SSL 证书

作者: 又语 | 来源:发表于2020-04-01 19:42 被阅读0次

    本文介绍 SSL 证书相关标准、格式及转换命令。


    证书标准

    X.509 是密码学中公钥证书的格式标准,主要定义了证书中应该包含哪些内容,如:公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构 CA 的签名,也可以是自签名),可以参考 RFC5280


    编码格式

    同样的 X.509 证书可能有不同的编码格式,目前有以下两种编码格式:

    • PEM:Privacy Enhanced Mail,以 -----BEGIN... 开头、-----END... 结尾的文本格式,内容为 BASE64 编码。Apache 和 Nginx 服务器偏向于使用这种编码格式。
    • DER:Distinguished Encoding Rules,二进制格式(不可读),Java 和 Windows 服务器偏向于使用这种编码格式。

    证书格式

    • PEM
      PEM 编码格式证书,通常用于数字证书认证机构(Certificate Authorities,CA)。可保存证书,也可保存私钥,有时也将 PEM 格式的私钥后缀修改为 .key 以区别证书和私钥。
      OpenSSL 查看命令:openssl x509 -in certificate.pem -text -noout

    • DER
      DER 编码格式证书,所有类型的认证证书和私钥都可以存储为 DER 格式。只保存证书,不保存私钥。
      OpenSSL 查看命令:openssl x509 -in certificate.der -inform der -text -noout

    • KEY
      通常用来存放一个公钥或者私钥,并非 X.509 证书,编码可能是 PEM,也可能是 DER
      OpenSSL 查看命令:openssl rsa -in mykey.key -text -noout
      如果是 DER 格式:openssl rsa -in mykey.key -text -noout -inform der

    • CER
      可能是 PEM 编码,也可能是 DER 编码,大多数应该是 DER 编码。常见于Windows系统。

    • CRT
      Certificate 的简称,可能是 PEM 编码,也可能是 DER 编码,大多数应该是 PEM 编码。常见于 *NIX 系统。与 DER 相同不保存私钥。

    • CSR
      这不是证书,可以简单理解成公钥,生成证书时要把这个提交给权威的证书颁发机构。其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥。
      OpenSSL 查看命令:openssl req -noout -text -in my.csr(如果是 DER 格式需要加上 -inform der

    • PKCS#7/P7B
      (1) 只能存储认证证书或证书路径中的证书(就是存储认证证书链,本级,上级,到根级都存到一个文件中),不能存储私钥。
      (2) 文件扩展名:.p7b.p7c
      (3) 内容:以 -----BEGIN PKCS7----- 开头,以 -----END PKCS7----- 结尾,中间内容为 BASE64 编码。
      (4) 使用场景:Windows 或 Tomcat。

    • PKCS#12/PFX
      (1) Predecessor of PKCS#12,同时包含证书和私钥,一般有密码保护。
      (2) 内容:二进制格式。
      (3) 使用场景:一般用于 Windows 上的 IIS 服务器。
      (4) OpenSSL 查看命令:openssl pkcs12 -in for-iis.pfx
      参考:Public Key Cryptographic Standards

    • JKS
      (1) Java Key Storage,Java 专属格式,同时包含证书和私钥,一般有密码保护。可以使用 keytool 工具进行格式转换。
      (2) 内容:二进制格式。
      (3) 使用场景:一般用于 Tomcat 服务器。


    证书生成命令

    • PEMopenssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem
    • PFXopenssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
    • CSRopenssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr

    证书转换命令

    方法:使用 OpenSSL 命令行工具在不同证书格式之间转换。

    • PEM > DERopenssl x509 -outform der -in certificate.pem -out certificate.der
    • PEM > P7Bopenssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
    • PEM > PFXopenssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
    • DER > PEMopenssl x509 -inform der -in certificate.cer -out certificate.pem
    • P7B > PEMopenssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
    • PFX > PEMopenssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
      注意:PFXPEMcertificate.cer 文件包含认证证书和私钥,需要把它们分开存储才能使用。

    相关文章

      网友评论

        本文标题:SSL 证书

        本文链接:https://www.haomeiwen.com/subject/cuhauhtx.html