證書相關(如:ssl,pem 等) · PHP/Python/前端/Linux 等等學習筆記

[TOC] > [參考網站](http://www.cnblogs.com/guogangj/p/4118605.html) > [HTTPS證書轉換成PEM格式](https://help.aliyun.com/knowledge_detail/40526.html) ## SSL 與OpenSSL 區別 SSL 是一個加密算法,屬于理論,OpenSSL 是這個算法的一個實現 ## 證書標準 X.509 - 這是一種證書標準,有兩中編碼格式 ## 編碼格式 ### PEM PEM ( Privacy Enhanced Mail ) ,打開看文本格式, 以"-----BEGIN..."開頭, "-----END..."結尾, 內容是BASE64編碼. 查看PEM格式證書的信息: `openssl x509 -in certificate.pem -text -noout` Apache和*NIX服務器偏向于使用這種編碼格式. ### DER DER ( Distinguished Encoding Rules ) 內容是二進制編碼, 查看DER格式證書的信息: `openssl x509 -in certificate.der -inform der -text -noout` Java和Windows服務器偏向于使用這種編碼格式. ## 相關的文件擴展名雖然有PEM和DER這兩種編碼格式,但文件擴展名并不一定就叫"PEM"或者"DER" ### CRT - certificate 證書,常見于`*NIX系統 ` PEM 和DER 格式均有 ,多為PEM格式 ### CER 證書 ,常見于Windows系統,同樣的, PEM 和DER 格式均有 ,多為DER格式 ### KEY 用來存放一個公鑰或者私鑰, 并非X.509證書, PEM 和DER 格式均有查看PEM 格式的 KEY的辦法:`openssl rsa -in mykey.key -text -noout` 如果是DER格式的`openssl rsa -in mykey.key -text -noout -inform der` ### CSR CSR - Certificate Signing Request,即證書簽名請求, 這個不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(含其他信息), 在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好查看的辦法: `openssl req -noout -text -in my.csr` DER格式加 `-inform der`) ### PFX/P12 PFX/P12 - predecessor of PKCS#12 對`*nix 服務器`來說,一般CRT和KEY是分開存放在不同文件中的但Windows的IIS則將它們存在一個PFX文件中,PFX通常會有一個"提取密碼" PFX使用的時DER編碼,何把PFX轉換為PEM編碼？ `openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes` 這個時候會提示你輸入提取代碼. for-iis.pem就是可讀的文本. 生成pfx的命令類似這樣: `openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt` 其中CACert.crt是CA(權威證書頒發機構)的根證書,有的話也通過-certfile參數一起帶進去.這么看來,PFX其實是個證書密鑰庫. ### JKS JKS - 即Java Key Storage, 這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫"keytool"的工具,可以將PFX轉為JKS,keytool也能直接生成JKS, ### 證書編碼的轉換 PEM轉為DER `openssl x509 -in cert.crt -outform der -out cert.der` DER轉為PEM `openssl x509 -in cert.crt -inform der -outform pem -out cert.pem` 替換的參數可根據生成時所用參數參考要轉換KEY文件把x509換成rsa, 要轉CSR的話,把x509換成req 要轉PFX/P12的話,把x509換成pkcs12 ### 獲得證書 ### 向權威證書頒發機構申請證書用這命令生成一個csr: `openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr` 把csr交給權威證書頒發機構,權威證書頒發機構對此進行簽名,完成.保留好csr, 當權威證書頒發機構頒發的證書過期的時候,你還可以用同樣的csr來申請新的證書,key保持不變. ### 或者生成自簽名的證書 `openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem` 在生成證書的過程中會要你填一堆的東西,其實真正要填的只有Common Name,通常填寫你服務器的域名,如"demo.com",或者你服務器的IP地址,其它都可以留空的. 生產環境中還是不要使用自簽的證書,否則瀏覽器會不認,或者如果你是企業應用的話能夠強制讓用戶的瀏覽器接受你的自簽證書也行. 向權威機構要證書通常是要錢的,但現在也有免費的,僅僅需要一個簡單的域名驗證即可.有興趣的話查查"沃通數字證書". ## 證書轉換 **PEM to DER** `openssl x509 -outform der -in certificate.pem -out certificate.der` **PEM to P7B** `openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer` **PEM to PFX** `openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt` **DER(DER) to PEM** `openssl x509 -inform der -in certificate.cer -out certificate.pem` **P7B to PEM** `openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer` **PFX to PEM** `openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes` >PXF轉PEM后certificate.cer文件包含認證證書和私鑰，需要把它們分開存儲才能使用。