转自:https://blog.csdn.net/qq_30698633/article/details/77895151

我们知道,现在的网站为了数据的安全,往往都会使用证书进行签名或者加密数据。可以证书的各种后缀让人无从下手,不知道该用什么,以及怎么使用。

什么是CA?

CA就相当于一个认证机构,只要经过这个机构签名的证书我们就可以当做是可信任的。我们的浏览器中,已经被写入了默认的CA根证书。

什么是证书?

证书就是将我们的公钥和相关信息写入一个文件,CA用它们的私钥对我们的公钥和相关信息进行签名后,将签名信息也写入这个文件后生成的一个文件。

证书格式(是一种标准):

x509            这种证书只有公钥,不包含私钥。

pcks#7       这种主要是用于签名或者加密。

pcks#12     这种含有私钥,同时也含有公钥,但是有口令保护。

编码方式:

.pem 后缀的证书都是base64编码

.der   后缀的证书都是二进制格式

证书:

.csr              后缀的文件是用于向ca申请签名的请求文件

.crt    .cer     后缀的文件都是证书文件(编码方式不一定,有可能是.pem,也有可能是.der)

私钥:

.key   后缀的文件是私钥文件

包含证书和私钥:

.keystore  .jks   .truststore 后缀的文件,是java搞的,java可以用这个格式。这个文件中包含证书和私钥,但是获取私钥需要密码才可以,

这是一个证书库,里面可以保存多个证书和密钥,通过别名可以获取到。

.pfx 主要用于windows平台,浏览器可以使用,也是包含证书和私钥,获取私钥需要密码才可以

知识点:

1、使用公钥操作数据属于加密

2、使用私钥操作数据属于签名

3、公钥和私钥可以互相加解密

4、不同格式的证书之间可以互相转换

5、公钥可以对外公开,但是私钥千万不要泄露,要妥善保存

注意:在我们备份证书信息的时候,最好使用.jks或者.pfx文件进行保存,这样备份的证书文件可以被完整的导出。

我们在使用证书的时候,要根据不同平台,不同应用的要求,转换成不同的格式进行使用。

DER、CRT、CER、PEM格式的证书及转换

一、证书和编码

X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。

实际上,术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件,即如RFC 5280(通常称为PKIX for Public Key Infrastructure(X.509))中规定的。

二、X509文件扩展

我们首先要了解的是每种类型的文件扩展名。 很多人不清楚DER,PEM,CRT和CER结尾的文件是什么,更有甚者错误地说是可以互换的。 在某些情况下,某些可以互换,最佳做法是识别证书的编码方式,然后正确标记。 正确标签的证书将更容易操纵

三、编码--决定扩展名方式

1).DER 扩展名

.DER = DER扩展用于二进制DER编码证书。

这些文件也可能承载CER或CRT扩展。 正确的说法是“我有一个DER编码的证书”不是“我有一个DER证书”。

2).PEM 扩展名

.PEM = PEM扩展用于不同类型的X.509v3文件,是以“ - BEGIN ...”前缀的ASCII(Base64)数据。

3)常见的扩展

3.1).CRT 扩展名

.CRT = CRT扩展用于证书。 证书可以被编码为二进制DER或ASCII PEM。 CER和CRT扩展几乎是同义词。 最常见的于Unix 或类Unix系统。

3.2).CER扩展名

CER = .crt的替代形式(Microsoft Convention)您可以在微软系统环境下将.crt转换为.cer(.both DER编码的.cer,或base64 [PEM]编码的.cer)。

可参考:https://support.comodo.com/index.php?/Knowledgebase/Article/View/361/17/how-do-i-convert-crt-file-into-the-microsoft-cer-format

.cer文件扩展名也被IE识别为 一个运行MS cryptoAPI命令的命令(特别是rundll32.exe cryptext.dll,CryptExtOpenCER),该命令显示用于导入和/或查看证书内容的对话框。

3.3).KEY 扩展名

.KEY = KEY扩展名用于公钥和私钥PKCS#8。 键可以被编码为二进制DER或ASCII PEM。

四、常见的OpenSSL证书操作

证书操作有四种基本类型。查看,转换,组合和提取。

1)查看证书

即使PEM编码的证书是ASCII,它们是不可读的。这里有一些命令可以让你以可读的形式输出证书的内容;

1.1)查看PEM编码证书

openssl x509 -in cert.pem -text –noout

openssl x509 -in cert.cer -text –noout

openssl x509 -in cert.crt -text –noout

如果您遇到这个错误,这意味着您正在尝试查看DER编码的证书,并需要使用“查看DER编码证书”中的命令。
unable to load certificate

12626:error:0906D06C:PEMroutines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTEDCERTIFICATE

1.2)查看DER编码证书

openssl x509 -in certificate.der -inform der -text -noout

如果您遇到以下错误,则表示您尝试使用DER编码证书的命令查看PEM编码证书。在“查看PEM编码的证书”中使用命令
unable to load certificate

13978:error:0D0680A8:asn1 encodingroutines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306:

13978:error:0D07803A:asn1 encodingroutines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509

2)转换证书格式

转换可以将一种类型的编码证书存入另一种。(即PEM到DER转换)
PEM到DER
openssl x509 -in cert.crt -outform der-out cert.der
DER到PEM
openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

