SSL证书PEM文件里有什么和要有什么

最新推荐文章于 2024-04-16 12:36:11 发布
最新推荐文章于 2024-04-16 12:36:11 发布
阅读量5.3k 收藏 2
点赞数 1
分类专栏: Architect Security 文章标签: SSL PEM JKS Keystore keytool openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prufeng/article/details/106737691
版权

Privacy-Enhanced Mail (PEM) 本来是研究来给邮件加密的,现在主要成为一种约定俗成的文件格式,用于存储和发送加密密钥,证书或其他数据。

简单理解就是格式如下这种文件。

-----BEGIN XXX-----
BASE64
-----END XXX-----

JKS Keystore 转化为 PEM 的过程

HTTPS SSL证书准备过程里介绍过,我们生成了证书请求发给 CA 后,会收到一个 JKS Keystore 。

JKS Keystore 转化为 PEM 文件过程如下。

keytool -importkeystore -srckeystore appssl.jks -destkeystore appssl.jks.p12 -deststoretype pkcs12

keytool -deststoretype PKCS12 -keystore appssl.jks.p12 -list -storepass password

openssl pkcs12 -in appssl.jks.p12 -nokeys -clcerts -out client.crt
openssl pkcs12 -in appssl.jks.p12 -nokeys -cacerts -out ca.crt
cat client.crt ca.crt >server.crt

openssl pkcs12 -nocerts -nodes -in appssl.jks.p12 -out server.key

nokeys 表示不包含 Private Key, clcerts 输出 Client Cert,cacerts 输出 Root Cert 和 Intermediate Cert。

-nocerts -nodes 即不包含 Cert 和不加密。

实际上clcertscacerts两个文件合起来和下面这句输出一致。

openssl pkcs12 -in appssl.jks.p12 -nokeys -out server.crt

使用keytool也可以直接从jks导出PEM,不过需要按alias逐个导出。

keytool -list -exportcert -keystore appssl.jks  -alias 'appssl' -file server.crt -rfc

使用 openssl导出的时候,还会添加如下Attributes。

Bag Attributes
    friendlyName: app
    localKeyID: 54 69 6D 65 20 41 45 48 49 45 44 42 44 40 42 49 41 47 
subject=...app.dummy.com
issuer=...Entrust Certification Authority - L1M

而且 Root Cert 和 Intermediate Cert 会出现重复,因为它们在 JKS Keystore 里本来就是重复的。

JKS Keystore 里有什么

查看 JKS Keystore , 可以发现里面包含3个实体,一个 PrivateKeyEntry 和两个 trustedCertEntry。

但 PrivateKeyEntry 里 Certificate chain length: 3, 即包含了另外两个 Cert,于是使用 Openssl转化以后 Root Cert 和 Intermediate Cert 就出现了重复。

$ keytool -list -keystore appssl.jks -rfc

Keystore type: jks
Keystore provider: SUN

Your keystore contains 3 entries

Alias name: appssl
Creation date: Apr 18, 2020
Entry type: PrivateKeyEntry
Certificate chain length: 3
Certificate[1]:
-----BEGIN CERTIFICATE-----
BASE64
-----END CERTIFICATE-----
Certificate[2]:
-----BEGIN CERTIFICATE-----BASE64
-----END CERTIFICATE-----
Certificate[3]:
-----BEGIN CERTIFICATE-----BASE64
-----END CERTIFICATE-----


*******************************************
*******************************************


Alias name: cn=entrust certification authority - intermediate
Creation date: Apr 18, 2020
Entry type: trustedCertEntry

-----BEGIN CERTIFICATE-----
BASE64
-----END CERTIFICATE-----


*******************************************
*******************************************


Alias name: cn=entrust root certification authority
Creation date: Apr 18, 2020
Entry type: trustedCertEntry

