摘要:通過工具包中的工具���,生成格式的證書文件。文件這樣的證書文件可以是二進(jìn)制格式��,也可以是文本格式���,一般均為文本格式,功能與及證書文件相同����。在您實(shí)際部署數(shù)字證書時(shí)��,請使用通過此轉(zhuǎn)換步驟分離出來的私鑰和您申請得到的公鑰證書匹配進(jìn)行部署��。
先看這篇文章�,對數(shù)字證書的格式有個(gè)了解
https://help.aliyun.com/knowl...
主流數(shù)字證書都有哪些格式�����?
一般來說����,主流的 Web 服務(wù)軟件,通常都基于 OpenSSL 和 Java 兩種基礎(chǔ)密碼庫����。
Tomcat、Weblogic�、JBoss 等 Web 服務(wù)軟件,一般使用 Java 提供的密碼庫��。通過 Java Development Kit (JDK)工具包中的 Keytool 工具��,生成 Java Keystore(JKS)格式的證書文件�。
Apache��、Nginx 等 Web 服務(wù)軟件�,一般使用 OpenSSL 工具提供的密碼庫�����,生成 PEM�、KEY、CRT 等格式的證書文件�。
IBM 的 Web 服務(wù)產(chǎn)品,如 Websphere���、IBM Http Server(IHS)等���,一般使用 IBM 產(chǎn)品自帶的 iKeyman 工具,生成 KDB 格式的證書文件�。
微軟 Windows Server 中的 Internet Information Services(IIS)服務(wù),使用 Windows 自帶的證書庫生成 PFX 格式的證書文件����。
如何判斷證書文件是文本格式還是二進(jìn)制格式?
您可以使用以下方法簡單區(qū)分帶有后綴擴(kuò)展名的證書文件:
.DER 或 .CER 文件: 這樣的證書文件是二進(jìn)制格式��,只含有證書信息�����,不包含私鑰�����。
.CRT 文件: 這樣的證書文件可以是二進(jìn)制格式�,也可以是文本格式,一般均為文本格式�,功能與 .DER 及 *.CER 證書文件相同。
.PEM 文件: 這樣的證書文件一般是文本格式���,可以存放證書或私鑰�����,或者兩者都包含���。 .PEM 文件如果只包含私鑰,一般用 *.KEY 文件代替���。
.PFX 或 .P12 文件: 這樣的證書文件是二進(jìn)制格式��,同時(shí)包含證書和私鑰�,且一般有密碼保護(hù)。
您也可以使用記事本直接打開證書文件�����。如果顯示的是規(guī)則的數(shù)字字母�,例如:
—–BEGIN CERTIFICATE—–
MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......
—–END CERTIFICATE—–
那么,該證書文件是文本格式的�。
如果存在——BEGIN CERTIFICATE——,則說明這是一個(gè)證書文件��。
如果存在—–BEGIN RSA PRIVATE KEY—–����,則說明這是一個(gè)私鑰文件。
證書格式轉(zhuǎn)換
因此從阿里下載下來的證書文件:xxx.key xxx.pem xxx.pfx .key為私鑰文本類型���,.pem為證書文本類型����,xxx.pfx 證書和私鑰
以下證書格式之間是可以互相轉(zhuǎn)換的��。
證書格式轉(zhuǎn)換關(guān)系
您可使用以下方式實(shí)現(xiàn)證書格式之間的轉(zhuǎn)換:
注意: 云盾證書服務(wù)統(tǒng)一使用 PEM 格式的數(shù)字證書文件����。
1. 將 JKS 格式證書轉(zhuǎn)換成 PFX 格式
您可以使用 JDK 中自帶的 Keytool 工具����,將 JKS 格式證書文件轉(zhuǎn)換成 PFX 格式����。
例如���,您可以執(zhí)行以下命令將 server.jks 證書文件轉(zhuǎn)換成 server.pfx 證書文件:
keytool -importkeystore -srckeystore D:server.jks -destkeystore D:server.pfx -srcstoretype JKS -deststoretype PKCS12
2. 將 PFX 格式證書轉(zhuǎn)換為 JKS 格式
您可以使用 JDK 中自帶的 Keytool 工具����,將 PFX 格式證書文件轉(zhuǎn)換成 JKS 格式���。
