ssl證書 pem der cer crt key pfx 概念 沃通證書組合轉換及haproxy配置證書

證書標準　X.509

X.509證書的核心是根據RFC 5280編碼和/或數字簽名的數字文檔。

實際上，術語X.509證書一般是指X5209 v3證書標準的IETF的PKIX證書和CRL配置文件，如RFC 5280中所規定的，一般稱爲公鑰基礎結構的 PKIX （X.509）。

百科介紹 https://baike.baidu.com/item/X.509/2817050?fr=aladdin

編碼格式　pem　der

一樣的X.509證書,可能有不一樣的編碼格式,常見如下兩種編碼格式.

PEM - Privacy Enhanced Mail(隱私加強型電子郵件)　　由DER編碼的證書再通過Base64編碼後的數據文本.

在"-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----"之間存放

查看PEM格式證書的信息:　　openssl x509 -in certificate.pem -text -noout

Apache和Nginx服務器偏向於使用這種編碼格式.可是後綴擴展名可能並非 .pem,　能夠是.cer或者.crt做爲擴展名

pem類型的數據要根據base64編碼解碼後，獲得的數據須要進行增長或裁剪特殊字符-、\n、\r、begin信息、end信息等。

DER - Distinguished Encoding Rules(可辨別編碼規則)　　打開看是二進制格式,不可讀.

查看DER格式證書的信息:　　openssl x509 -in certificate.der -inform der -text -noout

Java和Windows服務器偏向於使用這種編碼格式.  這些證書也能夠用CER或者CRT做爲擴展名。

der類型的不用在編碼解碼，直接就是二進制的數據能夠直接使用

證書相關擴展名

X.509有多種經常使用的擴展名。不過其中的一些還用於其它用途，就是說具備這個擴展名的文件可能並非證書，好比說可能只是保存了私鑰。

• .pem               DER編碼的證書通過 Base64編碼後的證書文件
• .cer,.crt,.der   一般是 DER二進制格式的，但Base64編碼後也很常見。
• .p7b,.p7c– PKCS#7SignedData structure without data, just certificate(s) or CRL(s)
• .p12– PKCS#12格式，包含證書的同時可能還有帶密碼保護的私鑰
• .pfx– PFX， PKCS#12以前的格式（一般用PKCS#12格式，好比那些由 IIS產生的PFX文件）
• .key              KEY擴展名用於公鑰和私鑰PKCS＃8。 鍵能夠被編碼爲二進制DER或ASCII PEM。

PKCS#7是簽名或加密數據的格式標準，官方稱之爲容器。因爲證書是可驗真的簽名數據，因此能夠用SignedData結構表述。.P7C文件是退化的SignedData結構，沒有包括簽名的數據。

PKCS#12由PFX進化而來的用於交換公共的和私有的對象的標準格式。

 

 

CRT - certificate證書,常見於*NIX系統,有多是PEM編碼,也有多是DER編碼,多數是PEM編碼

CER - 仍是certificate證書,常見於Windows系統,一樣多是PEM編碼,也多是DER編碼,多數是DER編碼.證書中沒有私鑰，DER 編碼二進制證書文件

KEY - 一般用來存放一個公鑰或者私鑰,並不是X.509證書, 編碼一樣多是PEM,也多是DER.

查看KEY的辦法:openssl rsa -in mykey.key -text -noout若是是DER格式的話,應該這樣:openssl rsa -in mykey.key -text -noout -inform der

CSR - Certificate Signing Request,即證書籤名請求,這個並非證書,而是向權威證書頒發機構得到簽名證書的申請

其核心內容是一個公鑰(附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要本身保管好(基本就是剛纔說的 key文件了).
查看的辦法:openssl req -noout -text -in my.csr (若是是DER格式的話照舊加上-inform der)

PFX/P12 - predecessor of PKCS#12,包含公鑰和私鑰的二進制格式證書

       對nginx服務器來講,通常CRT和KEY是分開存放在不一樣文件中的,但Windows的IIS則將它們存在一個PFX文件中,(所以這個文件包含了證書及私鑰)這樣會不會不安全？應該不會,PFX一般會有一個"提取密碼",你想把裏面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換爲PEM編碼？
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
這個時候會提示你輸入提取代碼. for-iis.pem就是可讀的文本.
生成pfx的命令相似這樣:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx

其中CACert.crt是CA(權威證書頒發機構)的根證書,有的話也經過-certfile參數一塊兒帶進去.這麼看來,PFX實際上是個證書密鑰庫.

