SSL中,公钥、私钥、证书(pem、crt、cer、key、csr)的后缀名都是些啥?

已于 2022-10-21 12:46:42 修改
阅读量2.7w 收藏 81
点赞数 18
分类专栏: SSL 文章标签: ssl key 证书 crt pem
于 2022-10-21 12:46:06 首次发布
原文链接:https://www.zhihu.com/question/29620953/answer/197063489
版权

今天做这么一个事,
centos服务器,tomcat8+nginx1.6,现在要在上面运行cas4.0。
所以需要配ssl,
然后找教程,了解到,需要把tomcat和nginx的ssl都配置好。
到这里就晕了,tomcat配ssl需要一个.keystore文件,nginx则需要配一个.crt和一个.key的文件。
按照教程使用keytool生成了.keystore文件,
然后我需要通过.keystore导出一个.crt文件,但是找了好多教程只是导出.cer文件。
找来找去发现.crt和.cer是一个东西。
后来又找到了一个.pem的东西,好像和.crt,.cer也是一个东西。
然后我就凌乱了。
希望有高手能指点一下,SSL的公钥、私钥、证书都有些啥后缀?
若能再指点一下tomcat8+nginx1.6上安装cas4.0,那就更好了。

一、常用 

证书(Certificate) - *.cer *.crt
私钥(Private Key) - *.key
证书签名请求(Certificate signing request) - *.csr

证书吊销列表(Certificate Revocation List) - *.crl

至于pem和der,是编码方式,以上三类均可以使用这两种编码方式,
因此*.pem和*.der(少见)不一定是以上三种(Cert,Key,CSR)中的某一种

*.pem - base64编码

*.der - 二进制编码

二、全部

 三、举例说明

我把SSL系统比喻为工商局系统。

CA

首先有SSL就有CA,certificate authority。证书局,用于制作、认证证书的第三方机构,我们假设营业执照非常难制作,就像身份证一样,需要有制证公司来提供,并且提供技术帮助工商局验证执照的真伪。

然后CA是可以有多个的,也就是可以有多个制证公司,但工商局就只有一个,它来说那个制证公司是可信的,那些是假的,需要打击。在SSL的世界中,微软、Google和Mozilla扮演了一部分这个角色。也就是说,IE、Chrome、Firefox中内置有一些CA,经过这些CA颁发,验证过的证书都是可以信的,否则就会提示你不安全。

这也是为什么前几天Chrome决定屏蔽CNNIC的CA时,CNNIC那么遗憾了。

也因为内置的CA是相对固定的,所以当你决定要新建网站时,就需要购买这些内置CA颁发的证书来让用户看到你的域名前面是绿色的,而不是红色。而这个最大的卖证书的公司就是VeriSign如果你听说过的话,当然它被卖给了Symantec,这家伙不只出Ghost,还是个卖证书的公司。

Ceritficate

cer(windows中的叫法)

crt(linux中的叫法)

要开店的老板去申请营业执照的时候是需要交他的身份证的,然后办出来的营业执照上也会有他的照片和名字。
身份证相当于私钥,营业执照就是证书【Ceritficate】,即 .cer文件(或.crt文件)。

然后关于私钥和公钥如何解释我没想好,而它们在数据加密层面,数据的流向是这样的:

消息-->[公钥]-->加密后的信息-->[私钥]-->消息

公钥是可以随便扔给谁的,他把消息加了密传给我。
可以这样理解,我有一个箱子,一把锁和一把钥匙,我把箱子和开着的锁给别人,他写了信放箱子里,锁上,然后传递回我手上的途中谁都是打不开箱子的,只有我可以用原来的钥匙打开,这就是SSL,公钥,私钥传递加密消息的方式。这里的密钥就是key文件。于是我们就有了.cer和.key文件。证书即公钥

keystore

不同的语言、工具序列SSL相关文件的格式和扩展名是不一样的。

其中Java系喜欢用keystore、truststore来干活。
你看它的名字,Store,仓库,它里面存放着key和信任的CA,key和CA可以有多个。

  • truststore(证书仓库)——存放一个或多个CA

这里的truststore就像你自己电脑的证书管理器一样,如果你打开Chrome的设置,找到HTTP SSL,就可以看到里面有很多CA,truststore就是干这个活儿的,它也里面也是存一个或多个CA让Tomcat或Java程序来调用。

  • keystore(密钥仓库)——存放一个或多个key

keystore就是用来存密钥文件key的,可以存放多个

PEM

然后是PEM,它是由RFC1421至1424定义的一种数据格式。其实前面的.cert和.key文件都是PEM格式,只不过在有些系统中(比如Windows)会根据扩展名不同而做不同的事。

