證書格式介紹

PKCS 全稱是 Public-Key Cryptography Standards ，是由 RSA 實(shí)驗(yàn)室與其它安全系統(tǒng)開發(fā)商為促進(jìn)公鑰密碼的發(fā)展而制訂的一系列標(biāo)準(zhǔn)，PKCS 目前共發(fā)布過 15 個(gè)標(biāo)準(zhǔn)。 常用的有：

• PKCS#7：Cryptographic Message Syntax Standard

• PKCS#10：Certification Request Standard

• PKCS#12：Personal Information Exchange Syntax Standard

• X.509：是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國(guó)際標(biāo)準(zhǔn)。

• PKCS#7：常用的后綴是： .P7B .P7C .SPC

• PKCS#12：常用的后綴有： .P12 .PFX

• X.509：DER 編碼(ASCII)的后綴是： .DER .CER .CRT

• X.509：PAM 編碼(Base64)的后綴是： .PEM .CER .CRT

• .cer/.crt：是用于存放證書，它是2進(jìn)制形式存放的，不含私鑰。

• .pem：跟crt/cer的區(qū)別是它以Ascii來表示。

• pfx/p12：用于存放個(gè)人證書/私鑰，他通常包含保護(hù)密碼，2進(jìn)制方式

• p10：是證書請(qǐng)求

• p7r：是CA對(duì)證書請(qǐng)求的回復(fù)，只用于導(dǎo)入

• p7b：以樹狀展示證書鏈(certificate chain)，同時(shí)也支持單個(gè)證書，不含私鑰。

關(guān)于證書后綴格式來自: https://www.chinassl.net/ssltools/convert-ssl-commands.html

.pem轉(zhuǎn)換的問題描述

從.pem文件中提取/轉(zhuǎn)換證書.crt和私鑰.key文件的正確方法或者命令是什么？我知道它們是可轉(zhuǎn)換的，但是不清楚怎么做。

最佳解決方法

可以使用以下方式將pem轉(zhuǎn)換為crt：

openssl x509 -outform der -in your-cert.pem -out your-cert.crt

可行的解決方法整理

使用OpenSSL進(jìn)行轉(zhuǎn)換

以下命令允許將證書和密鑰轉(zhuǎn)換為不同的格式，使其與特定類型的服務(wù)器或軟件兼容。

• 將DER文件(.crt .cer .der)轉(zhuǎn)換為PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

• 將PEM文件轉(zhuǎn)換為DER

openssl x509 -outform der -in certificate.pem -out certificate.der

• 將包含私鑰和證書的PKCS＃12文件(.pfx .p12)轉(zhuǎn)換為PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

You can add -nocerts to only output the private key or add -nokeys to only output the certificates.

• 將PEM證書文件和私鑰轉(zhuǎn)換為PKCS＃12(.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

• 將PEM轉(zhuǎn)換為CRT(.CRT文件)

openssl x509 -outform der -in certificate.pem -out certificate.crt

OpenSSL轉(zhuǎn)換PEM

• 將PEM轉(zhuǎn)換為DER

openssl x509 -outform der -in certificate.pem -out certificate.der

• 將PEM轉(zhuǎn)換為P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

• 將PEM轉(zhuǎn)換為PFX

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

OpenSSL轉(zhuǎn)換DER

• 將DER轉(zhuǎn)換為PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

OpenSSL轉(zhuǎn)換P7B

• 將P7B轉(zhuǎn)換為PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

• 將P7B轉(zhuǎn)換為PFX

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

OpenSSL轉(zhuǎn)換PFX

• 將PFX轉(zhuǎn)換為PEM

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

通過OpenSSL生成rsa密鑰

• 在命令行上使用OpenSSL，首先需要生成公鑰和私鑰，應(yīng)該使用-passout參數(shù)密碼保護(hù)此文件，該參數(shù)可以采用許多不同的形式，可以請(qǐng)參閱OpenSSL文檔。
  openssl genrsa -out private.pem 1024
• 這將創(chuàng)建一個(gè)名為private.pem的密鑰文件，該文件使用1024位(bits)。該文件實(shí)際上同時(shí)具有私鑰和公鑰，可以從該文件中提取公共密鑰：

openssl rsa -in private.pem -out public.pem -outform PEM -pubout

or

openssl rsa -in private.pem -pubout > public.pem

or

openssl rsa -in private.pem -pubout -out public.pem

現(xiàn)在你的public.pem只包含公鑰，可以和第三方自由地分享?？梢酝ㄟ^使用公鑰加密自己的東西然后使用私鑰進(jìn)行解密來測(cè)試，首先我們需要一些數(shù)據(jù)做加密：

• 示例文件：

echo 'too many secrets' > file.txt

現(xiàn)在在file.txt中有一些數(shù)據(jù)，可以使用OpenSSL和公鑰進(jìn)行加密：

openssl rsautl -encrypt -inkey public.pem -pubin -in file.txt -out file.ssl

• 這將創(chuàng)建一個(gè)加密版本的file.txt，命令這個(gè)文件為file.ssl（如果直接打開這個(gè)文件查看那么它看起來只是二進(jìn)制垃圾，人類無法看懂）。然后可以使用私鑰解密它：

openssl rsautl -decrypt -inkey private.pem -in file.ssl -out decrypted.txt

• 現(xiàn)在在decryptpted.txt中有一個(gè)未加密的文件：

cat decrypted.txt
|output -> too many secrets

OpenSSL中的RSA工具選項(xiàng)

