SSL 证书

作者: 又语 | 来源:发表于2020-04-01 19:42 被阅读0次

根据https证书类型选择性价比高的https证书
SSL证书创建与部署
https-为你的博客加入SSL
SSL证书选型
什么是EV SSL证书?EV SSL证书价格及优势评测
beego启用https
comodo多域名SSL证书，Comodo PositiveSS
通配符DV SSL证书和专业版OV SSL证书哪个好？有什么区
Beego实现HTTPS访问
Spring Boot前后端分离项目配置SSL证书——HTTPS

本文介绍 SSL 证书相关标准、格式及转换命令。

证书标准

X.509 是密码学中公钥证书的格式标准，主要定义了证书中应该包含哪些内容，如：公钥、身份信息（比如网络主机名，组织的名称或个体名称等）和签名信息（可以是证书签发机构 CA 的签名，也可以是自签名），可以参考 RFC5280。

编码格式

同样的 X.509 证书可能有不同的编码格式，目前有以下两种编码格式：

PEM：Privacy Enhanced Mail，以 -----BEGIN... 开头、-----END... 结尾的文本格式，内容为 BASE64 编码。Apache 和 Nginx 服务器偏向于使用这种编码格式。
DER：Distinguished Encoding Rules，二进制格式（不可读），Java 和 Windows 服务器偏向于使用这种编码格式。

证书格式

PEM
PEM 编码格式证书，通常用于数字证书认证机构（Certificate Authorities，CA）。可保存证书，也可保存私钥，有时也将 PEM 格式的私钥后缀修改为 .key 以区别证书和私钥。
OpenSSL 查看命令：openssl x509 -in certificate.pem -text -noout
DER
DER 编码格式证书，所有类型的认证证书和私钥都可以存储为 DER 格式。只保存证书，不保存私钥。
OpenSSL 查看命令：openssl x509 -in certificate.der -inform der -text -noout
KEY
通常用来存放一个公钥或者私钥，并非 X.509 证书，编码可能是 PEM，也可能是 DER。
OpenSSL 查看命令：openssl rsa -in mykey.key -text -noout
如果是 DER 格式：openssl rsa -in mykey.key -text -noout -inform der
CER
可能是 PEM 编码，也可能是 DER 编码，大多数应该是 DER 编码。常见于Windows系统。
CRT
Certificate 的简称，可能是 PEM 编码，也可能是 DER 编码，大多数应该是 PEM 编码。常见于 *NIX 系统。与 DER 相同不保存私钥。
CSR
这不是证书，可以简单理解成公钥，生成证书时要把这个提交给权威的证书颁发机构。其核心内容是一个公钥(当然还附带了一些别的信息)，在生成这个申请的时候,同时也会生成一个私钥。
OpenSSL 查看命令：openssl req -noout -text -in my.csr（如果是 DER 格式需要加上 -inform der）
PKCS#7/P7B
(1) 只能存储认证证书或证书路径中的证书（就是存储认证证书链，本级，上级，到根级都存到一个文件中）,不能存储私钥。
(2) 文件扩展名：.p7b 或 .p7c。
(3) 内容：以 -----BEGIN PKCS7----- 开头，以 -----END PKCS7----- 结尾，中间内容为 BASE64 编码。
(4) 使用场景：Windows 或 Tomcat。
PKCS#12/PFX
(1) Predecessor of PKCS#12，同时包含证书和私钥，一般有密码保护。
(2) 内容：二进制格式。
(3) 使用场景：一般用于 Windows 上的 IIS 服务器。
(4) OpenSSL 查看命令：openssl pkcs12 -in for-iis.pfx
参考：Public Key Cryptographic Standards
JKS
(1) Java Key Storage，Java 专属格式，同时包含证书和私钥，一般有密码保护。可以使用 keytool 工具进行格式转换。
(2) 内容：二进制格式。
(3) 使用场景：一般用于 Tomcat 服务器。

证书生成命令

PEM：openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem
PFX：openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
CSR：openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr

证书转换命令

方法：使用 OpenSSL 命令行工具在不同证书格式之间转换。

PEM > DER：openssl x509 -outform der -in certificate.pem -out certificate.der
PEM > P7B：openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
PEM > PFX：openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
DER > PEM：openssl x509 -inform der -in certificate.cer -out certificate.pem
P7B > PEM：openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
PFX > PEM：openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
注意：PFX 转 PEM 后 certificate.cer 文件包含认证证书和私钥，需要把它们分开存储才能使用。