所以当你看到.pem文件时,它里面的内容可能是Ceritficate也可能是key,也可能两个都有,要看具体情况。可以通过openssl查看。

参考自:SSL中,公钥、私钥、证书的后缀名都是些啥? - 知乎

HD243608836
关注
  • 18
    点赞
  • 81
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安全与加密常识(7)pem, der, crt, cer, key等各类证书与密钥文件后缀解析
二进制君
06-30 601
在Windows平台上,CRT文件通常用于存储公钥证书,而CER文件则用于存储包含公钥私钥证书CRT文件通常使用PEM或DER格式进行编码,而CER文件则通常使用DER格式进行编码。编码,并且包含了起始标记和结束标记,以便于识别和区分不同类型的密钥和证书,(例如-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----)。使用PEM格式编码的KEY文件具有良好的可读性和可编辑性,而使用DER格式编码的KEY文件则更加紧凑和高效。
SSL公钥私钥证书后缀名
master_yao的博客
10-03 1万+
Linux 下的工具们通常使用 base64 编码的文本格式,相关常用后缀如下: 证书(Certificate):.cer(windows), .crt,   私钥(Private Key):.key 证书签名请求(Certificate sign request):.csr .cer 好像是二进制的证书。(Windows下) 至于pem和der,是编码方式,以上三类均可
深入浅出 SSL/CA 证书及其相关证书文件(pemcrtcerkeycsr
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
mysql配置ssl_keyssl-certssl-ca的路径及建立ssl连接(适用于5.7以下版本,5.7及以上请看本文末尾的备注)...
weixin_30782331的博客
09-08 299
1、创建 CA 私钥和 CA 证书 (1)下载并安装openssl,将bin目录配置到环境变量; (2)设置openssl.cfg路径(若不设置会报错,找不到openssl配置文件) set OPENSSL_CONF=G:\Program Files\openssl\openssl-1.0.2d-fips-2.0.10\bin\openssl.cnf (3)生成一个 C...
相关证书介绍(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
热门推荐
二十同学
12-24 7万+
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂。写这篇文章的目的就是为了理理清这些概念,搞清楚它们的含义及关联,还有一些基本操作。 SSL SSL- Secure Sockets Layer,现在应该叫"TL...
openssl、x509、crtcerkeycsrssl、tls这些都是什么鬼?
月夜楓
06-28 636
openssl、x509、crtcerkeycsrssl、tls这些都是什么鬼?
SSL证书、 der、 cerpem、x.509区别
wangjun5159的专栏
06-12 9148
DER是一种编码方法,本身可以表示任何类型的数据,但通常用来编码证书证书的结构使用ASN.1(Abstract Syntax Notation One 一种数据描述语言)描述。 BER和DER都是二进制编码方法。PEM是一种将二进制数据编码为字符串的方法。它包含header和footer,用来指定数据的开始和结束,header和footer间是base64数据。如果数据是证书,那么会简单的编码DER证书PEM代表Privacy Enhanced Mail;PEM格式如下 whatever可以是priv
OpenSSL生成cert.keycert.pem
ck784101777的博客
01-04 1万+
SSL(Secure Socket Layer),为Netscape所研发,用以保障在Internet上数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络上的传输过程不会被截取及窃听。一般通用的规格为40 bit的安全标准,美国则已推出128 bit的更高安全标准,但限制出境。只要3.0版本以上的I.E.或Netscape浏览器即可支持SSL。 ...
加密证书格式(DER、CRTCERPEM)前世今生
glenshappy的专栏
03-23 2677
实际上,术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件,即如RFC 5280(通常称为PKIX for Public Key Infrastructure(X.509))规定的。CER = .crt的替代形式(Microsoft Convention)您可以在微软系统环境下将.crt转换为.cer(.both DER编码的.cer,或base64 [PEM]编码的.cer)。正确的说法是“我有一个DER编码的证书”不是“我有一个DER证书”。
对于sslpem文件和key 文件的理解
qq_29499107的博客
09-12 3万+
pemkey 这两种格式 分别存储的是证书base64加密和私钥base64加密还有格式分割符,也就是说pem存的是证书key 存的是私钥 这两个文件我们都可以打开看一下 如pem的内容: -----BEGIN CERTIFICATE----- MIIFjzCCBHegAwIBAgIQDHZBMYiVhBUfylD2vwLBETANBgkqhkiG9w0BAQsFADBu MQswCQ...
关于 SSL/CA 证书及其相关证书文件(pemcrtcerkeycsr
最新发布
weixin_42108319的博客
