使用 OpenSSL 实现私钥和证书的转换

最新推荐文章于 2023-12-17 11:43:37 发布
最新推荐文章于 2023-12-17 11:43:37 发布
阅读量1.4w 收藏
点赞数
分类专栏: linux应用程序之服务器优化

1.好的数字签名生成工具:

TekCERT

http://www.yasinkaplan.com/tekcert.asp

SimpleAuthority(我用的这个)


2私钥总提示输入密码的解决办法:

> cp server.key server.key.org

Strip out the password:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]


3近期在项目中iOS需要用到APNs的推送,而公司的iOS女同事(纯哥)只给了我2个p12格式的文件。突然发现,证书的转换问题还是比较常见的,比如之前支付开发。而在程序中,实际需要使用的是pem格式的证书,因此这里涉及到证书之间的转换问题。

由于私钥和证书可以以不同格式的存储,这意味着我们需要对它们进行转换。而大多数常用的格式如下,首先是证书的格式:

  • 二进制的DER证书,包含X.509证书为原始格式,使用DER ASN.1编码。

  • ASCII的PEM证书,包含1个base64编码的DER证书,以-----BEGIN CERTIFICATE-----开头而以-----END CERTIFICATE-----结束。

  • PKCS#7证书,1个复杂格式的设计用于传输签名或加密数据,定义在RFC 2315中。通常以.p7b.p7c作为后缀且可以包含整个证书链。这种格式被Java的keytool工具支持。

  • PKCS#12(PFX)的证书和私钥,1个复杂的格式它可以存储和保护1个服务器的私钥并和1个完整的证书链一起。它通常以.p12.pfx为后缀。这种格式常用于微软的产品,不过也可以用于客户端证书。

然后是对应的私钥的格式:

  • 二进制的DER私钥,包含1个私钥以原始形式,使用DER ASN.1编码。OpenSSL以它传统的SSLeay格式创建私钥,不过也可以使用另外1种称为PKCS#8,但不广泛使用的格式(定义在RFC 5208)。在OpenSSL中可以使用pkcs8命令来进行PKCS#8格式的处理操作。

  • ASCII格式的私钥,包含1个base64编码的DER私钥,有些时候有一些额外的元信息,例如密码保护采用的算法。

说了这么多,可以发现对于私钥之间的转换就简单的很多,只能在DER和PEM格式之间进行转换。而相比证书之间的转换,就稍微复杂一些。

如果有兴趣还可以查看我的另一篇文章PKI格式标准查看其概念。

在这里,我们需要将PKCS#12格式的文件中提取出私钥和证书。下面我们先从PEM和DER格式的转换开始:

PEM和DER转换

PEM和DER格式证书的转换可以通过OpenSSL提供的x509工具来完成。下面我们转换1个DER格式的证书为PEM:

  
sky@sky-pc:~$ openssl x509 -inform DER -in private_key.der -outform PEM -out private_key.pem

在这里,我们通过-inform参数指定输入的格式为DER,通过-in参数指定输入的文件名称,而后对应的-outform-out用于指定输出的格式及文件名称。

同样的,我们也可以将PEM格式的整数转换为DER格式:

  
sky@sky-pc:~$ openssl x509 -inform PEM -in private_key.pem -outform DER -out private_key.der

下面我们来看下如何从PKCS#12格式中提取出私钥和证书。

PKCS#12转换

我们可以使用OpenSSL提供的pkcs12命令来实现PKCS#12格式的操作,首先我们将证书和私钥导出为PEM格式:

  
sky@sky-pc:~$ openssl pkcs12 -in key.p12 -out key.pem -nodes
  
Enter Import Password:
  
MAC verified OK

在这里,我们通过-in参数指定传入的文件名称,而-out文件指定输出的文件名称,而-nodes参数表示不对私钥进行加密。在这个过程中,我们需要输入签名时的密码。

如果我们不添加-nodes参数,将是如下的结果:

  
sky@sky-pc:~$ openssl pkcs12 -in key.p12 -out key.pem
  
Enter Import Password:
  
MAC verified OK
  
Enter PEM pass phrase:
  
Verifying - Enter PEM pass phrase:

可以看到,验证签名成功后还需要我们重新输入新的加密口令。而在导出的文件中可以看到此时文件的内容为:

  
...
  
-----BEGIN ENCRYPTED PRIVATE KEY-----
  
MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIPdUUocbjDXUCAggA
  
...
  
-----END ENCRYPTED PRIVATE KEY-----

而添加-nodes后的结果为:

  
...
  
-----BEGIN PRIVATE KEY-----
  
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQC+QDKKakQ0fcvH
  
...
  
-----END PRIVATE KEY-----

之后,我们就可以使用编辑器打开输出的key.pem文件,手动的拆分它们为独立的私钥、证书和中间证书文件。

作为程序猿,一般人都是懒惰的,这个繁琐的操作能不能简便些呢,让机器自己去完成呢?

