如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹
證書格式介紹
PKCS 全稱是 Public-Key Cryptography Standards ,是由 RSA 實(shí)驗(yàn)室與其它安全系統(tǒng)開發(fā)商為促進(jìn)公鑰密碼的發(fā)展而制訂的一系列標(biāo)準(zhǔn),PKCS 目前共發(fā)布過 15 個(gè)標(biāo)準(zhǔn)。 常用的有:
PKCS#7
:Cryptographic Message Syntax StandardPKCS#10
:Certification Request StandardPKCS#12
:Personal Information Exchange Syntax StandardX.509
:是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國(guó)際標(biāo)準(zhǔn)。PKCS#7
:常用的后綴是: .P7B .P7C .SPCPKCS#12
:常用的后綴有: .P12 .PFXX.509
:DER 編碼(ASCII)的后綴是: .DER .CER .CRTX.509
:PAM 編碼(Base64)的后綴是: .PEM .CER .CRT.cer/.crt
:是用于存放證書,它是2進(jìn)制形式存放的,不含私鑰。.pem
:跟crt/cer的區(qū)別是它以Ascii來表示。pfx/p12
:用于存放個(gè)人證書/私鑰,他通常包含保護(hù)密碼,2進(jìn)制方式p10
:是證書請(qǐng)求p7r
:是CA對(duì)證書請(qǐng)求的回復(fù),只用于導(dǎo)入p7b
:以樹狀展示證書鏈(certificate chain),同時(shí)也支持單個(gè)證書,不含私鑰。
關(guān)于證書后綴格式來自: https://www.chinassl.net/ssltools/convert-ssl-commands.html
.pem轉(zhuǎn)換的問題描述
從.pem
文件中提取/轉(zhuǎn)換證書.crt
和私鑰.key
文件的正確方法或者命令是什么?我知道它們是可轉(zhuǎn)換的,但是不清楚怎么做。
最佳解決方法
可以使用以下方式將pem轉(zhuǎn)換為crt:
openssl x509 -outform der -in your-cert.pem -out your-cert.crt
可行的解決方法整理
使用OpenSSL進(jìn)行轉(zhuǎn)換
以下命令允許將證書和密鑰轉(zhuǎn)換為不同的格式,使其與特定類型的服務(wù)器或軟件兼容。
- 將
DER
文件(.crt .cer .der
)轉(zhuǎn)換為PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
- 將
PEM
文件轉(zhuǎn)換為DER
openssl x509 -outform der -in certificate.pem -out certificate.der
- 將包含私鑰和證書的
PKCS#12
文件(.pfx .p12
)轉(zhuǎn)換為PEM
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
You can add -nocerts to only output the private key or add -nokeys to only output the certificates.
- 將
PEM
證書文件和私鑰轉(zhuǎn)換為PKCS#12(.pfx .p12)
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
- 將
PEM
轉(zhuǎn)換為CRT(.CRT文件)
openssl x509 -outform der -in certificate.pem -out certificate.crt
OpenSSL轉(zhuǎn)換PEM
- 將
PEM
轉(zhuǎn)換為DER
openssl x509 -outform der -in certificate.pem -out certificate.der
- 將
PEM
轉(zhuǎn)換為P7B
openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
- 將
PEM
轉(zhuǎn)換為PFX
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
OpenSSL
轉(zhuǎn)換DER
- 將
DER
轉(zhuǎn)換為PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
OpenSSL
轉(zhuǎn)換P7B
- 將
P7B
轉(zhuǎn)換為PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
- 將
P7B
轉(zhuǎn)換為PFX
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer
OpenSSL
轉(zhuǎn)換PFX
- 將
PFX
轉(zhuǎn)換為PEM
openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
