数字证书常见格式与协议介绍

最新推荐文章于 2023-03-23 15:23:49 发布
最新推荐文章于 2023-03-23 15:23:49 发布
阅读量1.2k 收藏
点赞数
分类专栏: 加解密 文章标签: ca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anjon520/article/details/24884303
版权

引:http://blog.csdn.net/anxuegang/article/details/6157927

证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSRCRTCRL 、OCSP、SCEP等。

PEM – Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息:

  1. 内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。
  2. 头信息:表明数据是如果被处理后存放,openssl 中用的最多的是加密信息,比如加密算法以及初始化向量 iv。
  3. 信息体:为 BASE64 编码的数据。可以包括所有私钥(RSA 和 DSA)、公钥(RSA 和 DSA)和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据,用 ascii 报头包围,因此适合系统之间的文本模式传输。

使用PEM格式存储的证书:
—–BEGIN CERTIFICATE—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE—–
使用PEM格式存储的私钥:
—–BEGIN RSA PRIVATE KEY—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END RSA PRIVATE KEY—–
使用PEM格式存储的证书请求文件:
—–BEGIN CERTIFICATE REQUEST—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE REQUEST—–

DER – 辨别编码规则 (DER) 可包含所有私钥、公钥和证书。它是大多数浏览器的缺省格式,并按 ASN1 DER 格式存储。它是无报头的 - PEM 是用文本报头包围的 DER。
PFX 或 P12 – 公钥加密标准 #12 (PKCS#12) 可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件。通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式合并转换为标准的PFX文件,你可以将PFX文件格式导入到微软IIS 5/6、微软ISA、微软Exchange Server等软件。转换时需要输入PFX文件的加密密码。
JKS – 通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式”转换为标准的Java Key Store(JKS)文件。JKS文件格式被广泛的应用在基于JAVA的WEB服务器、应用服务器、中间件。你可以将JKS文件导入到TOMCAT、 WEBLOGIC 等软件。
KDB – 通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式转换为标准的IBM KDB文件。KDB文件格式被广泛的应用在IBM的WEB服务器、应用服务器、中间件。你可以将KDB文件导入到IBM HTTP Server、IBM Websphere 等软件。
CSR - 证书请求文件(Certificate Signing Request)。生成 X509 数字证书前,一般先由用户提交证书申请文件,然后由 CA 来签发证书。大致过程如下(X509 证书申请的格式标准为 pkcs#10 和 rfc2314):

  1. 用户生成自己的公私钥对;
  2. 构造自己的证书申请文件,符合 PKCS#10 标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给该内容签名;
  3. 用户将证书申请文件提交给 CA;
  4. CA 验证签名,提取用户信息,并加上其他信息(比如颁发者等信息),用 CA 的私钥签发数字证书;
  5. 说明:数字证书(如x.509)是将用户(或其他实体)身份与公钥绑定的信息载体。一个合法的数字证书不仅要符合 X509 格式规范,还必须有 CA的签名。用户不仅有自己的数字证书,还必须有对应的私钥。X509v3数字证书主要包含的内容有:证书版本、证书序列号、签名算法、颁发者信息、有效时间、持有者信息、公钥信息、颁发者 ID、持有者 ID 和扩展项。

OCSP– 在线证书状态协议(OCSP,Online Certificate StatusProtocol,rfc2560)用于实时表明证书状态。OCSP 客户端通过查询 OCSP服务来确定一个证书的状态,可以提供给使用者一个或多个数字证书的有效性资料,它建立一个可实时响应的机制,让用户可以实时确认每一张证书的有效性,解决由CRL引发的安全问题。。OCSP 可以通过 HTTP协议来实现。rfc2560 定义了 OCSP 客户端和服务端的消息格式。
CER  - 一般指使用DER格式的证书。
CRT - 证书文件。可以是PEM格式。
KEY   - 一般指PEM格式的私钥文件。
CRL- 证书吊销列表 (Certification Revocation List) 是一种包含撤销的证书列表的签名数据结构。CRL是证书撤销状态的公布形式,CRL 就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL 可以分为完全 CRL和增量 CRL。在完全 CRL中包含了所有的被撤销证书信息,增量 CRL 由一系列的 CRL 来表明被撤销的证书信息,它每次发布的 CRL 是对前面发布 CRL的增量扩充。基本的 CRL 信息有:被撤销证书序列号、撤销时间、撤销原因、签名者以及 CRL 签名等信息。基于 CRL的验证是一种不严格的证书认证。CRL 能证明在 CRL 中被撤销的证书是无效的。但是,它不能给出不在 CRL中的证书的状态。如果执行严格的认证,需要采用在线方式进行认证,即 OCSP认证。一般是由CA签名的一组电子文档,包括了被废除证书的唯一标识(证书序列号),CRL用来列出已经过期或废除的数字证书。它每隔一段时间就会更新,因此必须定期下载该清单,才会取得最新信息。
SCEP - 简单证书注册协议。基于文件的证书登记方式需要从您的本地计算机将文本文件复制和粘贴到证书发布中心,和从证书发布中心复制和粘贴到您的本地计算机。 SCEP可以自动处理这个过程但是CRLs仍然需要手工的在本地计算机和CA发布中心之间进行复制和粘贴。
PKCS7 – 加密消息语法(pkcs7),是各种消息存放的格式标准。这些消息包括:数据、签名数据、数字信封、签名数字信封、摘要数据和加密数据。
PKCS12 – pkcs12 (个人数字证书标准)用于存放用户证书、crl、用户私钥以及证书链。pkcs12 中的私钥是加密存放的。

