ssl证书 pem der cer crt key pfx 概念 沃通证书组合转换及haproxy配置证书
证书标准 X.509
X.509证书的核心是根据RFC 5280编码和/或数字签名的数字文档。
实际上,术语X.509证书通常是指X5209 v3证书标准的IETF的PKIX证书和CRL配置文件,如RFC 5280中所规定的,通常称为公钥基础结构的 PKIX (X.509)。
百科介绍 https://baike.baidu.com/item/X.509/2817050?fr=aladdin
编码格式 pem der
同样的X.509证书,可能有不同的编码格式,常见以下两种编码格式.
PEM - Privacy Enhanced Mail(隐私增强型电子邮件) 由DER编码的证书再经过Base64编码后的数据文本.
在"-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----"之间存放
查看PEM格式证书的信息: openssl x509 -in certificate.pem -text -noout
Apache和Nginx服务器偏向于使用这种编码格式.但是后缀扩展名可能并不是 .pem, 可以是.cer或者.crt作为扩展名
pem类型的数据要根据base64编码解码后,得到的数据需要进行增加或裁剪特殊字符-、\n、\r、begin信息、end信息等。
DER - Distinguished Encoding Rules(可辨别编码规则) 打开看是二进制格式,不可读.
查看DER格式证书的信息: openssl x509 -in certificate.der -inform der -text -noout
Java和Windows服务器偏向于使用这种编码格式. 这些证书也可以用CER或者CRT作为扩展名。
der类型的不用在编码解码,直接就是二进制的数据可以直接使用
证书相关扩展名
- .pem DER编码的证书经过Base64编码后的证书文件
- .cer,.crt,.der 通常是DER二进制格式的,但Base64编码后也很常见。
- .p7b,.p7c–PKCS#7SignedData structure without data, just certificate(s) orCRL(s)
- .p12–PKCS#12格式,包含证书的同时可能还有带密码保护的私钥
- .pfx– PFX, PKCS#12之前的格式(通常用PKCS#12格式,比如那些由IIS产生的PFX文件)
- .key KEY扩展名用于公钥和私钥PKCS#8。 键可以被编码为二进制DER或ASCII PEM。
CRT - certificate证书,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,多数是PEM编码
CER - 还是certificate证书,常见于Windows系统,同样可能是PEM编码,也可能是DER编码,多数是DER编码.证书中没有私钥,DER 编码二进制证书文件
KEY - 通常用来存放一个公钥或者私钥,并非X.509证书, 编码同样可能是PEM,也可能是DER.
查看KEY的办法:openssl rsa -in mykey.key -text -noout如果是DER格式的话,应该这样:openssl rsa -in mykey.key -text -noout -inform der
CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请
其核心内容是一个公钥(附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好(基本就是刚才说的 key文件了).
查看的办法:openssl req -noout -text -in my.csr (如果是DER格式的话照旧加上-inform der)
PFX/P12 - predecessor of PKCS#12,包含公钥和私钥的二进制格式证书
对nginx服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
这个时候会提示你输入提取代码. for-iis.pem就是可读的文本.
生成pfx的命令类似这样:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx
其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.
p7b - 以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。.P7C文件是退化的SignedData结构,没有包括签名的数据。
JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然 keytool也能直接生成JKS
证书常见操作
https://support.ssl.com/index.php?/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them
证书操作有四种基本类型。查看,转换,组合和提取。
查看证书
即使PEM编码的证书是ASCII,它们也不是人类可读的。以下是一些命令,可以让您以人类可读的形式输出证书的内容
1. 查看pem编码证书
openssl x509 -in cert.pem -text -noout
openssl x509 -in cert.cer -text -noout
openssl x509 -in cert.crt -text -noout
如果您遇到这个错误,这意味着您正在尝试查看DER编码的证书,并需要使用“查看DER编码证书”中的命令。
unable to load certificate
12626:error:0906D06C:PEMroutines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTEDCERTIFICATE
2. 查看der编码证书
openssl x509 -in certificate.der -inform der -text -noout
如果您遇到以下错误,则表示您尝试使用DER编码证书的命令查看PEM编码证书。在“查看PEM编码的证书”中使用命令
unable to load certificate
13978:error:0D0680A8:asn1 encodingroutines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306:
13978:error:0D07803A:asn1 encodingroutines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509
转换证书格式
PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der
DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
(提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req...)