 

p7b - 以樹狀展現證書鏈(certificate chain)，同時也支持單個證書，不含私鑰。.P7C文件是退化的SignedData結構，沒有包括簽名的數據。

JKS - 即Java Key Storage,這是Java的專利,跟OpenSSL關係不大,利用Java的一個叫"keytool"的工具,能夠將PFX轉爲JKS,固然 keytool也能直接生成JKS

 證書常見操做

https://support.ssl.com/index.php?/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them

證書操做有四種基本類型。查看，轉換，組合和提取。

 查看證書

即便PEM編碼的證書是ASCII，它們也不是人類可讀的。如下是一些命令，可讓您以人類可讀的形式輸出證書的內容

1.　查看pem編碼證書

openssl x509 -in cert.pem -text -noout

openssl x509 -in cert.cer -text -noout

openssl x509 -in cert.crt -text -noout

 若是您遇到這個錯誤，這意味着您正在嘗試查看DER編碼的證書，並須要使用「查看DER編碼證書」中的命令。
unable to load certificate

12626:error:0906D06C:PEMroutines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTEDCERTIFICATE

2.　查看der編碼證書

openssl x509 -in certificate.der -inform der -text -noout

若是您遇到如下錯誤，則表示您嘗試使用DER編碼證書的命令查看PEM編碼證書。在「查看PEM編碼的證書」中使用命令
unable to load certificate

13978:error:0D0680A8:asn1 encodingroutines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306:

13978:error:0D07803A:asn1 encodingroutines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509

 

轉換證書格式

PEM轉爲DER openssl x509 -in cert.crt -outform der -out cert.der

DER轉爲PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

(提示:要轉換KEY文件也相似,只不過把x509換成rsa,要轉CSR的話,把x509換成req...)

 

組合證書

在某些狀況下，將多個X.509基礎設施組合到單個文件中是有利的。一個常見的例子是將私鑰和公鑰二者結合到相同的證書中。

組合密鑰和鏈的最簡單的方法是將每一個文件轉換爲PEM編碼的證書，而後將每一個文件的內容簡單地複製到一個新文件中。這適用於組合文件以在Apache中使用的應用程序。

　　沃通簽發的證書舉例

沃通簽發的證書提供 apache nginx 及其餘web服務的證書, 其餘公司簽發的證書基本也是差很少的.

由於我是要在haproxy上配置ssl證書, 這裏作一下證書合成.  nginx apache 直接用crt證書加key私鑰這兩個文件就能夠了.

組合順序原則上是先key後證書, 證書順序是由下級機構證書逐級向上,最後到根root機構證書

方法1：

用 for other server 包裏的證書文件 domain.key domain.crt issuer.crt cross.crt root.crt 順序合成一個.pem的證書，粘貼裏面的內容，中間不要有空行，放到一個本身建立的pem文件裏面。（key文件是生成csr一塊兒生成出來的.key）

 

cat bszhihui.com.key www.bszhihui.com.crt issuer.crt cross.crt root.crt |tee bszh.pem

 

 

方法2：

用 for other server 包裏的證書文件   domain.crt issuer.crt cross.crt root.crt順序合成一個pem，用生成csr的工具（https://download.wotrus.com/wotrus/wosigncode.exe下載連接） 這樣生成pfx，而後再用openssl命令行轉換pfx至pem，命令行：openssl pkcs12 -in 轉換的.pfx -nodes -out 存放路徑+.pem

 

 

j7wx