01-10 5858
客户端向服务器发送“ClientHello”消息,其包含客户端支持的TLS版本、提议的加密套件列表(加密算法和密钥交换方法的组合)、一个客户端生成的随机数(Client Random),以及一个新的扩展,名为“key_share”,其包含客户端的Diffie-Hellman公钥参数。SSL 与 TLS 两者所使用的算法是不同的,同时 TLS 增加了许多新的报警代码。因为数字证书的是由权威机构颁布的,这个证书所包含的公钥是被认证过的公钥,我们只需要验证证书的真伪,而公钥的真伪则交给了CA担保。
SSL证书的转换
12-08
在IT领域,特别是网络安全与加密通信SSL(Secure Sockets Layer)证书是确保数据传输安全的关键要素之一。本文将详细介绍如何在不同的证书格式之间进行转换,包括从`.cer`到`.jks`、从`.jks`到`.cer`、从`.p12`...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
cer证书生成工具
01-08
生成的`private_key.pem`是私钥文件,`public_key.pem`是公钥文件。这两个文件在进行加密和解密操作时至关重要。 接下来,我们讨论CER证书的生成。CER证书通常由证书签名请求(CSRCertificate Signing Request)...
cer 转成p12方法
09-25
- **X.509 PEM编码 (.PEM, .CER, .CRT)**:基于Base64编码的文本格式,同样用于存储证书。 #### 三、证书转换流程详解 ##### 1. X.509 DER证书与P12证书的主要区别 X.509 DER证书与P12证书的最大区别在于是否包含...
Apache ——SSL服务器证书视频部署操作指南
04-03
SSL证书通常由受信任的证书颁发机构(CA)签发,包含服务器的公钥以及关于服务器的识别信息,如域名、组织名等。证书的签发过程包括申请、审核和安装三个主要步骤。 第一步,申请SSL证书。您需要在CA的网站上填写...
openssl 生成 cert.key cert.pem
whatday的专栏
02-08 1595
SSL(Secure Socket Layer),为Netscape所研发,用以保障在Internet上数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络上的传输过程不会被截取及窃听。一般通用的规格为40 bit的安全标准,美国则已推出128 bit的更高安全标准,但限制出境。只要3.0版本以上的I.E.或Netscape浏览器即可支持SSLSSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL ...
ssl证书相关知识
楠之枫雪的博客
06-06 750
证书文件格式 xx.crt证书文件 xx.key私钥文件 xx.req:请求文件 xx.csr:请求文件 xx.pem证书文件为 pem 格式(文本文件) xx.der:证书文件为 der 格式(二进制文件) xxx.pfx :iis需要的证书 xxx.jks:java常见的证书类型 xxx.kbs :Android使用的证书类型 KEY 通常指私钥CSRCertificate Signing Request 的缩写,即证书签名请求,这不是证书,只是包含申请证书的基本信息。生成证书时要把
python3如何使用ssl公钥私钥,和服务器进行认证通信?
05-26
使用 Python 3 进行 SSL公钥私钥认证通信的步骤如下: 1.生成自签名证书 在服务器端,需要生成自签名证书,并将其安装到服务器上。可以使用 OpenSSL 命令行工具生成自签名证书。 2.使用 SSL 连接 在客户端,使用 Python 的 socket 模块创建一个 SSL 连接,连接到服务器。 ``` import socket import ssl # 创建一个 socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) # 使用 SSL 进行连接 ssl_sock = ssl.wrap_socket(s, ca_certs="path/to/ca.crt", cert_reqs=ssl.CERT_REQUIRED) ssl_sock.connect(("example.com", 443)) ``` 其,`ca_certs` 参数指定了信任的证书路径,`cert_reqs` 参数指定了需要验证服务器端证书。 3.传输数据 可以像普通的 socket 连接一样使用 `send` 和 `recv` 方法进行数据传输。 4.使用公钥私钥进行认证 在服务器端,使用 OpenSSL 工具生成公钥私钥,并将私钥安装到服务器上。 在客户端,使用 `ssl.SSLContext` 对象创建一个 SSL 连接,指定客户端证书私钥。 ``` import ssl # 创建 SSL 上下文 context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2) # 加载客户端证书私钥 context.load_cert_chain(certfile="path/to/client.crt", keyfile="path/to/client.key") # 使用 SSL 连接 ssl_sock = context.wrap_socket(socket.socket(socket.AF_INET, socket.SOCK_STREAM)) ssl_sock.connect(("example.com", 443)) ``` 其,`certfile` 参数指定客户端证书路径,`keyfile` 参数指定客户端私钥路径。 以上是使用 Python 3 进行 SSL公钥私钥认证通信的基本步骤,具体实现还要根据实际情况进行调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值