Geek_Sean
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数字证书简介-SSL协议及数据安全传输.pdf
06-11
1、经典安全/数字证书方面的题目讲解,加强基础知识; 2、SSL协议的工作原理详解; 3、常见的数据安全通信场景;
PEM 与 DER 格式详解
风神韵
05-05 1万+
本文描述了PEM与DER格式的关系,并详细描述了两者如何转换,最后对PEM和DER的内容进行解析。
Openssl生成pem格式数字证书(适配win2000)
skjie的博客
11-12 1万+
在Openssl库生成数字证书总结(适配win2000)一文中我们已经实现了crt后缀证书的生成,现在说一下怎么生成pem后缀的证书。大体思路很简单,就是使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书server和client。下面就来说一下实现的具体步骤: 一、命令行进入openssl的out32dll路径下,新建一个private文件夹用于放置我们生成的各种证书文件。 二、生成根证书 1、生成根证书私钥 -- ...
如何使用OpenSSL读取RSA、X509和PKCS12证书?
sqqqqq77的博客
09-19 2757
如何使用OpenSSL读取RSA、X509和PKCS12证书?
加密证书格式(DER、CRT、CER、PEM)前世今生
glenshappy的专栏
03-23 2521
实际上,术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件,即如RFC 5280(通常称为PKIX for Public Key Infrastructure(X.509))中规定的。CER = .crt的替代形式(Microsoft Convention)您可以在微软系统环境下将.crt转换为.cer(.both DER编码的.cer,或base64 [PEM]编码的.cer)。正确的说法是“我有一个DER编码的证书”不是“我有一个DER证书”。
关于PEM, DER, CRT, CER,KEY等各类证书与密钥文件后缀的解释
热门推荐
Laurence的技术博客
03-18 2万+
文章目录PEM文件DER文件PEM与DER的相互转换 总得来说这些文件都与X.509证书和密钥文件有关,从文件编码上分,只有两大类: PEM格式:使用Base64 ASCII进行编码的纯文本格式 DER格式:二机制格式 而CRT, CER,KEY这几种证书和密钥文件,它们都有自己的schema,在存储为物理文件时,既可以是PEM格式,也可以DER格式。 CER:一般用于windows的证书文件格式 CRT:一般用于Linux的证书,包含公钥和主体信息 KEY:一般用于密钥,特别是私钥 打个比方:CE
网络安全与管理-试题.docx
06-09
a、 接受并验证最终用户数字证书的申请B.向申请人提供措施或拒绝颁发数字证书C.生成并颁发证书撤销列表(CRL),验证证书状态D.服务接受点LRA的总体管理。以下哪项不属于计算机病毒的预防和控制策略:(d)。 a、...
【笔记】密码学与安全技术概要总结(一)
01-07
  密码学和安全领域所涉及的知识体系十分繁杂,本文简述密码学领域中跟区块链相关的一些基础知识,包括Hash算法与数字摘要、加密算法、数字签名、数字证书、PKI体系、Merkle树、布隆过滤器、同态加密等。...
大型分布式网站架构与实践
08-24
 常见的一些安全算法,如数字摘要、对称加密、非对称加密、数字签名、数字证书等。  如何采用摘要认证方式防止信息篡改、通过数字签名验证通信双方的合法性,以及通过HTTPS协议保障通信过程中数据不被第三方监听和...
论文研究-USBKey辅助的无证书移动IP注册认证协议.pdf
09-16
协议通过USBKey保护移动节点的私钥以加强移动注册的安全性,结合数字信封技术与数字签名技术,实现相关协议实体的身份认证和注册信息的安全保护。分析结果表明,该协议可保证注册信息的完整性和机密性,可以有效...
网络工程师考试考点分析与真题详解.网络设计与管理篇.part6
04-12
193 7.12.2 传输链路聚合 194 7.12.3 带均衡策略的服务器集群 194 7.12.4 高层交换 194 7.12.5 Web内容智能交换技术 194 7.13 电子身份认证 196 7.13.1 电子身份认证 196 7.13.2 数字证书 ...
ORACLE9i_优化设计与系统调整
01-16
§12.8.3 用TKPROF格式化跟踪文件 153 §12.8.4 解释TKPROF输出文件 155 §12.8.5 解释计划(Explain Plan)策略 156 §12.8.6 AUTOTRACE 实用程序 157 第13章 数据访问方法 160 §13.1 使用索引的访问方法 161 §...
网络工程师考试考点分析与真题详解.网络设计与管理篇
04-12
