SSL中,公钥、私钥、证书(pem、crt、cer、key、csr)的后缀名都是些啥?

已于 2022-10-21 12:46:42 修改
阅读量3.6w 收藏 94
点赞数 25
分类专栏: SSL 文章标签: ssl key 证书 crt pem
于 2022-10-21 12:46:06 首次发布
原文链接:https://www.zhihu.com/question/29620953/answer/197063489
版权
本文指导如何在CentOS服务器上配置Tomcat8和Nginx1.6以支持CAS4.0,涉及SSL配置,包括keystore、crt/cer、key和pem的区别,以及如何正确生成和导入证书。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天做这么一个事,
centos服务器,tomcat8+nginx1.6,现在要在上面运行cas4.0。
所以需要配ssl,
然后找教程,了解到,需要把tomcat和nginx的ssl都配置好。
到这里就晕了,tomcat配ssl需要一个.keystore文件,nginx则需要配一个.crt和一个.key的文件。
按照教程使用keytool生成了.keystore文件,
然后我需要通过.keystore导出一个.crt文件,但是找了好多教程只是导出.cer文件。
找来找去发现.crt和.cer是一个东西。
后来又找到了一个.pem的东西,好像和.crt,.cer也是一个东西。
然后我就凌乱了。
希望有高手能指点一下,SSL的公钥、私钥、证书都有些啥后缀?
若能再指点一下tomcat8+nginx1.6上安装cas4.0,那就更好了。

一、常用 

证书(Certificate) - *.cer *.crt
私钥(Private Key) - *.key
证书签名请求(Certificate signing request) - *.csr

证书吊销列表(Certificate Revocation List) - *.crl

至于pem和der,是编码方式,以上三类均可以使用这两种编码方式,
因此*.pem和*.der(少见)不一定是以上三种(Cert,Key,CSR)中的某一种

*.pem - base64编码

*.der - 二进制编码

二、全部

 三、举例说明

我把SSL系统比喻为工商局系统。

CA

首先有SSL就有CA,certificate authority。证书局,用于制作、认证证书的第三方机构,我们假设营业执照非常难制作,就像身份证一样,需要有制证公司来提供,并且提供技术帮助工商局验证执照的真伪。

然后CA是可以有多个的,也就是可以有多个制证公司,但工商局就只有一个,它来说那个制证公司是可信的,那些是假的,需要打击。在SSL的世界中,微软、Google和Mozilla扮演了一部分这个角色。也就是说,IE、Chrome、Firefox中内置有一些CA,经过这些CA颁发,验证过的证书都是可以信的,否则就会提示你不安全。

这也是为什么前几天Chrome决定屏蔽CNNIC的CA时,CNNIC那么遗憾了。

也因为内置的CA是相对固定的,所以当你决定要新建网站时,就需要购买这些内置CA颁发的证书来让用户看到你的域名前面是绿色的,而不是红色。而这个最大的卖证书的公司就是VeriSign如果你听说过的话,当然它被卖给了Symantec,这家伙不只出Ghost,还是个卖证书的公司。

Ceritficate

cer(windows中的叫法)

crt(linux中的叫法)

要开店的老板去申请营业执照的时候是需要交他的身份证的,然后办出来的营业执照上也会有他的照片和名字。
身份证相当于私钥,营业执照就是证书【Ceritficate】,即 .cer文件(或.crt文件)。

然后关于私钥和公钥如何解释我没想好,而它们在数据加密层面,数据的流向是这样的:

消息-->[公钥]-->加密后的信息-->[私钥]-->消息

公钥是可以随便扔给谁的,他把消息加了密传给我。
可以这样理解,我有一个箱子,一把锁和一把钥匙,我把箱子和开着的锁给别人,他写了信放箱子里,锁上,然后传递回我手上的途中谁都是打不开箱子的,只有我可以用原来的钥匙打开,这就是SSL,公钥,私钥传递加密消息的方式。这里的密钥就是key文件。于是我们就有了.cer和.key文件。证书即公钥

keystore

不同的语言、工具序列SSL相关文件的格式和扩展名是不一样的。

其中Java系喜欢用keystore、truststore来干活。
你看它的名字,Store,仓库,它里面存放着key和信任的CA,key和CA可以有多个。

  • truststore(证书仓库)——存放一个或多个CA

这里的truststore就像你自己电脑的证书管理器一样,如果你打开Chrome的设置,找到HTTP SSL,就可以看到里面有很多CA,truststore就是干这个活儿的,它也里面也是存一个或多个CA让Tomcat或Java程序来调用。

