求、证书颁发等。
- 消息长度:表示消息的长度,以字节为单位。
- 消息内容:包括证书的序列号、签名算法、有效期、公钥等信息。
- 签名:用于确保消息的完整性和真实性,通常使用私钥进行签名。
4.总结
总的来说,OpenSSL 提供了一套安全的通信机制,通过 TLS 握手协议协商加密参数,并使用证书消息格式进行服务器身份验证。
openssl使用方法
–rand private\.rnd:在RSA算法中,伪随机数产生器
用的种子是放在private\.rnd中的;里面的种子管理员可 以手动修改;
2048:表示生成的密钥长度是2048位的。
显然,上面的.key文件是明文保存的,是很不安全的。 而密钥一旦泄漏,响应的证书也就失效。所以CA提供了一 个可选配置,通过配置,使得每次生成一个新的密钥对的 时候,必须用一个口令对响应的.key文件进行加密(加密算 法是DES)。这在一定程度上提高了系统的可靠性。
四、发布证书撤销列表
命令: ca -gencrl -crldays 7 -config f -out crl\ca.crl
命令解释:由CA产生(gen)一个crl列表,有效期是7天(crldays 7), 产生的撤销列表是crl/ca.crl。
证书列表的主要内容:
证书列表的有效期 下次发布证书列表的时间 被撤销的证书的序列号
二、OpenSSL的组成 虽然OpenSSL使用SSL作为其名字的重要组成部分,但 其实现的功能确远远超出了SSL协议本身。OpenSSL事实上 包括了三部分:SSL协议、密码算法库和应用程序库。 SSL协议部分完全实现和封装了SSL协议的三个版本和 TLS协议,SSL协议库的实现是在密码算法库的基础上实 现的。使用该库,你完全可以建立一个SSL服务器和SSL 客户端。 密码算法库是一个强大完整的密码算法库,它是 OpenSSL的基础部分,也是很值得一般密码安全技术人员 研究的部分,它实现了目前大部分主流的密码算法和标准。 主要包括公开密钥算法、对称加密算法、散列函数算法、 X509数字证书标准、PKCS12、PKCS7等标准。事实上, OpenSSL的SSL协议部分和应用程序部分都是基于这个库 开发的。
openssl ec 公钥长度
openssl ec 公钥长度【原创实用版】目录1.介绍 OpenSSL2.解释 ECDSA 加密算法3.讨论公钥长度与安全性的关系4.列举不同公钥长度的优缺点5.结论:公钥长度的选择取决于需求与安全平衡正文OpenSSL 是一个广泛使用的安全套接字层(SSL)和传输层安全(TLS)协议的加密库。
在 OpenSSL 中,ECDSA(椭圆曲线 Diffie-Hellman 密钥交换)是一种常用的加密算法,主要用于密钥交换和数字签名。
ECDSA 加密算法的优势在于其较短的公钥长度,相较于其他非对称加密算法如 RSA,可以提供更高的安全性。
公钥长度对于加密算法的安全性至关重要。
一般来说,公钥长度越长,加密强度越高,破解所需的计算能力也越大。
然而,随着公钥长度的增加,加密和解密的性能也会受到影响。
因此,在实际应用中,需要在安全性与性能之间找到一个平衡点。
在 ECDSA 加密算法中,公钥长度通常有 128 位、192 位、256 位和 384 位等不同选择。
较短的公钥长度如 128 位可以提供较快的加密解密速度,但安全性相对较低;较长的公钥长度如 384 位则能提供更高的安全性,但加密解密的性能会有所降低。
在实际应用中,选择合适的公钥长度需要根据具体情况来权衡。
如果对安全性要求较高,可以选择较长的公钥长度;如果对性能要求较高,可以选择较短的公钥长度。
需要注意的是,公钥长度的选择应根据实际需求进行,避免过度追求安全性或性能,导致资源浪费或影响实际应用效果。
总之,OpenSSL 中的 ECDSA 加密算法提供了一种在安全性与性能之间平衡的方案。
openssl中文简介
openssl简介(中文版本)广州全通数码科技有限公司软件技术部制作(内部资料,禁止外传)目录前言............................................................... 1openssl简介-证书.. (2)openssl简介-加密算法 (7)openssl简介-协议 (9)openssl简介-入门 (11)openssl简介-指令 verify (13)openssl简介-指令asn1parse (17)openssl简介-指令ca(一) (19)openssl简介-指令ca(二) (22)openssl简介-指令cipher (24)openssl简介-指令dgst (28)openssl简介-指令dhparam (29)openssl简介-指令enc (31)openssl简介-指令gendsa (34)openssl简介-指令genrsa (35)openssl简介-指令passwd (36)openssl简介-指令pkcs7 (37)openssl简介-指令rand (38)openssl简介-指令req(一) (39)openssl简介-指令req(二) (42)openssl简介-指令rsa (45)openssl简介-指令rsautl (47)openssl简介-指令s_client(一) (50)openssl简介-指令s_client(二) (53)openssl简介-指令s_server (57)openssl简介-指令sess_id (59)openssl简介-指令speed (61)openssl简介-指令version (62)openssl简介-指令x509(一) (63)openssl简介-指令x509(二) (66)前言不久前接到有关ssl的活,结果找遍中文网站资料实在奇缺。