其实是可以做到的,在OpenSSL中提供这样的操作,我们先来看看不导出证书的操作,这样我们就可以得到私钥了:

  
sky@sky-pc:~$ openssl pkcs12 -in key.p12 -nocerts -out private_key.pem -nodes
  
Enter Import Password:
  
MAC verified OK

可以看到,在这里我们多添加了1个-nocerts的参数就做到了不导出证书的操作。那么不导出私钥的操作应该如下:

  
sky@sky-pc:~$ openssl pkcs12 -in key.p12 -nokeys -out cert.pem -nodes
  
Enter Import Password:
  
MAC verified OK

接下来,我们该如何将PEM格式的证书和私钥导出为PKCS#12格式呢,我们可以这样来操作:

  
sky@sky-pc:~$ openssl pkcs12 -name "My Certificate" -export -out fd.p12 -inkey key.pem -in cert.pem -certfile fd-chain.crt
  
Enter Export Password:
  
Verifying - Enter Export Password:

其中,-name选项指定了证书中的friendlyName,而-certfile指定信任链的文件名称。

最后,我们还可以通过-clcerts-cacerts选项指定是否只导出客户端及CA证书。

PKCS#7转换

为了转换PEM为PKCS#7,我们可以使用crl2pkcs7命令。 

  
sky@sky-pc:~$ openssl crl2pkcs7 -nocrl -out key.p7b -certfile cert.pem -certfile fd-chain.crt

那么,生成的文件头部将以-----BEGIN PKCS7-----开始。

最后,为了转换PKCS#7为PEM,我们可以使用pkcs7命令:

  
sky@sky-pc:~$ openssl pkcs7 -in key.p7b -print_certs -out key1.pem

在这里,我们使用-print_certs参数将输入的证书输出。

PKCS#8与SSLeay转换

如果我们想将PKCS#8格式的私钥转换为SSLeay格式,我们可以这样来操作:

  
sky@sky-pc:~$ openssl rsa -in key.pem -out ssleay.pem
  
writing RSA key

而此时文件的内容将如下所示:

  
-----BEGIN RSA PRIVATE KEY-----
  
MIIEpQIBAAKCAQEAvkAyimpENH3Lx4d8VH96XCYfKfCZ7qVtNuVseAvkSTC0q5dw
  
...
  
-----END RSA PRIVATE KEY-----

可以看到头部和尾部多追加了RSA的字样。

而如果要将传统的SSLeay私钥转换为PKCS#格式,我们需要使用pkcs8命令:

  
sky@sky-pc:~$ openssl pkcs8 -topk8 -in ssleay.pem -out pkcs8_key.pem
  
Enter Encryption Password:
  
Verifying - Enter Encryption Password:

默认情况下,会为该格式进行1个加密的处理,但是我们可以通过-nocrypt参数让其不进行加密处理:

  
sky@sky-pc:~$ openssl pkcs8 -topk8 -nocrypt -in ssleay.pem -out pkcs8_key.pem

可以我们便实现了将传统的SSLeay格式转换为PKCS#8格式了。

APNs中证书的生成

下面我们来生成APNs推送时需要的证书。 

  
sky@sky-pc:~$ openssl pkcs12 -in cer.p12 -clcerts -nokeys -out cert.pem -nodes
  
Enter Import Password:
  
MAC verified OK
  
sky@sky-pc:~$ openssl pkcs12 -in cer.p12 -nocerts -out key.pem -nodes
  
Enter Import Password:
  
MAC verified OK
  
sky@sky-pc:~$ cat cert.pem key.pem > certs.pem

我们先只导出客户端的证书,然后是私钥,最后我们将2个文件的内容合并在1个文件中即可。

参考文章:

https://www.feistyduck.com/library/openssl-cookbook/online/ch-openssl.html#openssl-key-and-certificate-conversion

http://juliusdavies.ca/commons-ssl/pkcs8.html

https://superuser.com/questions/606215/openssl-pkcs8-default-format-gives-rsa-private-key