3)组合证书

在某些情况下,将多个X.509基础设施组合到单个文件中是有利的。一个常见的例子是将私钥和公钥两者结合到相同的证书中。

组合密钥和链的最简单的方法是将每个文件转换为PEM编码的证书,然后将每个文件的内容简单地复制到一个新文件中。这适用于组合文件以在Apache中使用的应用程序。

4)证书提取

一些证书将以组合形式出现。 一个文件可以包含以下任何一个:证书,私钥,公钥,签名证书,证书颁发机构(CA)和/或权限链。

五、原文链接

https://support.ssl.com/index.php?/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them

证书,私钥,公钥,pfx,keystore,pem,der 都是什么?相关推荐

  1. [笔记] 如何从不同扩展名的数字证书中提取明文信息? *.pem *.der *.crt *.cer *.key之间的区别是什么?...

    副标题:PEM, DER, CRT, CER, KEY, CSR, PFX/P12 等文件格式讲解 本文整理自网络,相关内容版权归原作者所有, (如有雷同绝非巧合) 作者博客:http://www.c ...

  2. ssl中的证书/私钥/公钥

    文章目录 公钥/私钥/证书 pfx pkcs12 pkcs8 pem ASN.1 公钥/私钥/证书 证书certificate中包括含了数字签名和公钥, 客户端可以通过CA来验证数字签名. 公钥/私钥 ...

  3. SSL证书中pem der cer crt csr pfx的区别

    一.名词解释 这里先介绍一下X.690,它是ITU-T标准,规定了几种ASN.1编码格式: Basic Encoding Rules (BER) Canonical Encoding Rules (C ...

  4. 证书关于 pem der cer crt csr pfx 的区别

    刚开始接触证书的时候,对于这几个词语 pem der crt cer pfx尤为的疑惑.研究了一番,总结如下. 一.名词解释 这里先介绍一下X.690,它是ITU-T标准,规定了几种ASN.1编码格式 ...

  5. 证书 keystore 转换为 pem再提取 证书/私钥

    今天遇到一个问题,让我这边提供ssl证书的 pem和key.但是查看了tomcat的配置发现只有一个tomcat.keystore文件 配置如下 <Connector port="44 ...

  6. pfx 证书导出公钥和私钥

    pfx 证书导出公钥和私钥 在做银联支付的时候,因为是多商户的,所以采用单独的私钥加密,需要提取 pfx 中的私钥 准备 准备 pfx 格式的证书 [root@blue acp_crt]# tree ...

  7. 【可食用】KeyTool生成KeyStore,证书、公钥、私钥文档JAVA生成,JAVA实现ECC签名验签

    KeyTool生成KeyStore,证书.公钥.私钥文档JAVA生成,JAVA实现ECC签名验签 一.首先我们可以写个工具类生成密钥对.证书.公钥.私钥文本 jksAndCerGenerator.ja ...

  8. 关于PEM, DER, CRT, CER,KEY等各类证书与密钥文件后缀的解释

    文章目录 1. PEM文件 2. DER文件 PEM与DER的相互转换 3. 各种密钥证书文件解释 3.1 [ .csr ] 3.2 [ .key ] 3.3 [ .crt ] [ .cert ] [ ...

  9. 生成CA根证书、公钥、私钥指令(数字证书)

    一.生成CA根证书 生成 CA 私钥:openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书:openssl ...

最新文章

  1. 在线抓娃娃爆火之后,新玩家入局还有希望吗?
  2. 《城邦暴力团》:一部奇书、反书、隐书
  3. ubuntu中启动oracle数据库
  4. php跳转分站,根据访客所在城市ip地址自动跳转到分站的php代码
  5. GDAL中的SURF算法
  6. CCNA自学教材推荐(转)
  7. ARM汇编程序——加法
  8. [1] 人工神经网络 神经元模型
  9. MySQL理解索引、添加索引的原则
  10. ANSYS Electronics Desktop 19.2电机仿真思路
  11. 数字内容产业的七种主要盈利模式
  12. 微信小程序之文本换行居中
  13. vs code 简易使用教程(前端)
  14. 如何使用KMS(2)
  15. 前后端实现Base64格式的传参及转换
  16. C# 实现虚拟打印机 HP Color LaserJet 4500 (2) True Type Font字体显示
  17. 【Docker容器安装、配置、部署】
  18. TSC TTP244Pro 标签打印机打印不走纸
  19. 计算机网络里不显示共享打印机驱动,win10连接共享打印机时“找不到驱动程序”怎么回事...
  20. 根据GPS经纬度判断当前所属的市区

热门文章

  1. 基于asp.net的餐具消毒公司管理软件
  2. Word——转载-LaTeX如何在Word中使用(一)
  3. 艾美捷人髓过氧化物酶MPO ELISA试剂盒应用分析
  4. live2d(Web SDK 4.x)Web看板娘进阶
  5. Chromium Viz 浅析 - 介绍篇
  6. linux环境Mechanize安装,Python 爬虫:Mechanize 安装与测试
  7. ROS2入门之基本介绍
  8. 创建角色和ansible-galaxy简单实用
  9. 2020.12.22,天津nnit公司Project Assistant Inter岗位面试复盘
  10. 机房收费系统总结——心态篇