感觉是好象现在国内做这个技术的人不多。
openssl基础知识以及部分命令详解
openssl基础知识以及部分命令详解⼀、基础知识 Openssl是⼀个开源的⽤以实现SSL协议的产品,它主要包括了三个部分:密码算法库、应⽤程序、SSL协议库。
Openssl实现了SSL协议所需要的⼤多数算法。
OpenSSL⼀共提供了8种对称加密算法,其中7种是分组加密算法,仅有的⼀种流加密算法是RC4。
这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都⽀持电⼦密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常⽤的分组密码加密模式。
其中,AES使⽤的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使⽤的则是64位。
事实上,DES算法⾥⾯不仅仅是常⽤的DES算法,还⽀持三个密钥和两个密钥3DES算法。
下⾯是使⽤Openssl进⾏⽂件的对称加密操作。
(⼀)Openssl⽀持的加密算法有:-aes-128-cbc -aes-128-cfb -aes-128-cfb1-aes-128-cfb8 -aes-128-ecb -aes-128-ofb-aes-192-cbc -aes-192-cfb -aes-192-cfb1-aes-192-cfb8 -aes-192-ecb -aes-192-ofb-aes-256-cbc -aes-256-cfb -aes-256-cfb1-aes-256-cfb8 -aes-256-ecb -aes-256-ofb-aes128 -aes192 -aes256-bf -bf-cbc -bf-cfb-bf-ecb -bf-ofb -blowfish-cast -cast-cbc -cast5-cbc-cast5-cfb -cast5-ecb -cast5-ofb-des -des-cbc -des-cfb-des-cfb1 -des-cfb8 -des-ecb-des-ede -des-ede-cbc -des-ede-cfb-des-ede-ofb -des-ede3 -des-ede3-cbc-des-ede3-cfb -des-ede3-ofb -des-ofb-des3 -desx -desx-cbc-rc2 -rc2-40-cbc -rc2-64-cbc-rc2-cbc -rc2-cfb -rc2-ecb-rc2-ofb -rc4 -rc4-40(⼆)Openssl加密指令语法openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e][-d] [-a] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-p][-P] [-bufsize number] [-nopad] [-debug]说明: -chipername选项:加密算法,Openssl⽀持的算法在上⾯已经列出了,你只需选择其中⼀种算法即可实现⽂件加密功能。
openssl 用法
openssl 用法1. 简介OpenSSL是一个开源的加密库,它提供了一套丰富的加密算法和工具,可以用于安全通信、数字证书、密码学等领域。
本文将详细介绍OpenSSL的用法,包括生成证书、对称加密、非对称加密以及数字签名等方面。
2. 生成证书2.1 创建自签名证书使用OpenSSL可以创建自签名证书,自签名证书是一种不依赖于第三方机构签发的信任证书。
生成自签名证书的步骤如下:1.生成私钥:openssl genrsa -out private.key 20482.生成证书签名请求:openssl req -new -key private.key -out csr.csr3.使用私钥签名证书请求:openssl x509 -req -in csr.csr -signkeyprivate.key -out certificate.crt2.2 使用CA签发证书除了自签名证书,还可以向证书颁发机构(CA)申请证书。
步骤如下:1.生成私钥:openssl genrsa -out private.key 20482.生成证书签名请求:openssl req -new -key private.key -out csr.csr3.将证书签名请求发送给CA机构进行签发4.收到由CA签发的证书后,使用私钥对其进行验证:openssl x509 -req -incsr.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out certificate.crt3. 对称加密对称加密是一种加密算法,使用相同的密钥进行加密和解密。
