OpenSSL 转换证书格式

工作中我相信你一定会遇到处理数字证书的时候。各种平台,各种语言,它们采用的证书格式与标准都不相同,多多少少存在一些差异。实际上证书仍然是那个证书,只是格式发生了变化。

  1. 公私钥 分开存储
  2. 公私钥合并为一个文件
  3. 有些采用二进制文件
  4. 有些事二进制文件做了BASE64编码
  5. 有些证书做了签名
  6. 有些证书加入了密码
  7. 不同组织有不同的编码。例如微软喜欢使用 x509

下面内容节节选自《Netkiller Cryptography 手札》 接下来几天我们将讨论密钥证书相关话题。

文章出处: http://www.netkiller.cn/cryptography/index.html

7.7. 证书转换

PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有: PKCS#7 Cryptographic Message Syntax Standard PKCS#10 Certification Request Standard PKCS#12 Personal Information Exchange Syntax Standard X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。 PKCS#7 常用的后缀是: .P7B .P7C .SPC PKCS#12 常用的后缀有: .P12 .PFX X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT .cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。 .pem跟crt/cer的区别是它以Ascii来表示。 pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式 p10是证书请求 p7r是CA对证书请求的回复,只用于导入 p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。

7.7.1. CA证书

用openssl创建CA证书的RSA密钥(PEM格式):

openssl genrsa -des3 -out ca.key 1024			

7.7.2. 创建CA证书有效期为一年

用openssl创建CA证书(PEM格式,假如有效期为一年):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf			

openssl是可以生成DER格式的CA证书的,最好用IE将PEM格式的CA证书转换成DER格式的CA证书。

7.7.3. x509转换为pfx

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt			

7.7.4. PEM格式的ca.key转换为Microsoft可以识别的pvk格式

pvk -in ca.key -out ca.pvk -nocrypt -topvk			

7.7.5. PKCS#12 到 PEM 的转换

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
验证
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem			

7.7.6. 从 PFX 格式文件中提取私钥格式文件 (.key)

openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key			

7.7.7. 转换 pem 到到 spc

openssl crl2pkcs7 -nocrl -certfile venus.pem  -outform DER -out venus.spc			

用 -outform -inform 指定 DER 还是 PAM 格式。例如:

openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER			

7.7.8. PEM 到 PKCS#12 的转换

openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem			

IIS 证书

cd c:\openssl
set OPENSSL_CONF=openssl.cnf
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt			

server.key和server.crt文件是Apache的证书文件,生成的server.pfx用于导入IIS

7.7.9. How to Convert PFX Certificate to PEM Format for SOAP

$ openssl pkcs12 -in test.pfx -out client.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:			

7.7.10. DER文件(.crt .cer .der)转为PEM格式文件

转换DER文件(一般后缀名是.crt .cer .der的文件)到PEM文件
openssl x509 -inform der -in certificate.cer -out certificate.pem
转换PEM文件到DER文件
openssl x509 -outform der -in certificate.pem -out certificate.der			

原文发布于微信公众号 - Netkiller(netkiller-ebook)

原文发表时间:2016-08-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏mwangblog

git版本控制

993
来自专栏Java Edge

Git修改已提交的commit1 本地修改

由于以下修改本身是对版本历史的修改,在需要push到远程仓库时,往往是不成功的,只能强行push,这样会出现的一个问题就是,如果你是push到多人协作的远程仓库...

743
来自专栏Crossin的编程教室

【Git 第12课】 抓取/推送数据

当添加了远程仓库之后,肯定不能只在列表中看到个名字就完事了。我们要通过远程仓库来存放数据。 抓取数据的命令是: git fetch [remote-name] ...

3025
来自专栏前端学习心得

Git操作实用技巧(重点介绍如何在线预览 GitHub 项目)

1335
来自专栏IT开发技术与工作效率

Excel公式发送邮件、打开本文件目录、链接指定位置——HyperLink公式妙用

1574
来自专栏逸鹏说道

GitHub实战系列~1.环境部署+创建第一个文件 2015-12-9

安装系列: 软件下载:http://git-scm.com/download/ 环境搭建:(比较简单,看图) ? ? ? ? ? ? ? ? 下面是命令模式,需...

2784
来自专栏编程思想之路

git撤销修改各种情况

如何在Git里撤销(几乎)任何操作 一、撤销一个已经公开的改变 场景:已经执行了gitpush,将修改发送到了github,需要撤销某一个commit。 方法:...

19010
来自专栏搜云库

Git 简单命令,木有高深内容

1.添加和提交 下载一个项目和它的整个代码历史 $ git clone [url] 你可以提出更改(把它们添加到暂存区),使用如下命令: git add <...

1755
来自专栏HaHack

化繁为简的企业级 Git 管理实战(五):二进制大文件的版本控制

1307
来自专栏不止是前端

实用主义:Github同步fork的项目

32210

扫描关注云+社区