證書標准 X.509
X.509證書的核心是根據RFC 5280編碼和/或數字簽名的數字文檔。
實際上,術語X.509證書通常是指X5209 v3證書標准的IETF的PKIX證書和CRL配置文件,如RFC 5280中所規定的,通常稱為公鑰基礎結構的 PKIX (X.509)。
百科介紹 https://baike.baidu.com/item/X.509/2817050?fr=aladdin
編碼格式 pem der
同樣的X.509證書,可能有不同的編碼格式,常見以下兩種編碼格式.
PEM - Privacy Enhanced Mail(隱私增強型電子郵件) 由DER編碼的證書再經過Base64編碼后的數據文本.
在"-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----"之間存放
查看PEM格式證書的信息: openssl x509 -in certificate.pem -text -noout
Apache和Nginx服務器偏向於使用這種編碼格式.但是后綴擴展名可能並不是 .pem, 可以是.cer或者.crt作為擴展名
pem類型的數據要根據base64編碼解碼后,得到的數據需要進行增加或裁剪特殊字符-、\n、\r、begin信息、end信息等。
DER - Distinguished Encoding Rules(可辨別編碼規則) 打開看是二進制格式,不可讀.
查看DER格式證書的信息: openssl x509 -in certificate.der -inform der -text -noout
Java和Windows服務器偏向於使用這種編碼格式. 這些證書也可以用CER或者CRT作為擴展名。
der類型的不用在編碼解碼,直接就是二進制的數據可以直接使用
證書相關擴展名
-
.cer,.crt,.der 通常是 DER二進制格式的,但Base64編碼后也很常見。
-
.p12– PKCS#12格式,包含證書的同時可能還有帶密碼保護的私鑰
-
.pfx– PFX, PKCS#12之前的格式(通常用PKCS#12格式,比如那些由 IIS產生的PFX文件)
- .key KEY擴展名用於公鑰和私鑰PKCS#8。 鍵可以被編碼為二進制DER或ASCII PEM。
CRT - certificate證書,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,多數是PEM編碼
CER - 還是certificate證書,常見於Windows系統,同樣可能是PEM編碼,也可能是DER編碼,多數是DER編碼.證書中沒有私鑰,DER 編碼二進制證書文件
KEY - 通常用來存放一個公鑰或者私鑰,並非X.509證書, 編碼同樣可能是PEM,也可能是DER.
查看KEY的辦法:openssl rsa -in mykey.key -text -noout如果是DER格式的話,應該這樣:openssl rsa -in mykey.key -text -noout -inform der
CSR - Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請
其核心內容是一個公鑰(附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好(基本就是剛才說的 key文件了).
查看的辦法:openssl req -noout -text -in my.csr (如果是DER格式的話照舊加上-inform der)
PFX/P12 - predecessor of PKCS#12,包含公鑰和私鑰的二進制格式證書
對nginx服務器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全?應該不會,PFX通常會有一個"提取密碼",你想把里面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼?
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
這個時候會提示你輸入提取代碼. for-iis.pem就是可讀的文本.
生成pfx的命令類似這樣:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx
其中CACert.crt是CA(權威證書頒發機構)的根證書,有的話也通過-certfile參數一起帶進去.這么看來,PFX其實是個證書密鑰庫.
p7b - 以樹狀展示證書鏈(certificate chain),同時也支持單個證書,不含私鑰。.P7C文件是退化的SignedData結構,沒有包括簽名的數據。
JKS - 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫"keytool"的工具,可以將PFX轉為JKS,當然 keytool也能直接生成JKS
證書常見操作
https://support.ssl.com/index.php?/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them
證書操作有四種基本類型。查看,轉換,組合和提取。
查看證書
即使PEM編碼的證書是ASCII,它們也不是人類可讀的。以下是一些命令,可以讓您以人類可讀的形式輸出證書的內容
1. 查看pem編碼證書
openssl x509 -in cert.pem -text -noout
openssl x509 -in cert.cer -text -noout
openssl x509 -in cert.crt -text -noout
如果您遇到這個錯誤,這意味着您正在嘗試查看DER編碼的證書,並需要使用“查看DER編碼證書”中的命令。
unable to load certificate
12626:error:0906D06C:PEMroutines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTEDCERTIFICATE
2. 查看der編碼證書
openssl x509 -in certificate.der -inform der -text -noout
如果您遇到以下錯誤,則表示您嘗試使用DER編碼證書的命令查看PEM編碼證書。在“查看PEM編碼的證書”中使用命令
unable to load certificate
13978:error:0D0680A8:asn1 encodingroutines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306:
13978:error:0D07803A:asn1 encodingroutines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509
轉換證書格式
PEM轉為DER openssl x509 -in cert.crt -outform der -out cert.der
DER轉為PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
(提示:要轉換KEY文件也類似,只不過把x509換成rsa,要轉CSR的話,把x509換成req...)
組合證書
在某些情況下,將多個X.509基礎設施組合到單個文件中是有利的。一個常見的例子是將私鑰和公鑰兩者結合到相同的證書中。
組合密鑰和鏈的最簡單的方法是將每個文件轉換為PEM編碼的證書,然后將每個文件的內容簡單地復制到一個新文件中。這適用於組合文件以在Apache中使用的應用程序。
沃通簽發的證書舉例
沃通簽發的證書提供 apache nginx 及其他web服務的證書, 其他公司簽發的證書基本也是差不多的.
因為我是要在haproxy上配置ssl證書, 這里做一下證書合成. nginx apache 直接用crt證書加key私鑰這兩個文件就可以了.
組合順序原則上是先key后證書, 證書順序是由下級機構證書逐級向上,最后到根root機構證書
方法1:
方法2:
這樣生成pfx,然后再用openssl命令行轉換pfx至pem,命令行:openssl pkcs12 -in 轉換的.pfx -nodes -out 存放路徑+.pem