通過OpenSSL
生成rsa
密鑰
- 在命令行上使用
OpenSSL
,首先需要生成公鑰和私鑰,應(yīng)該使用-passout
參數(shù)密碼保護(hù)此文件,該參數(shù)可以采用許多不同的形式,可以請(qǐng)參閱OpenSSL
文檔。openssl genrsa -out private.pem 1024
- 這將創(chuàng)建一個(gè)名為private.pem的密鑰文件,該文件使用1024位(bits)。該文件實(shí)際上同時(shí)具有私鑰和公鑰,可以從該文件中提取公共密鑰:
openssl rsa -in private.pem -out public.pem -outform PEM -pubout
or
openssl rsa -in private.pem -pubout > public.pem
or
openssl rsa -in private.pem -pubout -out public.pem
現(xiàn)在你的public.pem
只包含公鑰,可以和第三方自由地分享??梢酝ㄟ^使用公鑰加密自己的東西然后使用私鑰進(jìn)行解密來測(cè)試,首先我們需要一些數(shù)據(jù)做加密:
- 示例文件:
echo 'too many secrets' > file.txt
現(xiàn)在在file.txt
中有一些數(shù)據(jù),可以使用OpenSSL
和公鑰進(jìn)行加密:
openssl rsautl -encrypt -inkey public.pem -pubin -in file.txt -out file.ssl
- 這將創(chuàng)建一個(gè)加密版本的
file.txt
,命令這個(gè)文件為file.ssl
(如果直接打開這個(gè)文件查看那么它看起來只是二進(jìn)制垃圾,人類無法看懂)。然后可以使用私鑰解密它:
openssl rsautl -decrypt -inkey private.pem -in file.ssl -out decrypted.txt
- 現(xiàn)在在
decryptpted.txt
中有一個(gè)未加密的文件:
cat decrypted.txt |output -> too many secrets
OpenSSL
中的RSA
工具選項(xiàng)
名稱:
rsa - RSA密鑰處理工具
概要:
openssl rsa [-help] [-inform PEM | NET | DER] [-outform PEM | NET | DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-aes128] [ -aes192] [-aes256] [-camellia128] [-camellia192] [-camellia256] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin ] [-pubout] [-RSAPublicKey_in] [-RSAPublicKey_out] [-engine id]
說明:
rsa
命令處理RSA
密鑰。它們可以在各種形式之間進(jìn)行轉(zhuǎn)換,并將其組件打印出來。注意,此命令使用傳統(tǒng)的SSLeay
兼容格式進(jìn)行私鑰加密:較新的應(yīng)用程序應(yīng)使用pkcs8
實(shí)用程序使用更安全的PKCS#8
格式。命令選項(xiàng):
-help
:打印出使用信息。-inform DER|NET|PEM
:指定輸入格式。 DER選項(xiàng)使用與PKCS#1 RSAPrivateKey或SubjectPublicKeyInfo格式兼容的ASN1 DER編碼格式。 PEM格式是默認(rèn)格式:它由DER格式base64編碼,帶有附加的頁(yè)眉和頁(yè)腳行。在輸入PKCS#8格式的私鑰也被接受。 NET格式是在NOTES部分中描述的格式。-outform DER|NET|PEM
:指定輸出格式,選項(xiàng)與-inform選項(xiàng)的含義相同。-in filename
:如果未指定此選項(xiàng),則指定從或從標(biāo)準(zhǔn)輸入讀取密鑰的輸入文件名。如果密鑰加密,將提示輸入密碼。-passin arg
:輸入文件的密碼來源。有關(guān)arg的格式的更多信息,參閱openssl中的PASS PHRASE ARGUMENTS部分。-out filename
:如果未指定此選項(xiàng),則指定將密鑰寫入或輸出的輸出文件名。如果設(shè)置了任何加密選項(xiàng),則會(huì)提示輸入密碼。輸出文件名不能與輸入文件名相同。-passout password
:輸出文件密碼來源。有關(guān)arg的格式的更多信息,參閱openssl中的PASS PHRASE ARGUMENTS部分。-aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea
這些選項(xiàng)在輸出之前用指定的密碼加密私鑰。會(huì)有同通行提示信息。如果沒有指定這些選項(xiàng),則key以純文本形式寫入。這些選項(xiàng)只能用于PEM格式的輸出文件。-text
:除了編碼版本之外,以純文本形式打印各種公共或私人密鑰組件。-noout
:此選項(xiàng)可防止輸出密鑰的編碼版本。-modulus
:此選項(xiàng)打印出該鍵的取模數(shù)值。-check