组合证书
在某些情况下,将多个X.509基础设施组合到单个文件中是有利的。一个常见的例子是将私钥和公钥两者结合到相同的证书中。
组合密钥和链的最简单的方法是将每个文件转换为PEM编码的证书,然后将每个文件的内容简单地复制到一个新文件中。这适用于组合文件以在Apache中使用的应用程序。
沃通签发的证书举例
沃通签发的证书提供 apache nginx 及其他web服务的证书, 其他公司签发的证书基本也是差不多的.
因为我是要在haproxy上配置ssl证书, 这里做一下证书合成. nginx apache 直接用crt证书加key私钥这两个文件就可以了.
组合顺序原则上是先key后证书, 证书顺序是由下级机构证书逐级向上,最后到根root机构证书
方法1:
方法2:
j7wx
转载于:https://www.cnblogs.com/mingetty/p/11024243.html
ssl证书 pem der cer crt key pfx 概念 沃通证书组合转换及haproxy配置证书相关推荐
- SSL证书中pem der cer crt csr pfx的区别
一.名词解释 这里先介绍一下X.690,它是ITU-T标准,规定了几种ASN.1编码格式: Basic Encoding Rules (BER) Canonical Encoding Rules (C ...
- 证书关于 pem der cer crt csr pfx 的区别
刚开始接触证书的时候,对于这几个词语 pem der crt cer pfx尤为的疑惑.研究了一番,总结如下. 一.名词解释 这里先介绍一下X.690,它是ITU-T标准,规定了几种ASN.1编码格式 ...
- PEM文件和private.key文件生成Tomcat服务器所需的jks文件(配置SSL用)
在工作中时长会遇到配置https,我使用的是Tomcat服务器,tomcat服务器一般使用的.jks文件配置SSL加密.但是,https供应商不会直接提供.jks文件.所以,我们就需要将加密文件转换成 ...
- keystore导出p12,cer,crt,.key.pem证书文件格式
1.生成keystore文件 命令行窗口执行如下命令: keytool -genkey -alias ynhr -keyalg RSA -keysize 1024 -keypass 123456 -v ...
- 那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
转自:http://www.cnblogs.com/guogangj/p/4118605.html 之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像 ...
- 证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12)
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂 ...
- 那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)【CSR文件 和 PEM 文件什么区别】
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂 ...
- [笔记] 如何从不同扩展名的数字证书中提取明文信息? *.pem *.der *.crt *.cer *.key之间的区别是什么?...
副标题:PEM, DER, CRT, CER, KEY, CSR, PFX/P12 等文件格式讲解 本文整理自网络,相关内容版权归原作者所有, (如有雷同绝非巧合) 作者博客:http://www.c ...
- 深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
互联网是虚拟的,通过互联网我们无法正确获取对方真实身份.数字证书是网络世界中的身份证,数字证书为实现双方安全通信提供了电子认证.数字证书中含有密钥对所有者的识别信息,通过验证识别信息的真伪实现对证书持 ...
- 关于PEM, DER, CRT, CER,KEY等各类证书与密钥文件后缀的解释
文章目录 1. PEM文件 2. DER文件 PEM与DER的相互转换 3. 各种密钥证书文件解释 3.1 [ .csr ] 3.2 [ .key ] 3.3 [ .crt ] [ .cert ] [ ...
最新文章
- 人工智能第一股“旷视科技”赴港递交IPO材料 半年亏损52亿估值280亿
- 关于异步请求的一些事
- c# 连接Redis报错:WRONGTYPE Operation against a key holding the wrong kind of value:类型搞混弄出的错误...
- 引领开源新风潮,阿里巴巴编程之夏第二期重磅来袭!
- Codeforces Round #484 (Div. 2) A. Row
- 【Mysql】 局域网远程连接问题
- JavaScript中常用的事件代码及实例
- 个人IOCP服务器例子解说
- C++ 11 深度学习(八)重定义override
- 安卓9.0Sensor框架
- oracle查询失效包sql,sql – ORA-00904:子查询中的标识符无效
- JSP内置 对象(下)
- 计算机一级考试创建快捷方式,九月计算机一级MSOffice考试试题
- vscode c语言插件_推荐学习C语言或CPP使用的代码编辑器
- java阿拉伯转大写_JAVA编写将阿拉伯数字转换成中文大写不要...
- 博客园博客排版(js样式实例)
- Python - Python3 编程第一步 Fibonacci series: 斐波纳契数列
- word论文排版和写作01:样式、自动列表、图片、表格、公式、脚注、目录、页眉页脚及各种交叉引用
- 图片怎么在线转换成PDF格式
- python 习题练习一