-----BEGIN CERTIFICATE-----
BASE64
-----END CERTIFICATE-----


*******************************************
*******************************************

SSL 证书 PEM 文件里要有什么

特地做了下试验。

使用 Openssl 导出的 PEM 当然是可以了,里面包含了5个 PEM 。

删掉重复的 Root Cert 和 Intermediate Cert 之后,表现也正常。

最后,只留下 Client Cert,浏览器里表现正常,应用程序里测试会出错。

javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

我的简单理解是,浏览器可以联网查找认证链,应用程序不行。

相关规范

https://tools.ietf.org/html/rfc1421
https://tools.ietf.org/html/rfc7292
https://tools.ietf.org/html/rfc7468

如锋
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
验证ssl证书(pem格式)
03-09
如题,这是一个自己产生的,可以验证双向或者单向验证的pem格式的证书,亲测有用 如题,这是一个自己产生的,可以验证双向或者单向验证的pem格式的证书,亲测有用
Apache+phpStudy配置SSL证书所有文件
06-09
3. **接收签名后的SSL证书**:CA审核通过后,会发送签名后的SSL证书文件,一般为.crt或.pem格式。 4. **配置Apache**: - 打开Apache的配置文件,通常是httpd.conf或apache2.conf。 - 在配置文件中,找到Virtual...
ssl证书生成pem文件
泛在安防边缘智能视频分析
05-13 4954
一般通过FreeSSL生成的证书(nginx下)是chain.crt和key.key格式, 而Nginx或者其他SSL服务加载为pem格式,现转换方法如下: 第一步: mkdir /etc/ssl/cert/domain.com cd /etc/ssl/cert/domain.com 第二步: openssl rsa -in domain.com.key -text > key.pem openssl x509 -inform PEM -in domain.com.crt > cert.pem
工具:openssl查看pem格式证书细节_查看pem证书信息,2024年最新2024最新Linux运维面试题及答案
最新发布
04-16 958
证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL 、OCSP、SCEP等。
SSL中,公钥、私钥、证书(pem、crt、cer、key、csr)的后缀名都是些啥?
HD243608836的博客
10-21 2万+
今天做这么一个事,centos服务器,tomcat8+nginx1.6,现在要在上面运行cas4.0。所以需要配ssl,然后找教程,了解到,需要把tomcat和nginx的ssl都配置好。到这就晕了,tomcat配ssl需要一个.keystore文件,nginx则需要配一个.crt和一个.key的文件。按照教程使用keytool生成了.keystore文件,然后我需要通过.keystore导出一个.crt文件,但是找了好多教程只是导出.cer文件
SSL证书.key转.pem的方法
weixin_48077282的博客
08-10 5586
私钥 PEM 格式:以“-----BEGIN RSA PRIVATE KEY-----”作为开头, “-----END RSA PRIVATE KEY-----” 作为结尾。中间的内容每行 64 字符,最后一行长度可以不足 64 字符。首先,私钥扩展名一般为“.pem”或“.key”,在文本编辑器中打开私钥文件,可以看到与下图格式相似的私钥内容。这样我们就完成了对应的转换!...
PEM证书内容格式处理问题
H_233的博客
02-19 9906
  在做微信商户报备(小微商户)的业务时,要对接小微商户接口,接口中要求对一些敏感信息需要加密,这种加密放式不同于微信支付报文的加密,它们的采用密钥时不同的。小微接口加密使用公钥,这种公钥来自服务商相关的一种PEM格式的证书证书的明文内容就是公钥,如下图所示: 所以想着将内容直接取出配到配置文件中(相当于一个字符串常量) -----BEGIN CERTIFICATE-----MIID...
kafka connect pem格式配置ssl
Leftmumu的博客
02-25 2841
