本文介绍 SSL 证书相关标准、格式及转换命令。
证书标准
X.509
是密码学中公钥证书的格式标准,主要定义了证书中应该包含哪些内容,如:公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构 CA 的签名,也可以是自签名),可以参考 RFC5280。
编码格式
同样的 X.509
证书可能有不同的编码格式,目前有以下两种编码格式:
-
PEM
:Privacy Enhanced Mail,以-----BEGIN...
开头、-----END...
结尾的文本格式,内容为BASE64
编码。Apache 和 Nginx 服务器偏向于使用这种编码格式。 -
DER
:Distinguished Encoding Rules,二进制格式(不可读),Java 和 Windows 服务器偏向于使用这种编码格式。
证书格式
-
PEM
PEM
编码格式证书,通常用于数字证书认证机构(Certificate Authorities,CA)。可保存证书,也可保存私钥,有时也将PEM
格式的私钥后缀修改为.key
以区别证书和私钥。
OpenSSL
查看命令:openssl x509 -in certificate.pem -text -noout
-
DER
DER
编码格式证书,所有类型的认证证书和私钥都可以存储为DER
格式。只保存证书,不保存私钥。
OpenSSL
查看命令:openssl x509 -in certificate.der -inform der -text -noout
-
KEY
通常用来存放一个公钥或者私钥,并非X.509
证书,编码可能是PEM
,也可能是DER
。
OpenSSL
查看命令:openssl rsa -in mykey.key -text -noout
如果是DER
格式:openssl rsa -in mykey.key -text -noout -inform der
-
CER
可能是PEM
编码,也可能是DER
编码,大多数应该是DER
编码。常见于Windows系统。 -
CRT
Certificate 的简称,可能是PEM
编码,也可能是DER
编码,大多数应该是PEM
编码。常见于 *NIX 系统。与DER
相同不保存私钥。 -
CSR
这不是证书,可以简单理解成公钥,生成证书时要把这个提交给权威的证书颁发机构。其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥。
OpenSSL
查看命令:openssl req -noout -text -in my.csr
(如果是DER
格式需要加上-inform der
) -
PKCS#7/P7B
(1) 只能存储认证证书或证书路径中的证书(就是存储认证证书链,本级,上级,到根级都存到一个文件中),不能存储私钥。
(2) 文件扩展名:.p7b
或.p7c
。
(3) 内容:以-----BEGIN PKCS7-----
开头,以-----END PKCS7-----
结尾,中间内容为BASE64
编码。
(4) 使用场景:Windows 或 Tomcat。 -
PKCS#12/PFX
(1) Predecessor of PKCS#12,同时包含证书和私钥,一般有密码保护。
(2) 内容:二进制格式。
(3) 使用场景:一般用于 Windows 上的 IIS 服务器。
(4)OpenSSL
查看命令:openssl pkcs12 -in for-iis.pfx
参考:Public Key Cryptographic Standards -
JKS
(1) Java Key Storage,Java 专属格式,同时包含证书和私钥,一般有密码保护。可以使用keytool
工具进行格式转换。
(2) 内容:二进制格式。
(3) 使用场景:一般用于 Tomcat 服务器。
证书生成命令
-
PEM
:openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem
-
PFX
:openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
-
CSR
:openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr
证书转换命令
方法:使用 OpenSSL
命令行工具在不同证书格式之间转换。
-
PEM
>DER
:openssl x509 -outform der -in certificate.pem -out certificate.der
-
PEM
>P7B
:openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
-
PEM
>PFX
:openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
-
DER
>PEM
:openssl x509 -inform der -in certificate.cer -out certificate.pem
-
P7B
>PEM
:openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
-
PFX
>PEM
:openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
注意:PFX
转PEM
后certificate.cer
文件包含认证证书和私钥,需要把它们分开存储才能使用。
网友评论