CA证书的生成https证书、转换格式、导出公钥私钥(.pem、.crt、.cer、.pfx)

最新推荐文章于 2024-06-14 12:51:03 发布
最新推荐文章于 2024-06-14 12:51:03 发布
阅读量9.8k 收藏 19
点赞数
分类专栏: 安全实践
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lilongsy/article/details/106810878
版权

格式说明

PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。
PKCS#7 常用的后缀是: .P7B .P7C .SPC
PKCS#12 常用的后缀有: .P12 .PFX
X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。

PEM格式
PEM格式是证书颁发机构颁发证书的最常见格式.PEM证书通常具有扩展名,例如.pem,.crt,.cer和.key。它们是Base64编码的ASCII文件,包含“----- BEGIN CERTIFICATE -----”和“----- END CERTIFICATE -----”语句。服务器证书,中间证书和私钥都可以放入PEM格式。

Apache和其他类似服务器使用PEM格式证书。几个PEM证书,甚至私钥,可以包含在一个文件中,一个在另一个文件之下,但是大多数平台(例如Apache)希望证书和私钥位于单独的文件中。

DER格式
DER格式只是证书的二进制形式,而不是ASCII PEM格式。它有时会有.der的文件扩展名,但它的文件扩展名通常是.cer所以判断DER .cer文件和PEM .cer文件之间区别的唯一方法是在文本编辑器中打开它并查找BEGIN / END语句。所有类型的证书和私钥都可以用DER格式编码。DER通常与Java平台一起使用。SSL转换器只能将证书转换为DER格式。如果您需要将私钥转换为DER,请使用此页面上的OpenSSL命令。

PKCS#7 / P7B格式
PKCS#7或P7B格式通常以Base64 ASCII格式存储,文件扩展名为.p7b或.p7c。P7B证书包含“----- BEGIN PKCS7 -----”和“----- END PKCS7 -----”语句。P7B文件仅包含证书和链证书,而不包含私钥。多个平台支持P7B文件,包括Microsoft Windows和Java Tomcat。

PKCS#12 / PFX格式
PKCS#12或PFX格式是二进制格式,用于将服务器证书,任何中间证书和私钥存储在一个可加密文件中。PFX文件通常具有扩展名,例如.pfx和.p12。PFX文件通常在Windows计算机上用于导入和导出证书和私钥。

将PFX文件转换为PEM格式时,OpenSSL会将所有证书和私钥放入一个文件中。您需要在文本编辑器中打开该文件,并将每个证书和私钥(包括BEGIN / END语句)复制到其各自的文本文件中,并将它们分别保存为certificate.cer,CACert.cer和privateKey.key。

安装环境

本文用到了openssl,所以要下载安装openssl。
下载地址:https://slproweb.com/products/Win32OpenSSL.html

使用openssl工具生成一个RSA私钥KEY

$openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........+++++
...................................................+++++
e is 65537 (0x010001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

生成CSR(证书签名请求)

$openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:jn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:test
Email Address []:test@domain.cn

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:1
string is too short, it needs to be at least 4 bytes long
A challenge password []:123456
An optional company name []:123456

说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书,需要花钱。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名。

删除密钥中的密码

$openssl rsa -in server.key -out server.key
Enter pass phrase for server.key:
writing RSA key

说明:如果不删除密码,在应用加载的时候会出现输入密码进行验证的情况,不方便自动化部署。

生成自签名证书CRT

$openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=C = AU, ST = Some-State, L = jn, O = Internet Widgits Pty Ltd, CN = test, emailAddress = test@domain.cn
Getting Private key

这就是的HTTPS证书了,不过内部或者测试使用,只要忽略证书提醒就可以了。
自签名的证书,不被浏览器信任,适合内部或者测试使用。
生产环境需要买证书吧。

CRT转换生成pem格式的公钥

$openssl x509 -in server.crt -out server.pem -outform PEM

有些服务,需要把crt转换成pem格式的证书才能正常加载。

x509转换生成PFX格式证书

$openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
Enter Export Password:
Verifying - Enter Export Password:

PEM 到 PKCS#12 的转换

$openssl pkcs12 -export -in server.pem -out server.p12 -inkey server.key
Enter Export Password:
Verifying - Enter Export Password:

导出私钥

$openssl rsa -in server.key -out pri.pem
writing RSA key

导出公钥

$openssl rsa -in server.key -pubout -out pub.pem
writing RSA key

参考

https://www.cnblogs.com/jtlgb/p/6762050.html

小龙在山东
关注
  • 0
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
阿里云CA证书pem格式转换cer格式
zhangxing
08-07 6824
1.场景还原 最近,笔者公司遇到了一个大坑:阿里云ca证书过期,致使app访问无效;当时在配置证书的时候,笔者配置的是阿里云的免费提供的ca证书,有效期为1年,但是最坑爹的竟然ca证书无法续约,所以前后端都得更新证书 2.实现方案 根据阿里云官方回应,无论是专业ca证书还是免费的,到期了都无法续约,都得重新配置;对于这个无法更改的既定事实,笔者服务端配置好了https,然...
小米9刷twrp并安装Magisk(面具)
小龙在线
06-18 2万+
小米9刷Magisk 手机必须先解锁BL锁才能继续: 小米官方BL解锁教程:查看链接 解完锁后开始操作: 1.手机下载magisk面具包备用: 链接: https://pan.baidu.com/s/12-hSjDpeXKbG9b5gS8N2lw 提取码: g85p 2.电脑端下载第三方W大的REC一键刷入线刷工具包 链接: https://pan.baidu.com/s/14rxiSnWURrTDiukpViYO3Q 提取码: 9gc4 电脑端下载REC一键刷入工具包 3.解压电脑下载的工具包.7z 4.
常见证书格式转换
weixin_34143774的博客
01-03 402
PKCS PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准。 What is PKCS? http://www.rsa.com/rsalabs/node.asp?id=2308 PKCS 目前共发布过 15 个标准:(1)PKCS#1:RSA加密标准。PKCS#1定义了R...
windows系统下,cer格式证书如何转换pfx格式
最新发布
qq_20578663的博客
06-14 593
今天,收到服务商提供的安装SSL证书的两个文件,一个是*.cer,另一个是key.txt。直接在web服务器的iis中导入证书,报错显示证书不包含私钥。安装后,把SSL证书的原两个文件(openssl.cer和key.txt),拷贝到c:\program file\openssl-win64\bin文件夹中,把key.txt改名成key.key。第二次我在csdn.net中找了一个以前的版本,下载了openssl1.1.1安装。会提示输入密码,保存好这个密码,安装 pfx 格式证书时会需要用到的。
微信支付rootca.pem通用根证书文件
03-06
微信支付rootca.pem通用根证书文件是用于验证微信支付安全交易的重要组件,它在2018年5月之后不再由微信官方默认提供。在理解这个文件之前,我们需要先了解几个基本概念:数字证书、根证书和SSL/TLS加密。 数字证书...
微信支付商户证书rootca.pem文件
02-29
微信支付商户证书cert.zip中的rootca.pem文件。根据微信支付官方的信息:“由于绝大部分操作系统已内置了微信支付服务器证书的根CA证书, 2018年3月6日后, 不再提供CA证书文件(rootca.pem)下载。”
rootca.pem.zip
05-11
根据微信支付官方的信息:“由于绝大部分操作系统已内置了微信支付服务器证书的根CA证书, 2018年3月6日后, 不再提供CA证书文件(rootca.pem)下载。”虽然是老东西了,但是很多没更新的网站还是需要用到的。别人都很...
cacert.pem 证书 Certificates Doh验证证书
12-03
cacert.pem 证书 Certificates Doh验证证书https://curl.haxx.se/ca/cacert.pem下载的证书,因该网站,国内有时候不能访问。Ros软路由的Doh验证需要该证书
composer的ssl证书cacert.pem
05-26
composer ssl cacert.pem证书
Apache Log4j 漏洞(JNDI注入 CVE-2021-44228)
热门推荐
小龙在线
12-10 3万+
影响范围 2.0 <= Apache log4j <= 2.14.1 利用 import org.apache.log4j.Logger; import java.io.*; import java.sql.SQLException; import java.util.*; public class VulnerableLog4jExampleHandler implements HttpHandler { static Logger log = Logger.getLogger(l
文件上传漏洞(一句话木马)-学习笔记
小龙在线
08-21 2万+