bingqingsuimeng
关注
专栏目录
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl 创建私钥,自签名证书,公钥
最新发布
qq_42020376的博客
09-19 238
这将使用你的私钥对 CSR 进行签名,并生成一个有效期为 365 天的自签名证书
openssl证书验证
xmayyang的专栏
10-17 2633
私钥证书有不同的存储格式,在使用之前需要进行转换 .crt 证书文件 ,可以是DER(二进制)编码的,也可以是PEM( ASCII (Base64) )编码的 ,在类unix系统中比较常见。使用vi打开文件如果内容出现如下样式,则表明是PEM的。 -----BEGIN CERTIFICATE----- MIIF0TCCA7mgAwIBAgIJA ..... LMH9av0= --
pem证书p12p12证书转cert、key
qq_38120778的博客
09-28 4150
pem证书p12p12证书转cert、key
openssl 秘钥格式转换pem to der
junjun5156的博客
04-11 703
【代码】openssl 秘钥格式转换pem to der。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
Window系统使用openssl将pfx转换pem,key,crt
12-28
在本文中,我们将详细介绍如何使用 OpenSSL 工具将 PFX 文件转换PEM、KEY 和 CRT 文件。这三个文件类型都是 SSL/TLS 证书的重要组成部分,分别用于存储证书私钥证书链信息。 首先,让我们了解一下 PFX 文件...
java生成jks证书_使用openssl生成证书转换成java用jks证书
weixin_39778003的博客
02-13 1211
1.生成CA证书私钥如果你准备使用公共CA则不需要这一步,但是如果这个证书只是在我们自己的服务端和客户端之间使用则只需要使用自己的CA使用openssl之前先要在当前目录下准备一个临时目录结构,如下结构--demoA/|-- index.txt |-- serial |-- newcerts/ |-- private/ 创建CA私钥openssl ...
使用openssl 转换pkcs12证书pem格式
uxff的专栏
12-02 4837
使用openssl 转换pkcs12证书pem格式 pkcs证书一般是.p12或.pfx格式,一般会有证书密码。 使用2步将证书导出: # 其中priv.p12证书文件,证书密码是mypass1 # 第一步先导出为key文件 举例输出key文件为priv.p12.3.key $ openssl pkcs12 -in priv.p12 -nocerts -nodes -out priv.p12.3.key -password pass:mypass1 # 基于key文件导出私钥 $ openssl rsa
使用OpenSSL生成PKCS#12格式的证书私钥
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
12-17 5085
我们可以根据需要进行更多的配置和调整。此外,如果您具有可用的CA证书私钥,可以使用类似的命令生成PKCS12文件。确保妥善保管和保护您的私钥证书
OpenSSL生成公钥私钥***
weixin_34342992的博客
06-06 605
证书标准 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准. 编码格式 同样的X.509证书,可能有不同的编码格式,目前有以下两种编码格式. PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.查看PEM格...
OpenSSL
豆子的collection
10-16 1869
SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为Internet上保密通讯的工业标准。安全套接层协
Openssl ASN.1 说明一 分享
热门推荐
jasenwan88的专栏
07-05 1万+
openssl之ASN.1系列之1---引言和ASN.1概述 【引言】 ASN.1全称为Abstract Syntax NotationOne,是一种描述数字对象的方法和标准。openssl的编码方法就是基于该标准的,目前,很多其他软件的编码方法也是基于该标准。对于直接使用openssl的API或者应用程序来说,可能对ASN.1的了解并不需要很清楚,但是为了使大家对后续介绍的各个API有一
使用openssl生成免费证书
牧小七的博客
11-09 1837
1 使用openssl工具生成一个RSA私钥 #使用命令: openssl genrsa -des3 -out server.key 2048 #输入密码: Enter PEM pass phrase:123456 #再次输入密码: Verifying - Enter PEM pass phrase:123456 如上:des3 是算法,2048位强度(为了保密性)。 server.key 是密钥文件名 -out的含义是:指生成文件的路径和名称。 我们查看刚刚生成的私钥。 #使用命令: openssl r
国密SM2的公私钥与BC库的格式转换
M先生的博客
07-12 3428
国密SM2公私钥一般为C语言的结构体转为java对象得到的。该场景一般是通过密码机生成的外部非对称密钥对。运算也是有密码机进行运算,但如果想脱离密码机,使用java语言进行签名验签、加解密等活动,该如何实现?本文以java的BC库为例,完成国密公私钥格式转换为BC库格式,然后通过Java的JCE框架完成签名、验签、加/解密等功能。
SSL安全证书避免启动输入Enter PEM pass phrase
wdt3385的专栏
10-08 9362
这种情况可能是在设置私钥key时将密码设置写入了key文件,导致Nginx/Apache等系列服务器在启动时要求Enter PEM pass phrase。我们需要做的是剥离这个密码,利用如下OpenSSL命令生成server.key.unsecure文件: 1 openssl rsa -in server.key -out server.key.unsecure
openssl 证书请求和自签名命令req详解
weixin_30783629的博客
04-20 581
1、密钥、证书请求、证书概要说明 在证书申请签发过程中,客户端涉及到密钥、证书请求、证书这几个概念,初学者可能会搞不清楚三者的关系,网上有的根据后缀名来区分三者,更让人一头雾水。我们以申请证书的流程说明三者的关系。客户端(相对于CA)在申请证书的时候,大体上有三个步骤: 第一步:生成客户端的密钥,即客户端的公私钥对,且要保证私钥只有客户端自己拥有。 第二步:以客户端的密钥和客户端自身...
使用OpenSSL在Windows上生成和转换证书的详细步骤
"本文介绍了如何使用OpenSSL生成证书,并提供了在Windows 7 ...OpenSSL使用证书管理是确保网络通信安全的基本技能之一。通过熟练掌握这些步骤,可以有效地为自己的服务器生成和管理安全证书,保护用户数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值