193 7.12.2 传输链路聚合 194 7.12.3 带均衡策略的服务器集群 194 7.12.4 高层交换 194 7.12.5 Web内容智能交换技术 194 7.13 电子身份认证 196 7.13.1 电子身份认证 196 7.13.2 数字证书 ...
网络工程师考试考点分析与真题详解.网络设计与管理篇.part4
04-12
193 7.12.2 传输链路聚合 194 7.12.3 带均衡策略的服务器集群 194 7.12.4 高层交换 194 7.12.5 Web内容智能交换技术 194 7.13 电子身份认证 196 7.13.1 电子身份认证 196 7.13.2 数字证书 ...
网络工程师考试考点分析与真题详解.网络设计与管理篇.part5
04-12
193 7.12.2 传输链路聚合 194 7.12.3 带均衡策略的服务器集群 194 7.12.4 高层交换 194 7.12.5 Web内容智能交换技术 194 7.13 电子身份认证 196 7.13.1 电子身份认证 196 7.13.2 数字证书 ...
openssl 生成带X509 V3 extension的证书
FRcheng的专栏
06-30 2817
openssl SAN扩展 自签名CA 中间CA
openssl生成CA证书
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 ...
不同证书格式Der 、Cer 、Pfx 、Pem区别
hqy1719239337的博客
03-29 1万+
Der 、Cer、 Pfx、 Pem它们都是扩展名(文件名的后缀,代表格式) .DER:用二进制DER编码的证书;.PEM:用ASCLL(BASE64)编码的证书;.CER:存放公钥,没有私钥;.PFX:存放公钥和私钥(pem 后缀的证书都是base64编码;der 后缀的证书都是二进制格式;crt .cer 后缀的文件都是证书文件(编码方式不一定,有可能是.pem,也有可...
一个完整的类用来读取OpenSSL生成的pem格式的x509证书
weixin_33965305的博客
07-21 565
1 internal static class CcbRsaHelper 2 { 3 private const string Begin = "-----BEGIN "; 4 private const string End = "-----END "; 5 private const string ...
应用密码学:协议、算法与c源程序 pdf
最新发布
07-09
### 回答1: 《应用密码学:协议、算法与C源程序》是一本关于密码学的重要著作。该书主要介绍了密码学的基本概念、协议和算法以及相关的C语言源代码。 在协议方面,该书详细介绍了一些常见的密码学协议,如RSA、Diffie-Hellman、AES等。这些协议是实现安全通信和数据保护的基础,读者可以通过学习这些协议了解到密码学在实际应用中的工作原理。 在算法方面,该书涵盖了密码学中一些经典的算法,如对称加密算法、非对称加密算法和哈希算法等。对称加密算法包括DES、AES等,非对称加密算法包括RSA等,而哈希算法包括MD5、SHA-1等。这些算法的原理和实现细节都在书中有详细的介绍,读者可以通过学习这些算法了解到密码学在保护数据传输和存储安全方面的作用。 同时,该书还提供了一些相关的C语言源代码示例,以便读者更好地理解协议和算法的实现过程。这些源代码可以帮助读者理解密码学在实际编程中的应用方式,有助于读者在自己的项目中使用密码学技术实现安全保护。 总之,《应用密码学:协议、算法与C源程序》是一本涵盖了密码学基本概念、协议、算法和源代码的综合性教材,对于想要深入了解密码学并应用到实际项目中的读者来说是一本不可多得的书籍。 ### 回答2: 《应用密码学:协议、算法与C源程序》是一本关于密码学领域的书籍,主要介绍密码学在通信安全和数据保护方面的应用。通过该书,读者可以深入了解密码学的理论基础、常用协议、算法和C语言实现。下面我将简要介绍一些书籍内容。 首先,该书详细介绍了密码学的基本概念和原理。读者可以了解加密算法、解密算法、对称加密和非对称加密等密码学基础知识,理解信息的加密和解密过程。 其次,该书介绍了一些常用的密码协议,如SSL/TLS协议、IPSec协议等。读者可以了解这些协议的原理、安全性和应用场景,深入了解网络通信安全中密码学的应用。 此外,该书还详细介绍了一些常见的密码算法,如DES、AES、RSA等。读者可以学习这些算法的原理、加密过程和解密过程,并且提供了相应的C语言源代码供读者进行实践。这有助于读者进一步理解密码算法的具体实现和应用。 最后,该书还介绍了一些密码学中的实际应用,如数字签名、数字证书、身份认证等。读者可以了解这些应用的原理和实现方式,进一步了解密码学在实际场景中的应用价值。 总之,《应用密码学:协议、算法与C源程序》是一本很好的密码学领域的入门书籍,通过学习该书可以深入了解密码学的基本原理、常用协议和算法,并且提供了相关的C语言源代码供读者实践。无论是对于密码学专业人士还是对于对密码学有兴趣的读者,这本书都是一本值得推荐的参考书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值