:此選項(xiàng)將檢查RSA私鑰的一致性。-pubin
:默認(rèn)情況下,從輸入文件讀取私鑰:使用此選項(xiàng)讀取公鑰。-pubout
:默認(rèn)情況下會(huì)輸出一個(gè)私鑰:使用此選項(xiàng)將會(huì)輸出一個(gè)公鑰。如果輸入是公鑰,則會(huì)自動(dòng)設(shè)置此選項(xiàng)。-RSAPublicKey_in, -RSAPublicKey_out
:像-pubin和-pubout一樣,除了使用RSAPublicKey格式的情形。-engine id
:指定一個(gè)引擎(通過其獲得唯一的id字符串)將導(dǎo)致rsa嘗試獲得對(duì)特定引擎功能的引用,從而在需要時(shí)進(jìn)行初始化。然后,引擎將被設(shè)置為所有可用算法的默認(rèn)值。
筆記
- PEM私鑰格式使用以下頁(yè)眉和頁(yè)腳行:
-----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY-----
- PEM公鑰格式使用以下頁(yè)眉和頁(yè)腳行:
-----BEGIN PUBLIC KEY----- -----END PUBLIC KEY-----
- PEM RSAPublicKey格式使用以下頁(yè)眉和頁(yè)腳線:
-----BEGIN RSA PUBLIC KEY----- -----END RSA PUBLIC KEY-----
NET
格式是與舊的Netscape
服務(wù)器和Microsoft IIS .key
文件兼容的格式,它使用未加密的RC4
進(jìn)行加密。這種方法不是很安全,所以只能在必要時(shí)使用。一些較新版本的IIS
在導(dǎo)出的.key
文件中有其他額外的數(shù)據(jù)。要使用這些實(shí)用程序,請(qǐng)使用二進(jìn)制編輯器查看文件,并查找字符串"private-key"
,然后追溯到字節(jié)序列0x30
,0x82
(這是一個(gè)ASN1 SEQUENCE
)。將所有數(shù)據(jù)從此點(diǎn)復(fù)制到另一個(gè)文件,并將其用作帶有-inform NET
選項(xiàng)的rsa
實(shí)用程序的輸入。
例子
- 要?jiǎng)h除RSA私鑰上的密碼短語:
openssl rsa -in key.pem -out keyout.pem
- 使用三重DES加密私鑰:
openssl rsa -in key.pem -des3 -out keyout.pem
- 將私鑰從PEM轉(zhuǎn)換為DER格式:
openssl rsa -in key.pem -outform DER -out keyout.der
- 將私鑰的組件輸出到標(biāo)準(zhǔn)輸出:
openssl rsa -in key.pem -text -noout
- 要輸出私鑰的公共部分:
openssl rsa -in key.pem -pubout -out pubkey.pem
- 以
RSAPublicKey
格式輸出私鑰的公共部分:
openssl rsa -in key.pem -RSAPublicKey_out -out pubkey.pem
到此這篇關(guān)于如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹的文章就介紹到這了,更多相關(guān)如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹
這篇文章主要介紹了如何將pem證書轉(zhuǎn)換為.crt和.key與證書格式介紹,需要的朋友可以參考下2024-01-01Rsync ERROR: auth failed on module解決方法
今天在兩臺(tái)服務(wù)器同步備份在用戶權(quán)限上糾結(jié)了很多,主要關(guān)于這個(gè)問題網(wǎng)上的配置方法不一,源自rsync版本不一致,這里簡(jiǎn)單總結(jié)下,方便需要的朋友2013-09-09MongoDB學(xué)習(xí)筆記(四) 用MongoDB的文檔結(jié)構(gòu)描述數(shù)據(jù)關(guān)系
MongoDB的集合(collection)可以看做關(guān)系型數(shù)據(jù)庫(kù)的表,文檔對(duì)象(document)可以看做關(guān)系型數(shù)據(jù)庫(kù)的一條記錄。但兩者并不完全對(duì)等2013-07-07阿里云服務(wù)器部署RabbitMQ集群的詳細(xì)教程
本文是對(duì)?RabbitMQ?進(jìn)階?阿里云服務(wù)器部署RabbitMQ集群簡(jiǎn)單的概述,搭建集群達(dá)到消息的高可用,高可靠,可以提高吞吐量,集群部署是一個(gè)很不錯(cuò)的選擇,鏡像隊(duì)列集群,這個(gè)我們可以根據(jù)配置來進(jìn)行同步規(guī)則,根據(jù)需求來定制化我們的規(guī)則,感興趣的朋友一起看看吧2022-05-05Apache?Hudi基于華米科技應(yīng)用湖倉(cāng)一體化改造
這篇文章主要介紹了Apache?Hudi基于華米科技應(yīng)用湖倉(cāng)一體化改造?,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步早日升職加薪2022-03-03