  • keystore(密钥仓库)——存放一个或多个key

keystore就是用来存密钥文件key的,可以存放多个

PEM

然后是PEM,它是由RFC1421至1424定义的一种数据格式。其实前面的.cert和.key文件都是PEM格式,只不过在有些系统中(比如Windows)会根据扩展名不同而做不同的事。

所以当你看到.pem文件时,它里面的内容可能是Ceritficate也可能是key,也可能两个都有,要看具体情况。可以通过openssl查看。

参考自:SSL中,公钥、私钥、证书的后缀名都是些啥? - 知乎

安全与加密常识(7)pem, der, crt, cer, key等各类证书与密钥文件后缀解析
二进制君
06-30 1402
在Windows平台上,CRT文件通常用于存储公钥证书,而CER文件则用于存储包含公钥私钥证书CRT文件通常使用PEM或DER格式进行编码,而CER文件则通常使用DER格式进行编码。编码,并且包含了起始标记和结束标记,以便于识别和区分不同类型的密钥和证书,(例如-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----)。使用PEM格式编码的KEY文件具有良好的可读性和可编辑性,而使用DER格式编码的KEY文件则更加紧凑和高效。
关于PEM, DER, CRT, CERKEY等各类证书与密钥文件后缀的解释
Laurence的技术博客
03-18 3万+
文章目录PEM文件DER文件PEM与DER的相互转换 总得来说这些文件都与X.509证书和密钥文件有关,从文件编码上分,只有两大类: PEM格式:使用Base64 ASCII进行编码的纯文本格式 DER格式:二机制格式 而CRT, CERKEY这几种证书和密钥文件,它们都有自己的schema,在存储为物理文件时,既可以是PEM格式,也可以DER格式。 CER:一般用于windows的证书文件格式 CRT:一般用于Linux的证书,包含公钥和主体信息 KEY:一般用于密钥,特别是私钥 打个比方:CE
深入浅出 SSL/CA 证书及其相关证书文件(pemcrtcerkeycsr
热门推荐
曹立禄的个人博客
03-30 4万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
换服务器ssl证书,安全密钥https
来到人间不过是个蹭饭的客人,还挑什么酸甜苦辣。
06-22 1017
本文主要介绍https网站的ssl证书失效替换新的证书
.pem文件是什么
最新发布
Debug yourself!
02-28 743
pem文件通常是一个格式的文件,它是一个常见的格式,可以存储加密密钥、证书或其他加密数据。最常见的用途是和。在 SSH 使用中,.pem文件一般是文件,用于通过公钥认证连接到远程服务器。.pem
证书关于 pem der cer crt csr pfx 的区别
yetugeng的专栏
09-08 1万+
刚开始接触证书的时候,对于这几个词语pem der crt cer pfx尤为的疑惑。研究了一番,总结如下。 一.名词解释 这里先介绍一下X.690,它是ITU-T标准,规定了几种ASN.1编码格式: Basic Encoding Rules (BER) Canonical Encoding Rules (CER) Distinguished Encoding Rules (DER)...
SSL中,公钥私钥证书后缀名
master_yao的博客
10-03 1万+
Linux 下的工具们通常使用 base64 编码的文本格式,相关常用后缀如下: 证书(Certificate):.cer(windows), .crt,   私钥(Private Key):.key 证书签名请求(Certificate sign request):.csr .cer 好像是二进制的证书。(Windows下) 至于pem和der,是编码方式,以上三类均可
各种电子证书后缀名
LVXIANGAN的专栏
04-27 1万+
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。 .pemcrt/cer的区别是它以Ascii来表示。 pfx/p12用于存放个人证书/私钥,通常包含保护密码,2进制方式 编码 (也用于扩展名).DER = 扩展名DER用于二进制DER编码的证书。这些证书也可以用CER或者CRT作为扩展名。比较合适的说法是“我有一个DER编码的证书”,而不是“我有一个DER证书”。.PEM ...
SSL/CA 证书及其相关证书文件(pemcrtcerkeycsr)
RayPick的博客
08-25 9022
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书。CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
搞懂 PEM、ANS、PFX、P12、p8、CER、X509 等证书相关文件格式 后缀
你好
03-07 2万+
http证书相关的文件格式、编码、概念比较偏多。这里对文件的各种文件后缀和格式做了统一的整理和解释说明
Nginx证书格式转换,证书配置 生成pem(公钥)key私钥)、csr(签名文件)、crt(自签名SSL证书
m0_67391683的博客
