OpenSSL 轉換證書格式

 

OpenSSL 轉換證書格式

原創 2016-08-30 景峯 Netkiller

工做中我相信你必定會遇處處理數字證書的時候。各類平臺，各類語言，它們採用的證書格式與標準都不相同，多多少少存在一些差別。實際上證書仍然是那個證書，只是格式發生了變化。

 

1. 公私鑰 分開存儲

2. 公私鑰合併爲一個文件

3. 有些採用二進制文件

4. 有些事二進制文件作了BASE64編碼

5. 有些證書作了簽名

6. 有些證書加入了密碼

7. 不一樣組織有不一樣的編碼。例如微軟喜歡使用 x509

    

    

 

下面內容節節選自《Netkiller Cryptography 手札》 接下來幾天咱們將討論密鑰證書相關話題。

文章出處: http://www.netkiller.cn/cryptography/index.html

 

7.7. 證書轉換

PKCS 全稱是 Public-Key Cryptography Standards ，是由 RSA 實驗室與其它安全系統開發商爲促進公鑰密碼的發展而制訂的一系列標準，PKCS 目前共發佈過 15 個標準。 經常使用的有：
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常見通用的證書格式。全部的證書都符合爲Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際標準。
PKCS#7 經常使用的後綴是： .P7B .P7C .SPC
PKCS#12 經常使用的後綴有： .P12 .PFX
X.509 DER 編碼(ASCII)的後綴是： .DER .CER .CRT
X.509 PAM 編碼(Base64)的後綴是： .PEM .CER .CRT
.cer/.crt是用於存放證書，它是2進制形式存放的，不含私鑰。
.pem跟crt/cer的區別是它以Ascii來表示。
pfx/p12用於存放我的證書/私鑰，他一般包含保護密碼，2進制方式
p10是證書請求
p7r是CA對證書請求的回覆，只用於導入
p7b以樹狀展現證書鏈(certificate chain)，同時也支持單個證書，不含私鑰。

7.7.1. CA證書

用openssl建立CA證書的RSA密鑰(PEM格式)：

openssl genrsa -des3 -out ca.key 1024

7.7.2. 建立CA證書有效期爲一年

用openssl建立CA證書(PEM格式,假若有效期爲一年)：

openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf

openssl是能夠生成DER格式的CA證書的，最好用IE將PEM格式的CA證書轉換成DER格式的CA證書。

7.7.3. x509轉換爲pfx

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

7.7.4. PEM格式的ca.key轉換爲Microsoft能夠識別的pvk格式

pvk -in ca.key -out ca.pvk -nocrypt -topvk

7.7.5. PKCS#12 到 PEM 的轉換

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
驗證
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem

7.7.6. 從 PFX 格式文件中提取私鑰格式文件 (.key)

openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key

7.7.7. 轉換 pem 到到 spc

openssl crl2pkcs7 -nocrl -certfile venus.pem  -outform DER -out venus.spc

用 -outform -inform 指定 DER 仍是 PAM 格式。例如：

openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER

7.7.8. PEM 到 PKCS#12 的轉換

openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem

IIS 證書

cd c:\openssl
set OPENSSL_CONF=openssl.cnf
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

server.key和server.crt文件是Apache的證書文件，生成的server.pfx用於導入IIS

7.7.9. How to Convert PFX Certificate to PEM Format for SOAP

$ openssl pkcs12 -in test.pfx -out client.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

7.7.10. DER文件（.crt .cer .der）轉爲PEM格式文件

轉換DER文件(通常後綴名是.crt .cer .der的文件)到PEM文件
openssl x509 -inform der -in certificate.cer -out certificate.pem
轉換PEM文件到DER文件
openssl x509 -outform der -in certificate.pem -out certificate.der

 

延伸閱讀：

數據庫安全·保護表

數據庫安全·保護表字段

數據庫安全·時間一致性

數據庫安全·爲數據安全而分庫

數據庫安全·內容版本控制,撰改留痕

數據庫安全·用戶/角色認證

數據庫安全·Token 認證

數據庫安全·數據加密

數據庫安全·開發加密插件

 

 

關注做者公衆號，每日推送原創文章。若是已有什麼建議，請給我留言。