OpenSSL支持多种对称加密算法,包括DES、AES等。
3.1 对称加密示例以下是使用AES对称加密算法进行加密和解密的示例:# 生成密钥openssl rand -out key.key 16# 加密文件openssl enc -aes-256-cbc -e -in plaintext.txt -out ciphertext.enc -pass file:. /key.key# 解密文件openssl enc -aes-256-cbc -d -in ciphertext.enc -out plaintext.txt -pass file:. /key.key4. 非对称加密与对称加密不同,非对称加密使用一对公钥和私钥进行加密和解密。
openssl简介
opensslopensslSSL,Security Socket Layer,是一个安全传输协议,在Internet网上进行数据保护和身份确认。
OpenSSL是一个开放源代码的实现了SSL及相关加密技术的软件包,由加拿大的Eric Yang等发起编写的。
OpenSSL的官方网站为/,源代码可以从ftp:///source/opensslSSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。
Netscape 公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。
SSL采用公开密钥技术。
其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。
openssl利用公开密钥技术的SSL协议已成为Internet上保密通讯的工业标准。
安全套接层协议能使C/S应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。
SSL协议要求建立在可靠的传输层协议(TCP)之上。
SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。
opensslSSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。
在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
通过以上叙述,SSL协议提供的安全信道有以下三个特性:1.数据的保密性信息加密就是把明码的输入文件用加密算法转换成加密的文件以实现数据的保密。
加密的过程需要用到密匙来加密数据然后再解密。
没有了密钥,就无法解开加密的数据。
数据加密之后,只有密匙要用一个安全的方法传送。
加密过的数据可以公开地传送。
2.数据的一致性加密也能保证数据的一致性。
例如:消息验证码(MAC),能够校验用户提供的加密信息,接收者可以用MAC来校验加密数据,保证数据在传输过程中没有被篡改过。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OpenSSL简介LaoKa2008-04-25目录目录 (i)第一章前言 (1)第二章证书 (1)第三章加密算法 (5)第四章协议 (6)第五章入门 (7)第六章指令verify (8)第七章指令asn1parse (11)第八章指令CA(一) (12)第九章指令CA(二) (14)第十章指令cipher (15)第十一章指令dgst (18)第十二章指令dhparam (19)第十三章指令dsa (19)第十四章指令dsaparam (20)第十五章指令enc (21)第十六章指令gendsa (23)第十七章指令genrsa (23)第十八章指令passwd (24)第十九章指令pkcs7 (24)第二十章指令rand (25)第二十一章指令req(一) (25)第二十二章指令req(二) (27)第二十三章指令rsa (29)第二十四章指令rsautl (30)第二十五章指令s_client(一) (32)第二十六章指令s_client(二) (34)第二十七章指令s_server (37)第二十八章指令sess_id (38)第二十九章指令speed (39)第三十章指令version (40)第三十一章指令x509(一) (40)第三十二章指令x509(二) (42)第一章前言不久前接到有关ssl的活,结果找遍中文网站资料实在奇缺。
感觉是好象现在国内做这个技术的人不多,所以有兴趣写点东西来介绍一下。
我使用的ssl的toolkit是openssl,就用openssl做例子来讲解。
openssl实在太大了,指令也多,API也多,更严重的是它的API没有说明。
我打算漫漫说清楚其主要指令的用法,主要API的中文说明,以及使用/编程的方法。
