轉(zhuǎn)載請注明出處 http://www.paraller.com
原文排版地址 點(diǎn)擊獲取更好閱讀體驗(yàn)
END..."結(jié)尾,內(nèi)容是BASE64編碼.
查看PEM格式證書的信息:
openssl x509 -in certificate.pem -text -noout
Apache和linux服務(wù)器偏向于使用這種編碼格式.
DER - Distinguished Encoding Rules
打開看是二進(jìn)制格式,不可讀.
查看DER格式證書的信息:
openssl x509 -in certificate.der -inform der -text -noout
Java和Windows服務(wù)器偏向于使用這種編碼格式.
編碼格式的轉(zhuǎn)換
PEM轉(zhuǎn)為DER
openssl x509 -in cert.crt -outform der -out cert.der
DER轉(zhuǎn)為PEM
openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
(提示:要轉(zhuǎn)換KEY文件也類似,只不過把x509換成rsa,要轉(zhuǎn)CSR的話,把x509換成req...)
不同擴(kuò)展名的證書
CRT - CRT應(yīng)該是certificate的三個字母,其實(shí)還是證書的意思,常見于*NIX系統(tǒng)
CER - 還是certificate,還是證書,常見于Windows系統(tǒng)
KEY - 通常用來存放一個公鑰或者私鑰
查看KEY的辦法,直接編輯器打開或者
openssl rsa -in mykey.key -text -noout
如果是DER格式的話,同理應(yīng)該這樣了
openssl rsa -in mykey.key -text -noout -inform der
CSR - Certificate Signing Request
即證書簽名請求,這個并不是證書,而是向權(quán)威證書頒發(fā)機(jī)構(gòu)獲得簽名證書的申請,其核心內(nèi)容是一個公鑰當(dāng)然還附帶了一些別的信息)
在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.
生成的辦法:
openssl req -new -newkey rsa:2048 -sha256 -nodes -out example_com.csr -keyout example_com.key
-subj "/C=CN/ST=ShenZhen/L=ShenZhen/O=Example Inc./OU=Web Security/CN=example.com"
查看的辦法:(如果是DER格式的話照舊加上-inform der)
openssl req -in my.csr -noout -text
PFX/P12 - predecessor of PKCS
對Linux服務(wù)器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全�����?應(yīng)該不會,PFX通常會有一個"提取密碼",你想把里面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉(zhuǎn)換為PEM編碼��?
生成的辦法:
openssl pkcs12 -export -name test-alias -in public-rsa.cer -inkey private-rsa.key -out user-rsa.pfx
openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt
其中CACert.crt是CA(權(quán)威證書頒發(fā)機(jī)構(gòu))的根證書,有的話也通過-certfile參數(shù)一起帶進(jìn)去.這么看來,PFX其實(shí)是個證書密鑰庫.
PFX使用的時DER編碼,把PFX轉(zhuǎn)換為PEM編碼:
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
這個時候會提示你輸入提取代碼. for-iis.pem就是可讀的文本.
JKS - Java Key Storage,
這是Java的專利,跟OpenSSL關(guān)系不大,利用Java的一個叫"keytool"的工具,可以將PFX轉(zhuǎn)為JKS,當(dāng)然了,keytool也能直接生成JKS,不過在此就不多表了.
不同擴(kuò)展名間的轉(zhuǎn)換
.key .crt 轉(zhuǎn)換成 .pem
DER格式:
openssl x509 -inform DER -outform PEM -in server.crt -out server.crt.pem
openssl rsa -inform DER -outform PEM -in server.key -out server.crt.pem
將.key和.crt 文件串聯(lián)
對于web服務(wù)���,當(dāng)你不能分別指定私鑰和公鑰的時候,你可以將兩個文件串聯(lián)�。
cat server.crt server.key > server.includesprivatekey.pem
參考網(wǎng)站
pfx證書與cer證書的區(qū)別
那些證書相關(guān)的玩意兒(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
將.pem轉(zhuǎn)換為.crt和.key
How to get .pem file from .key and .crt files?
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11303.html