主要在connect-standalone.properties或者connect-distributed.properties中增加如下配置 # connect ssl config bootstrap.servers=ip:9093 security.protocol=SSL ssl.keystore.type=PEM ssl.truststore.type=PEM #ssl.key.password= ssl.endpoint.identification.algorithm= ssl.key.
ssl证书(nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomca、nginx通过ssl访问的证书,弄了好久才生成了一套能使用的。...
pem:使用Python轻松解析PEM文件
05-01
pem:轻松解析PEM文件 pem是许可的Python模块,用于解析和拆分,即Base64编码的DER密钥和证书。 它在Python 2.7和3.5+上运行,没有依赖关系,并且不会尝试以任何方式解释证书数据。 它源于从各种证书部署中加载...
PHP利用Socket获取网站的SSL证书与公钥
10-19
而公钥是SSL证书的核心组件之一,用于加密与服务器之间的通信。 在PHP中,我们不能直接通过cURL库获取SSL证书信息,因此需要借助Socket功能来实现。以下是一个示例代码,展示了如何使用PHP的`stream_socket_client`...
深入浅出 SSL/CA 证书及其相关证书文件pem、crt、cer、key、csr)
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
Go-加密学(五) - 证书crt、pem、pfx、cer、key 作用及区别
xiangjai的专栏
06-15 1万+
一、编码格式 二、相关的文件扩展名
国密(1) - 私钥Key文件PEM格式)编解码方法
weixin_43408952的博客
05-05 1万+
PEM文件格式解析
https根据key/crt文件生成中间件证书pem
flymore96的博客
08-06 3673
key或者cer文件生成中间件证书pem
openssl查看证书细节
雜貨鋪
12-01 2万+
openssl x509部分命令 打印出证书的内容: openssl x509 -in cert.pem -noout -text 打印出证书的系列号 openssl x509 -in cert.pem -noout -serial 打印出证书的拥有者名字 openssl x509 -in cert.pem -noout -subject 以RFC2253规定的格式打印出证书的拥有者
关于证书pem的生成
ClayGuitar的专栏
11-24 1205
pem文件是服务器向苹果服务器做推送时候需要的文件,主要是做服务器的小伙伴们要用,下面介绍一下pem文件的生成。 打开Keychain Access,在Certificates面找到上篇文章中介绍的包含推送的证书。分别将certificate和private key导出得到.p12文件。例如:Apple Development Push Services > Export “Apple
pem文件的生成
热门推荐
LLLLEE 的博客
07-02 5万+
秘钥pem文件的生成
Windows下RSA密钥生成工具openssl
weixin_30364325的博客
06-15 282
点击下载 1. 生成原始 RSA私钥文件 private_key.pem openssl genrsa -out private_key.pem 1024 2. 将原始 RSA私钥转换为 pkcs8格式 openssl pkcs8 -topk8 -inform PEM -in private_key.pem -outform PEM -nocrypt -out rsa_priv...
替换ssl证书 .pem
07-28
要替换 SSL 证书的 .pem 文件,您可以按照以下步骤进行操作: 1. 获取新的证书文件:获得有效且已签名的 SSL 证书,通常为 .pem 格式。您可以从证书颁发机构(CA)购买或获取免费的 SSL 证书。 2. 备份旧证书文件:在进行替换之前,建议先备份当前使用的 .pem 文件,以防意外情况发生。 3. 将新证书文件上传至服务器:使用适当的方式将新的 .pem 文件上传到您的服务器。您可以使用 FTP 或 SCP 等工具进行上传。 4. 定位旧证书文件:找到服务器上当前正在使用的旧 .pem 证书文件。通常,该文件位于 Web 服务器的配置目录中。 5. 替换证书文件:将新的 .pem 文件复制到服务器上旧证书的位置,并确保新文件的权限和所有权与旧文件相同。 6. 重启服务:重启您的 Web 服务器,以使更改生效。您可以使用适当的命令来重启服务器,例如 `sudo systemctl restart apache2`(对于 Apache)或 `sudo systemctl restart nginx`(对于 Nginx)。 完成上述步骤后,您的 SSL 证书将被替换为新的 .pem 文件。请确保您的新证书已正确安装并且有效,以确保您的网站的安全性和可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值