证书 Certificate

最新推荐文章于 2023-05-31 15:47:22 发布
最新推荐文章于 2023-05-31 15:47:22 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: OpenSSL 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scuyxi/article/details/54235575
版权

一、数据编码标准:

ASN.1 (Abstract Syntax Notation One)

ASN.1是一种描述数字对象的方法和标准。ASN1是一种结构化的数字对象描述语言,它包括两部分:数据描述语言(ISO 8824)和数据编码规则(ISO 8825)。ASN.1的数据描述语言允许用户自定义基本的数据类型,并可以通过简单的数据类型组成更复杂的数据类型。

ASN.1 取得成功的一个主要原因是它与几个标准化编码规则相关,如基本编码规则(BER) -X.209 、规范编码规则(CER)、识别名编码规则(DER)、压缩编码规则(PER)和 XML编码规则(XER)。

二、证书编码格式:

1.DER

Distinguished Encoding Rules,可辨别编码规则。是BER的一个子集。

DER是二进制格式,不可读.

查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout

Java和Windows服务器偏向于使用这种编码格式.

2.PEM

Privacy Enhanced Mail,是一种保密邮件的编码标准。

PEM是文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.

查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout

Apache和*NIX服务器偏向于使用这种编码格式.

PEM对信息的编码过程基本如下:

  1. 信息转换为ASCII码或其他编码方式,比如采用DER编码。
  2. 使用对称加密算法加密经过编码的信息。
  3. 使用BASE64对加密码后的信息进行编码。
  4. 使用一些头定义对信息进行封装,主要包含了进行正确解码需要的信息
  5. 在这些信息的前面加上如下形式头标注信息
OpenSSL的PEM编码就是在DER编码基础上进行BASE64编码,然后添加一些头尾信息组成的。

格式转换:

PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der

DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

三、证书标准

X.509证书

X.509是由国际电信联盟(ITU-T)制定的数字证书标准。
主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准。

四、证书封装

 1、PKCS#12证书

PKCS#12 证书不同于X.509证书,它可以包含一个或多个证书,并且还可以包含证书对应的私钥。PKCS#12的私钥是经过加密的,密钥由用户提供的口令产生。所以,无论在使用PKCS#12证书的时候一般会要用用户输入密钥口令。
        PKCS#12证书文件在Windwos平台和Mozzila中支持的后缀名是p12或者pfx,如果要在IE或者Mozzila 中正确使用自己的证书,那么一般来说都要求转换成包含公钥和私钥的PKCS#12证书忖入到相关软件中。

 2、PKCS#7

        PKCS#7可以封装一个或多个X.509证书或者PKCS#6证书(PKCS#6是一种证书格式,但是并不经常使用)、相关证书链上的CA证书,并且可以包含CRL信息。PKCS#7不包含私钥信息。PKCS#7可以将验证证书需要的整个证书上的证书都包含进来,从而方便证书的发布和正确使用。这样就可以直接把PKCS#7证书发给验证方验证,免去了把以上的验证内容一个一个发给接书方的烦琐了。
        PKCS#7文件在Windows平台的合法后缀名是p7b。  

3、PKCS#8

        PKCS#8标准是一个非常简单的标准,它主要用于封装私钥和其他相关的属性信息。一般来说,PKCS#8格式的私钥都是被加密的,支持PKCS#5和PKCS#12标准定义的算法,当然,私钥也可以不加密。PKCS#8标准一方面可以增强私钥的安全性,另一方面也为用户提供了一种简单的确立信任关系的方式,这主要是基于私钥特别名称和最高层可信者的权威公钥等属性信息。

五、证书文件扩展名

CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码.

CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
查看KEY的办法:openssl rsa -in mykey.key -text -noout
如果是DER格式的话,同理应该这样了:openssl rsa -in mykey.key -text -noout -inform der

CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.
查看的办法:openssl req -noout -text -in my.csr (如果是DER格式的话照旧加上-inform der,这里不写了)

PFX/P12 - predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
这个时候会提示你输入提取代码. for-iis.pem就是可读的文本.
生成pfx的命令类似这样:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt
其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