• 名稱：
  rsa - RSA密鑰處理工具

• 概要：
  openssl rsa [-help] [-inform PEM | NET | DER] [-outform PEM | NET | DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-aes128] [ -aes192] [-aes256] [-camellia128] [-camellia192] [-camellia256] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin ] [-pubout] [-RSAPublicKey_in] [-RSAPublicKey_out] [-engine id]

• 說明：
  rsa命令處理RSA密鑰。它們可以在各種形式之間進(jìn)行轉(zhuǎn)換，并將其組件打印出來。注意，此命令使用傳統(tǒng)的SSLeay兼容格式進(jìn)行私鑰加密：較新的應(yīng)用程序應(yīng)使用pkcs8實(shí)用程序使用更安全的PKCS＃8格式。

• 命令選項(xiàng):
  -help：打印出使用信息。
  -inform DER|NET|PEM：指定輸入格式。 DER選項(xiàng)使用與PKCS＃1 RSAPrivateKey或SubjectPublicKeyInfo格式兼容的ASN1 DER編碼格式。 PEM格式是默認(rèn)格式：它由DER格式base64編碼，帶有附加的頁(yè)眉和頁(yè)腳行。在輸入PKCS＃8格式的私鑰也被接受。 NET格式是在NOTES部分中描述的格式。
  -outform DER|NET|PEM：指定輸出格式，選項(xiàng)與-inform選項(xiàng)的含義相同。
  -in filename：如果未指定此選項(xiàng)，則指定從或從標(biāo)準(zhǔn)輸入讀取密鑰的輸入文件名。如果密鑰加密，將提示輸入密碼。
  -passin arg：輸入文件的密碼來源。有關(guān)arg的格式的更多信息，參閱openssl中的PASS PHRASE ARGUMENTS部分。
  -out filename：如果未指定此選項(xiàng)，則指定將密鑰寫入或輸出的輸出文件名。如果設(shè)置了任何加密選項(xiàng)，則會(huì)提示輸入密碼。輸出文件名不能與輸入文件名相同。
  -passout password：輸出文件密碼來源。有關(guān)arg的格式的更多信息，參閱openssl中的PASS PHRASE ARGUMENTS部分。
  -aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea這些選項(xiàng)在輸出之前用指定的密碼加密私鑰。會(huì)有同通行提示信息。如果沒有指定這些選項(xiàng)，則key以純文本形式寫入。這些選項(xiàng)只能用于PEM格式的輸出文件。
  -text：除了編碼版本之外，以純文本形式打印各種公共或私人密鑰組件。
  -noout：此選項(xiàng)可防止輸出密鑰的編碼版本。
  -modulus：此選項(xiàng)打印出該鍵的取模數(shù)值。
  -check：此選項(xiàng)將檢查RSA私鑰的一致性。
  -pubin：默認(rèn)情況下，從輸入文件讀取私鑰：使用此選項(xiàng)讀取公鑰。
  -pubout：默認(rèn)情況下會(huì)輸出一個(gè)私鑰：使用此選項(xiàng)將會(huì)輸出一個(gè)公鑰。如果輸入是公鑰，則會(huì)自動(dòng)設(shè)置此選項(xiàng)。
  -RSAPublicKey_in, -RSAPublicKey_out：像-pubin和-pubout一樣，除了使用RSAPublicKey格式的情形。
  -engine id：指定一個(gè)引擎(通過其獲得唯一的id字符串)將導(dǎo)致rsa嘗試獲得對(duì)特定引擎功能的引用，從而在需要時(shí)進(jìn)行初始化。然后，引擎將被設(shè)置為所有可用算法的默認(rèn)值。

筆記

• PEM私鑰格式使用以下頁(yè)眉和頁(yè)腳行：

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

• PEM公鑰格式使用以下頁(yè)眉和頁(yè)腳行：

-----BEGIN PUBLIC KEY-----

-----END PUBLIC KEY-----

• PEM RSAPublicKey格式使用以下頁(yè)眉和頁(yè)腳線：

-----BEGIN RSA PUBLIC KEY-----

-----END RSA PUBLIC KEY-----

NET格式是與舊的Netscape服務(wù)器和Microsoft IIS .key文件兼容的格式，它使用未加密的RC4進(jìn)行加密。這種方法不是很安全，所以只能在必要時(shí)使用。一些較新版本的IIS在導(dǎo)出的.key文件中有其他額外的數(shù)據(jù)。要使用這些實(shí)用程序，請(qǐng)使用二進(jìn)制編輯器查看文件，并查找字符串"private-key"，然后追溯到字節(jié)序列0x30，0x82(這是一個(gè)ASN1 SEQUENCE)。將所有數(shù)據(jù)從此點(diǎn)復(fù)制到另一個(gè)文件，并將其用作帶有-inform NET選項(xiàng)的rsa實(shí)用程序的輸入。

例子

• 要?jiǎng)h除RSA私鑰上的密碼短語：

 openssl rsa -in key.pem -out keyout.pem

• 使用三重DES加密私鑰：

openssl rsa -in key.pem -des3 -out keyout.pem

• 將私鑰從PEM轉(zhuǎn)換為DER格式：

  openssl rsa -in key.pem -outform DER -out keyout.der

• 將私鑰的組件輸出到標(biāo)準(zhǔn)輸出：

openssl rsa -in key.pem -text -noout

• 要輸出私鑰的公共部分：

  openssl rsa -in key.pem -pubout -out pubkey.pem

• 以RSAPublicKey格式輸出私鑰的公共部分：

  openssl rsa -in key.pem -RSAPublicKey_out -out pubkey.pem

到此這篇關(guān)于如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹的文章就介紹到這了,更多相關(guān)如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論