在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权 限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢? 先来看看最简单的一句话木马
CTF-Crypto-学习笔记
小龙在线
08-22 1万+
最常见的字符编码规范 ASCII 为了在计算机中表示字符,在设计编码的时候用1个字节也就是8bit位数来编码英文字符集 拉丁字母及标点符号 阿拉伯数字 一些控制字符 这就是 ASCII(American Standard Code for InformationInterchange, 美国信息交换标准代码) Python中,使用 chr( ) 函数可得 ASCII 对应的字符,使用 ord( ) 函数可得字符的 ASCII码。 Unicode 字符集 Unicode(万国码、统一码、国际码)用于编码
刷机前的基础知识:Fastboot和Recovery的区别、adb、bootloader
小龙在线
06-18 1万+
BootLoader 执行 adb reboot bootloader 进入 Bootloader 界面 执行 fastboot boot TWRP.img 进入临时 TWRP https://github.com/topjohnwu/Magisk/releases https://pro-teammt.ru/online-firmware-database-ru/ https://www.dc-unlocker.com/ https://zhuanlan.zhihu.com/p/57634648 http
WinHex修改图片宽高
小龙在线
09-13 8896
从第二行开始,前四位是宽,后四位是高。
MobSF的安装使用及踩坑指南
小龙在线
07-08 6802
简介 移动安全框架(MobSF)是一种自动、一体化的移动应用(Android / iOS / Windows)静态和动态分析的测试,恶意软件分析和安全评估框架。 安装 要求 这里只以Windows为例: 安装 Git 安装 Python 3.7 安装 JDK 8+设置JAVA_HOME环境变量。 安装 Microsoft Visual C++ Build Tools 安装 OpenSSL,无需修改默认安装目录。 下载和安装 wkhtmltopdf as per the WIKI操作指南 将包含 wkhtm
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
小龙在线
03-30 6394
A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其...
Excel中常规格式和日期格式转换规则
小龙在线
08-26 6068
《网络安全审查办法》的施行日期是43983。
文件包含漏洞(include)-学习笔记
小龙在线
08-21 5694
简介 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。 PHP Stream(流) 属性 支持 受限于 allow_url_fopen NO 受限于allow_url_include 仅 php://input、 php://s
selfsignedcert.cer证书生成ca.pem、client.pem和clinet.key详细步骤
05-11
生成 selfsignedcert.cer 证书: 1. 创建私钥:`openssl genrsa -out selfsignedcert.key 2048` 2. 创建证书请求:`openssl req -new -key selfsignedcert.key -out selfsignedcert.csr` 3. 使用私钥证书请求,生成自签名证书:`openssl x509 -req -days 3650 -in selfsignedcert.csr -signkey selfsignedcert.key -out selfsignedcert.cer` 生成 ca.pem 证书: 1. 创建私钥:`openssl genrsa -out ca.key 2048` 2. 创建证书请求:`openssl req -new -key ca.key -out ca.csr` 3. 使用私钥证书请求,生成自签名证书:`openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.pem` 生成 client.pem 和 client.key 证书: 1. 创建私钥:`openssl genrsa -out client.key 2048` 2. 创建证书请求:`openssl req -new -key client.key -out client.csr` 3. 使用证书请求和 ca.pem生成客户端证书:`openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out client.pem` 说明: - `2048` 是私钥长度,可以根据需要进行调整。 - `-days 3650` 指定证书有效期为 10 年,可以根据需要进行调整。 - `-CAcreateserial` 选项会创建一个序列号文件,用于跟踪证书签名。 - 以上命令中的文件名可以根据需要进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小龙在山东

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值