scuyxi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从crt证书文件得到公钥,如何从----- BEGIN CERTIFICATE -----从.crt和.pem文件获取RSA密钥?...
weixin_32141253的博客
02-22 2946
I'm having .crt and .pem file with-----BEGIN CERTIFICATE-----MIIFSDCCBDCg........................................-----END CERTIFICATE-----and I want RSA key from this file.anyone is having any idea th...
VS2015需要的证书 certificate authority .7z
07-26
VS2015 在安装前,先安装两个证书。亲测,安装后,减少了很多“安装包损坏或丢失”的现象。
04-HTTPS证书格式及转换
River的博客
11-17 2495
本文介绍了将不同格式的HTTPS证书转换为PEM格式的方法。
RSA密钥BEGIN CERTIFICATE、BEGIN RSA PRIVATE KEY和BEGIN PRIVATE KEY的区别
热门推荐
qq_43377237的博客
01-08 3万+
最近在用RSA做签名校验,遇到个坑,对方给的RSA密钥一直不能解析成PublicKey对象, 他们那边使用PHP可以直接使用,我这边是用java代码却用不了,百度相关的资料也很少, 后来才发现是RSA密钥的证书格式不一样,今天做一下总结; 一、区别: 1.1、-----BEGIN CERTIFICATE-----格式密钥: 这种密钥的格式是cer的密钥证书,如下图: ​​​​ 在PHP代码中是可以......
openssl的介绍和使用
weixin_33912638的博客
05-21 386
openssl简介 OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl可以实现:秘钥证书管理、对称加密和非对称加密更多简介和官网。 指令 平时我们使用openssl最多的莫过于使用指令...
Go-加密学(六) - BEGIN CERTIFICATE、BEGIN RSA PRIVATE KEY和BEGIN PRIVATE KEY的区别
xiangjai的专栏
06-15 4472
1.1、-----BEGIN CERTIFICATE-----格式密钥: 1.2、-----BEGIN RSA PRIVATE KEY-----格式: 1.3、-----BEGIN PRIVATE KEY-----格式:
Composer Curl SSL证书解决SSL certificate problem
12-09
Composer出现crul SSL报错的问题是没有安装CA证书导致的!!! 错误信息如下: [Composer\Downloader\TransportException]  curl error 60 while downloading ...
certificate-generator-master_java证书生成_
10-02
java 生成证书
tensorflow-certificate:如何从Google获得Tensorflow证书
05-27
如何从Google获得Tensorflow证书 一,准备 获取津贴代码 从学习Tensorflow 2.0 课程1: 课程2: 课程3: 课程4: 注意:训练并保存所有模型,并将其用于考试 在考试中 阅读 设置pyCharm和环境 阅读 二。 参加考试...
ssl-certificate:验证SSL证书的类
05-02
验证SSL证书的类 此软件包提供的类使查询ssl证书上的属性变得异常容易。 我们有三种选择来获取证书。 这是一个例子: use Spatie \ SslCertificate \ SslCertificate ; // fetch the certificate using an url $ ...
ftp及crt工具 SecureCRT ,可通过ftp或直接访问Linux服务器
03-02
ftp及crt工具 SecureCRT ,可通过ftp或直接访问Linux服务器,牛人推荐
证书与私钥
如山石的系统虚拟化之路
12-22 889
Part of the PKI approach used in TLS, means that for every Certificate file a computer wants to use fully, it must also have a matching Private Key file. PKI的方法中使用TLS的一部分,意味着,电脑想完全利用每一个证书文件,它还必须有一个匹配的私钥文件。
Android高版本remount方法
Android开发
04-11 3748
对应高版本的Android系统,不能直接remount,需要解锁后才能remount,记录下方法。 sprd 1.进入bootloader adb reboot bootloader 2.获取每台机器唯一的id fastboot oem get_identifier_token 30313233343536373839414243444546 3.生成认证文件certificate.bin ./vendor/sprd/proprietories-source/packimage_...
Certificate 超详细解析cer证书(序列号,颁发者,公钥等)
生命不息,bug不止,一起探讨下写bug的技术吧
03-02 2万+
我们一般说的证书就是数字证书:数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份 一般有两种:PFX证书、CER证书 PFX证书: 由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。 一般RSA证书比较多,现在国内的RSA根证到期,有些企业已经不用了。 SM2证书: 1.二进制编码的证书 证书中没有私钥,DER 编码二进制格式的证书文件,以ce
如何实现 ESP 设备多证书管理?
ESP 技术分享,推动万物互联
05-31 1057
基于 NVS 分区生成程序 来实现多证书管理
关于证书certificate)和公钥基础设施(PKI)的一切
weixin_42073629的博客
04-30 4228
这篇长文并不是枯燥、零碎地介绍 PKI、X.509、OID 等概念,而是从前因后果、历史沿革 的角度把这些东西串联起来,逻辑非常清晰,让读者知其然,更知其所以然。 证书和 PKI 的目标其实很简单:将名字关联到公钥(bind names to public keys)。 加密方式的演进: MAC最早的验证消息是否被篡改的方式,发送消息时附带一段验证码 |双方共享同一密码,做哈希;最常用的哈希算法:HMAC | \/ Signature 解决 ...
证书文件编码格式介绍
mycoolx的专栏
08-29 3万+
OpenSSL中虽然使用PEM作为基本的文件编码格式,但是,由于不同的对象其封装和标准格式不太一样,所以经常会导致读者产生迷惑。 一、数据编码格式         首先介绍一下ASN.1(Abstract Syntax Notation One)标准,这是一种描述数字对象的方法和标准。ASN1是一种结构化的数字对象描述语言,它包括两部分:数据描述语言(ISO 8824)和数据编码规则(
数字证书(Certificate)
weixin_30646505的博客
06-11 408
Security的基础就是加解密算法,算法是公开的,任何人都可以得到,而使用算法的核心就是key,主要有private key和public key,而数字证书作为key的载体,在Security体系中自然起到关键的作用。本文将从证书的发放,回收,保存,使用方面对数字证书进行详细的介绍。 1.证书的发放与回收 能否发放Certificate的机构称为CA,CA可以后多级,每一份cer...
certificate downloader
最新发布
09-09
"Certificate downloader" 是一个用于下载证书的工具或软件。它可以用于从网络上获取各种类型的证书,如教育证书、职业证书、培训证书等。 证书是一种官方文件,它可以作为对个人或组织在特定领域或技能上的资格的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值