例如��,您可以執(zhí)行以下命令將 server.pfx 證書文件轉(zhuǎn)換成 server.jks 證書文件:
keytool -importkeystore -srckeystore D:server.pfx -destkeystore D:server.jks -srcstoretype PKCS12 -deststoretype JKS
3. 將 PEM/KEY/CRT 格式證書轉(zhuǎn)換為 PFX 格式
您可以使用 OpenSSL工具��,將 KEY 格式密鑰文件和 CRT 格式公鑰文件轉(zhuǎn)換成 PFX 格式證書文件�����。
例如����,將您的 KEY 格式密鑰文件(server.key)和 CRT 格式公鑰文件(server.crt)拷貝至 OpenSSL 工具安裝目錄,使用 OpenSSL 工具執(zhí)行以下命令將證書轉(zhuǎn)換成 server.pfx證書文件:
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
將PFX轉(zhuǎn)換為PEM/KEY/CRT
您可以使用 OpenSSL工具�����,將 PFX 格式證書文件轉(zhuǎn)化為 KEY 格式密鑰文件和 CRT 格式公鑰文件��。
例如�,將您的 PFX 格式證書文件拷貝至 OpenSSL 安裝目錄,使用 OpenSSL 工具執(zhí)行以下命令將證書轉(zhuǎn)換成 server.pem 證書文件��、KEY 格式密鑰文件(server.key)和 CRT 格式公鑰文件(server.crt):
openssl pkcs12 -in server.pfx -nodes -out server.pem
openssl rsa -in server.pem -out server.key
openssl x509 -in server.pem -out server.crt
注意: 此轉(zhuǎn)換步驟是專用于通過 Keytool 工具生成私鑰和 CSR 申請證書文件的�����,并且通過此方法您可以在獲取到 PEM 格式證書公鑰的情況下分離私鑰����。在您實(shí)際部署數(shù)字證書時(shí),請使用通過此轉(zhuǎn)換步驟分離出來的私鑰和您申請得到的公鑰證書匹配進(jìn)行部署����。
----------------------------以上是鏈接中的內(nèi)存--------------------------------------------
----------------------------下面是操作---------------------------------------------------
1.去阿里云服務(wù)器官網(wǎng)去申請證書,下載證書格式選擇tomcat相關(guān)的�����,因?yàn)榘?pfx格式的文件,所以可以直接通過keytool工具轉(zhuǎn)換
2.keytool -importkeystore -srckeystore D:server.pfx -destkeystore D:server.jks -srcstoretype PKCS12 -deststoretype JKS
文件路徑自己替代即可����,執(zhí)行該指令需要輸入
目標(biāo)秘鑰庫的密碼:即要生成的.JKS的密碼
源秘鑰庫的密碼:即下載的證書文件中pfx-password.txt中的密碼
導(dǎo)入成功會提示,生成的.jks秘鑰庫種��,別名對應(yīng)的密碼即為pfx-password.txt中的密碼
3.可以通過keytool -list -v -keystore xxx.jks -storepass xxx 來查看秘鑰庫相關(guān)的信息
4.在java代碼中應(yīng)用
http://blog.csdn.net/fw0124/a...
對于單項(xiàng)認(rèn)證:
server側(cè)只需要自己的keystore文件�,不需要truststore文件
client側(cè)不需要自己的keystore文件�,只需要truststore文件(其中包含server的公鑰)。
此外server側(cè)需要在創(chuàng)建SSLServerSocket之后設(shè)定不需要客戶端證書:setNeedClientAuth(false)
如果不驗(yàn)證證書���,可以重寫TrustManager
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/70573.html