工作量很大,因为我接触它也没几个月,现在大概完成了1/10吧,先把目前自己的一些心得,找到的资料和一些翻译出来的东西贴出来,希望对研究ssl的人有帮助。
第二章证书证书就是数字化的文件,里面有一个实体(网站、个人等)的公共密钥和其他的属性,如名称等。
该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。
证书用来保证不对称加密算法的合理性。
想想吧,如果没有证书记录,那么假设某俩人A与B的通话过程如下:(这里假设A的public key是K1,private key是K2,B的public key是K3,private key是K4。
xxxxxx(kn)表示用kn加密过的一段文字xxxxxx。
)A→hello(plain text)→BA←hello(plain text)←BA←B’s public key←BA→A’s public key→B如果C想假装成B,那么步骤就和上面一样。
A→hello(plain text)→CA←hello(plain text)←C注意下一步,因为A没有怀疑C的身份,所以他理所当然的接受了C的public key,并且使用这个key来继续下面的通信。
A←C’s public key←CA→A’s public key→C这样的情况下A是没有办法发觉C是假的。
如果A在通话过程中要求取得B的证书,并且验证证书里面记录的名字,如果名字和B的名字不符合,就可以发现对方不是B。
验证B的名字,通过再从证书里面提取B的公用密钥,继续通信过程。
那么,如果证书是假的怎么办?或者证书被修改过了怎么办?慢慢看下来吧。
证书最简单的形式就是只包含有证书拥有者的名字和公用密钥。
当然现在用的证书没这么简单,里面至少还有证书过期的deadline、颁发证书的机构名称、证书系列号和一些其他可选的信息。
最重要的是,它包含了证书颁发机构(certification authority,简称CA)的签名信息。
我们现在常用的证书是采用X.509结构的,这是一个国际标准证书结构。
任何遵循该标准的应用程序都可以读写X509结构的证书。
通过检查证书里面的CA的名字,和CA的签名,就知道这个证书的确是由该CA签发的,然后,你就可以简单证书里面的接收证书者的名字,然后提取公共密钥。
这样做建立的基础是,你信任该CA,认为该CA没有颁发错误的证书。
CA是第三方机构,被你信任,由它保证证书的确发给了应该得到该证书的人。
CA自己有一个庞大的public key数据库,用来颁发给不同的实体。
这里有必要解释一下,CA也是一个实体,它也有自己的公共密钥和私有密钥,否则怎么做数字签名?它也有自己的证书,你可以去它的站点down它的证书得到它的公共密钥。
一般CA的证书都内嵌在应用程序中间。
不信你打开你的IE,在Internet选项里面选中“内容”,点击“证书”,看看那个“中间证书发行机构”和“委托根目录发行机构”,是不是有一大堆CA 的名称?也有时CA的证书放在安全的数据库里面,当你接受到对方的证书的时候,你首先会去看该证书的CA,然后去查找自己的CA证书数据库,看看是否能找到,找不到就表示自己不信任该CA,那么就告吹本次连接。
找到了的话就用该CA的证书里面的公用密钥去检查CA在证书上的签名。
这里又有个连环的问题,我怎么知道那个CA的证书是属于那个CA的?人家不能造假吗?解释一下吧。
CA也是分级别的。
最高级别的CA叫Root Cas,其他cheap一点的CA的证书由他们来颁发和签名。
这样的话,最后的保证就是:我们信任Root Cas。
那些有Root CAs签过名的证书的CA就可以来颁发证书给实体或者其他CA了。
你不信任Root CAs?人民币由中国人民银行发行,运到各个大银行,再运到地方银行,你从地方银行取人民币的时候不信任发行它的中国人民银行吗?Root CAs都是很权威的机构,没有必要担心他们的信用。
那Root CAs谁给签名?他们自己给自己签名,叫自签名。
说了这么多,举个certificate的例子吧,对一些必要的item解释一下。
Certificate ExampleCertificate:Data:Version: 1 (0x0)Serial Number: 02:41:00:00:16Signature Algorithm: md2WithRSAEncryption //CA同志的数字签名的算法Issuer: C=US, O=RSA Data Security, Inc., OU=Commercial //CA自报家门CertificationAuthorityValidityNot Before: Nov 4 18:58:34 1994 GMT //证书的有效期Not After : Nov 3 18:58:34 1999 GMTSubject: C=US, O=RSA Data Security, Inc., OU=CommercialCertification AuthoritySubject Public Key InfoPublic Key Algorithm: rsaEncryptionRSA Public Key: (1000 bit)Modulus (1000 bit)00:a4:fb:81:62:7b:ce:10:27:dd:e8:f7:be:6c:6e:c6:70:99:db:b8:d5:05:03:69:28:82:9c:72:7f:96:3f:8e:ec:ac:29:92:3f:8a:14:f8:42:76:be:bd:5d:03:b9:90:d4:d0:bc:06:b2:51:33:5f:c4:c2:bf:b6:8b:8f:99:b6:62:22:60:dd:db:df:20:82:b4:ca:a2:2f:2d:50:ed:94:32:de:e0:55:8d:d4:68:e2:e0:4c:d2:cd:05:16:2e:95:66:5c:61:52:38:1e:51:a8:82:a1:c4:ef:25:e9:0a:e6:8b:2b:8e:31:66:d9:f8:d9:fd:bd:3b:69:d9:ebExponent: 65537 (0x10001)Signature Algorithm: md2WithRSAEncryption76:b5:b6:10:fe:23:f7:f7:59:62:4b:b0:5f:9c:c1:68:bc:49:bb:b3:49:6f:21:47:5d:2b:9d:54:c4:00:28:3f:98:b9:f2:8a:83:9b:60:7f:eb:50:c7:ab:05:10:2d:3d:ed:38:02:c1:a5:48:d2:fe:65:a0:c0:bc:ea:a6:23:16:66:6c:1b:24:a9:f3:ec:79:35:18:4f:26:c8:e3:af:50:4a:c7:a7:31:6b:d0:7c:18:9d:50:bf:a9:26:fa:26:2b:46:9c:14:a9:bb:5b:30:98:42:28:b5:4b:53:bb:43:09:92:40:ba:a8:aa:5a:a4:c6:b6:8b:57:4d:c5其实这是我们看的懂的格式的证书内容,真正的证书都是加密过了的,其丑恶面容如下:-----BEGIN CERTIFICATE-----MIIDcTCCAtqgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBiDELMAkGA1UEBh MCQ0gxEjAQBgNVBAgTCWd1YW5nZG9uZzESMBAGA1UEBxMJZ3Vhbmd6aG91MR EwDwYDVQQKEwhhc2lhaW5mbzELMAkGA1UECxMCc3cxDjAMBgNVBAMTBWhlbn J5MSEwHwYJKoZIhvcNAQkBFhJmb3JkZXNpZ25AMjFjbi5jb20wHhcNMDAwODMwM Dc0MTU1WhcNMDEwODMwMDc0MTU1WjCBiDELMAkGA1UEBhMCQ0gxEjAQBg NVBAgTCWd1YW5nZG9uZzESMBAGA1UEBxMJZ3Vhbmd6aG91MREwDwYDVQQK Ewhhc2lhaW5mbzELMAkGA1UECxMCc3cxDjAMBgNVBAMTBWhlbnJ5MSEwHwYJK oZIhvcNAQkBFhJmb3JkZXNpZ25AMjFjbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0 AMIGJAoGBAMDY ArTAhLIFacYZwP30Zu63mAkgpAjVHaIsIEJ6wySIZl2THEHjJ0kS3i 8lyMqcl7dUFcAXlL Yi2+rdktoGjBQMOtOHv1/cmo0vzuf38+NrAZSZT9ZweJfIlp8W9uyz8 Dv5hekQgXFg/l3L+HSxwNvQalaOEw2nyf45/np/QhNpAgMBAAGjgegwgeUwHQYDVR0 OBBYEFKBL7xGeHQSmICH5wBrOiqNFiildMIG1BgNVHSMEga0wgaqAFKBL7xGeHQ SmICH5wBrOiqNFiildoYGOpIGLMIGIMQswCQYDVQQGEwJDSDESMBAGA1UECB MJZ3Vhbmdkb25nMRIwEAYDVQQHEwlndWFuZ3pob3UxETAPBgNVBAoTCGFzaWFp bmZvMQswCQYDVQQLEwJzdzEOMAwGA1UEAxMFaGVucnkxITAfBgkqhkiG9w0BCQ EWEmZvcmRlc2lnbkAyMWNuLmNvbYIBADAMBgNVHRMEBTADAQH/MA0GCSqGS Ib3DQEBBAUAA4GBAGQa9HK2mixM7ML70jZr1QJUHrBoabX2AbDchb4Lt3qAgPOktT c3F+K7NgB3WSVbdqC9r3YpS23RexU1aFcHihDn73s+PfhVjpT8arC1RQDg9bDPvUUYph dQC0U+HF72/CvxGCTqpnWiqsgwxqeog0A8H3doDrffw8Zb7408+Iqf-----END CERTIFICATE-----证书都是有寿命的。