08-02 1288
观察编译时是否带有“–with-http_ssl_module”没有需要。
.crt和.pem的区别
qq_72758246的博客
03-08 5249
PEM,另一方面,是“Privacy Enhanced Mail”的缩写,也是一种存储证书的格式。因此,虽然.crt和.pem都是证书格式,但PEM具有更广泛的用途,能够存储多种类型的数据,并可能包含多个证书,而CRT则更专注于存储X.509证书CRT是“Certificate”的缩写,通常是指X.509证书,这是一种包含公钥的数字证书,用于验证通过SSL或TLS加密连接传输的数据的完整性。.crt和.pem都是用于存储证书的格式,但它们之间存在一些重要的区别。
关于 SSL/CA 证书及其相关证书文件(pemcrtcerkeycsr
weixin_42108319的博客
01-10 8310
客户端向服务器发送“ClientHello”消息,其中包含客户端支持的TLS版本、提议的加密套件列表(加密算法和密钥交换方法的组合)、一个客户端生成的随机数(Client Random),以及一个新的扩展,名为“key_share”,其中包含客户端的Diffie-Hellman公钥参数。SSL 与 TLS 两者所使用的算法是不同的,同时 TLS 增加了许多新的报警代码。因为数字证书的是由权威机构颁布的,这个证书中所包含的公钥是被认证过的公钥,我们只需要验证证书的真伪,而公钥的真伪则交给了CA担保。
SSL证书后缀整理
xiaowenshiyilang的博客
06-04 861
SSL证书后缀整理 key:用来存放公私钥pem证书,base64编码 der:证书,二进制文件 crt证书 csr证书请求文件 keystore jks truststore:java中使用,包含证书私钥,获取私钥需要密码 pfx:主要用于windows平台,包含证书私钥,获取私钥需要密码 后续再增加 ...
关于加密文件后缀 .cer ,.crt,.key,.csr,.crl,jks 傻傻分不清
ratel的博客
08-17 9479
关于加密文件后缀 .cer ,.crt,.key,.csr,.crl,jks 傻傻分不清
证书相关后缀文件
xx1129244705的博客
09-19 846
jks是JAVA的keytools证书工具支持的证书私钥格式。 pfx是微软支持的私钥格式。 cer证书公钥。 简单来说,cer就是你们家邮箱的地址,你可以把这个地址给很多人让他们往里面发信。 pfx或jks就是你家邮箱的钥匙,别人有了这个就可以冒充你去你家邮箱看信,你丢了这个也没法开邮箱了。
证书相关后缀文件(SSL,X.509,PEM,DER,CRT,CSR,CER,KEY,P12)及RSA数据加密解密
shiios的博客
06-02 7317
首先,要说一句还在为标题中的东西迷茫的帅哥美女工程师们,你们的福利来啦! 其次,我要感谢提供这些信息的两位资深工程师大神. 最后让我们一起揭晓这神秘的面纱吧:   证书相关后缀文件(SSL,X.509,PEM,DER,CRT,CSR,CER,KEY,P12): 链接: 那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等) RS
SSL各种眼花迷乱的证书后缀
小小默:进无止境
01-29 1799
项目要用Https,自然需要知名机构的SSL证书。这里记录一下让人头疼的各种证书后缀。 ① x.509 X.509是常见通用的证书格式,包含证书持有人的公钥,加密算法等信息。。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。 ② pkcs1-pkcs12 公钥加密(非对称加密)的一种标准(Pbulic Key C
大模型入门 github
02-09
### 大模型入门 GitHub 项目与资源 对于希望深入了解大模型并获取实践机会的学习者来说,GitHub 上存在多个有价值的开源项目和资源。以下是几个推荐的选项: #### 开源项目分享和技术交流平台 - **kekewind/llm-action** 提供了一个专注于大型语言模型的技术社区,在这里可以找到有关大模型的技术原理讲解以及实际操作案例[^1]。 #### 综合性框架和支持多种预训练模型的库 - **datawhalechina/hugging-llm** 是由 DataWhale 社区维护的一个项目,它不仅包含了丰富的文档资料,还提供了易于使用的工具来加载、评估不同的预训练模型[^2]。 #### 初学者友好型教程及指南 - 对于想要系统化学习如何安装配置环境、部署运行乃至优化调整参数的新手而言,《开源模型食用指南》中的 self-llm 教程尤为适用。该项目特别考虑到了国内用户的背景特点,采用中文编写,并紧密结合 AutoDL 这样的本土云服务平台进行了详细介绍[^3]。 #### 实践导向的学习材料 为了使理论知识能够迅速转化为动手能力,《大模型应用开发极简入门:基于 GPT-4 和 ChatGPT》这本书籍则是一个不错的选择。书中通过具体实例向读者展示了怎样利用这些先进的AI技术构建实用的应用程序[^4]。 以上提到的各项资源各有侧重,可以根据个人兴趣和发展方向挑选最适合自己的方式进行探索。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值