PEM 与 DER 格式详解

PEM 与 DER是用于存储、传输密钥和证书的标准格式，两者紧密关联，可以互相转换，下面详细介绍两种格式:

DER：Distinguished Encoding Rules，可分辩编码规则。DER格式文件后缀通常为 “.der” 和 “.cer”，后缀名并不会影响 DER 格式文件的解析。
PEM：Privacy-Enhanced Mail，隐私增强邮件。PEM格式文件后缀通常为".pem"、“.cer”、“.crt”、“.key”，后缀名并不会影响 PEM 格式文件的解析。

1. PEM 与 DER 关系：

ASN.1 ------（序列化）------ DER ------（Base64编码）------ PEM

对 ASN.1 序列化后，就会生成一个二进制串，这个就是 DER 格式，将二进制进行 Base64 编码，再加上 PEM 格式特有的头尾两行，就生成了 PEM 格式，如RSA私钥的PEM格式如下：

-----BEGIN RSA PRIVATE KEY-----
base64_decode(DER二进制)
-----END RSA PRIVATE KEY-----

2. PEM 与 DER 互相转换

上面了解了 PEM 与 DER 格式的关系，那么对它们进行互相转换就简单了。
下面先生成一个 RSA 私钥文件，该文件是 PEM 格式。生成命令如下：

openssl genrsa -out rsa_private.pem 2048

2.1 PEM 转 DER格式

先将 PEM 文件里面首尾的 “----BEGIN xxx----” 和 “----END xxx----” 两行去掉，再将内容合并为一行（去掉换行符），最后将内容进行 Base64 解码，最后结果就是 DER 格式。通过 openssl 命令转换如下：

openssl rsa -in rsa_private.pem -outform DER -out rsa_private.der

2.2 DER 转 PEM 格式

先将 DER 二进制内容进行 Base64 编码，再按每行 64 个字节进行切分，最后在切分后的内容前后加上 “----BEGIN xxx----” 和 “----END xxx----”。通过 openssl 命令转换如下：

openssl rsa -inform DER -in rsa_private.der -outform PEM -out rsa_private2.pem

3. DER 和 PEM 文件内容解析

上面提到过，DER 是对 ASN.1 结构对象序列化的结果，将DER的内容解析出来就是 ASN.1 结构。下面以 RSA 私钥为演示。

3.1 RSA 私钥 ASN.1结构

RSAPrivateKey ::= SEQUENCE {version           Version,modulus           INTEGER,  -- npublicExponent    INTEGER,  -- eprivateExponent   INTEGER,  -- dprime1            INTEGER,  -- pprime2            INTEGER,  -- qexponent1         INTEGER,  -- d mod (p-1)exponent2         INTEGER,  -- d mod (q-1)coefficient       INTEGER,  -- (inverse of q) mod potherPrimeInfos   OtherPrimeInfos OPTIONAL
}

3.2 通过 openssl 命令解析 DER 结构

执行 openssl 命令：

openssl rsa -inform der -in rsa_private.der -text -noout

结果详情（有删减）：

RSA Private-Key: (2048 bit, 2 primes)
modulus:00:da:d7:8c:0a:86:b4:cc:34:b5:b0:3a:64:00:13:...
publicExponent: 65537 (0x10001)
privateExponent:15:56:6a:eb:23:d3:41:0d:ea:a1:32:30:49:e9:99:...
prime1:00:f2:4f:63:7a:d3:cb:fb:ca:9d:77:2f:ba:88:0a:...
prime2:00:e7:34:bb:28:ab:c1:c8:10:74:19:a4:45:04:b5:...
exponent1:1a:95:67:1e:94:99:ee:77:de:2a:b3:4b:cd:9d:07:...
exponent2:00:d5:d6:99:7b:a6:4f:d6:00:11:c1:5d:83:50:35:...
coefficient:00:c4:91:79:ab:09:f7:8c:c4:9d:81:1c:54:95:6e:...

3.3 通过 openssl 命令解析 PEM 结构

将 PEM 格式文件解析内容，不需要先将其转换成 DER 结构，openssl 命令可以直接将 PEM 格式文件解析出来，命令如下：

openssl rsa -inform pem -in rsa_private.pem -text -noout

解析结果和上面 DER 格式内容是一样的。