搞懂 PEM、ANS、PFX、P12、p8、CER、X509 等证书相关文件格式 后缀

已于 2022-11-08 15:58:17 修改
阅读量2.5w 收藏 68
点赞数 8
分类专栏: 密码学 文章标签: https ssl http
于 2022-03-07 17:33:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianpengfei123/article/details/123335248
版权

文章目录


http证书相关的文件格式、编码、概念比较偏多。这里对文件的各种文件后缀和格式做了统一的整理和解释说明

我在国密实验室申请下载了一个证书,解压后如下图,起初我是比较懵的,各种的文件让我一头雾水。下面我们将讲解一个各种文件格式后缀。

在这里插入图片描述

结论

.pem文件一种可阅读格式的文件(文本文件),文件内容可能代表的是证书、可能代表私钥等

.oca.pem: (中间)证书文件

.rca.pem:(根部)证书文件

.pfx: 一种归档文件,可以同时存储证书、私钥等内容,就比如上面的both.pfx其实就是其他所有文件的总和。

.cer:二进制格式的证书文件

crt.pem: PEM格式的证书文件,文本文件可阅读

.key: 二进制密钥文件,上图为私钥文件

.key.pem:PEM格式的密钥文件,上图中对应的文件为pkcs#1格式的PEM私钥文件

.key.p8:PEM格式的私钥文件,上图中对应的文件为pkcs#8格式的PEM私钥文件

区分上面两种格式的私钥文件很简单。

如果PEM格式指明是算法的私钥,那么就是pkcs#1格式,比如下面

-----BEGIN RSA PRIVATE KEY-----
....
-----END RSA PRIVATE KEY-----

如果没有指明那就是pkcs#8格式,比如下面的

-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

因为国密是双证书体系,一个终端需要两份证书,一封是签名证书,一封是加密证书,所以在图片里面出现了两份终端证书

enc代表加密相关的,sig代表签名相关的。

比如上面的enc.key代表加密证书对应的私钥文件,enc.cer就是加密证书。

还有一点需要注意,文件名字由人而定,叫什么都不一定,我们就是以上图文件为例来说明我们证书相关的文件有哪些。

ASN.1

​ 全称为 Abstract Syntax Notation One (ASN.1) ,抽象语言,可用来描述数据结构,多用于描述加密方面的数据结构。这种ASN1描述的数据结构可以序列化和反序列化,进而来实现跨平台的传输。

​ ASN.1描述数据结构对于人来说是有可阅读性的,可以编码成二进制文件,对于机器来说也是可以读取的。

Foo协议描述例子:

FooProtocol DEFINITIONS ::= BEGIN

    FooQuestion ::= SEQUENCE {
        trackingNumber INTEGER,
        question       IA5String
    }

    FooAnswer ::= SEQUENCE {
        questionNumber INTEGER,
        answer         BOOLEAN
    }

END

ANS.1可以编码成二进制数据, 有多种编码规则 BERBasic Encoding Rules) 、DERDistinguished Encoding Rules)、CER(Canonical Encoding Rules)等

PEM

PEM 全称为 Privacy-Enhanced Mail ,是一种用于密码学相关的文件的格式。

​ 由于许多密码学相关的标准都是由 ASN.1 定义数据结构,然后用 Distinguished Encoding Rules (DER) 去序列化这些结构,序列的结果为二进制文件,比如证书、密钥等。纯二进制文件不易在网络中传输,在很多情况下也不套容易展示出来。一般我们通过Base64 或者HEX来编码二进制文件。PEM就使用了Base64编码了二进制文件。

​ PEM是把二进制数据通过Base64进行编码,然后再头部添加header -----BEGIN XXX----- 尾部添加footer -----END XXX-----。 header 和footer之间的数据就是被Base64编码的二进制数据。XXX 是要编码的数据内容类型,可以是 CERTIFICATECERTIFICATE REQUESTPRIVATE KEYX509 CRL

例:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

一般PEM编码的数据会出现在 后缀为.pem 的文件中。也可能出现在其他后缀文件中,比如.cer(PEM编码的证书数据,有时候也不用PEM编码,直接就是二进制数据)、.crt(PEM编码的证书数据)文件。

还有一点就是,可以存放不同的内容类型的内容到同一个PEM文件。如下

a.pem

-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

我们可以通过PEM的头部和尾部去推到文件内容是什么,但是如果碰见这种文件后缀.key.pem.crt.pem.cer.pem。一般文件内容就很容易推导出了

.key.pem 密钥PEM编码数据。 crt.pem:证书的PEM编码数据 。 .cer.pem:证书的PEM编码数据。另外pem文件直接打开看header就可以知道它存储的是什么。

.pfx

介绍

​ 个人认为pfx文件不是证书,pfx是一种PKCS#12归档文件格式的一种后缀,PKCS #12文件格式的后缀为 :.p12 或者 .pfx

PKCS的意思为 Public-Key Cryptography Standards,也就是公钥加密标准(非对称加密标准) 。 PKCS#12为PKCS 的12号标准,它的名字为个人信息交换语法标准Personal Information Exchange Syntax Standard

PKCS#12规定了 一种归档文件格式,PKCS #12格式文件的前身是微软的PFX格式文件。PKCS #12格式文件可以存储证书(X509证书),私钥、废弃证书列表(CRL)、和一些可以自定义的信息(由实现者决定)。此文件可以被加密或者签名的,要想读取此文件可能需要解密。由此可见大家可以把此文件想象成一个存储数据的数据库,存储证书、私钥、CRL、自定义信息的数据,有特定的结构格式。

应用

​ 它通常被存储一个私钥和这个私钥相关的证书或者证书链

​ java9以后就会PCKS# 12 作为默认的keystore格式。

.p12

同上

.p8

.p8是 PKCS #8的文件格式后缀,PKCS #8格式的名字为私钥信息语法标准(Private-Key Information Syntax Standard)。

存储的私钥可以被加密,支持多密码加密。存储的内容是PEM 编码的格式。下图的文件其实就是PKCS #8格式的私钥PEM文件

-----BEGIN PRIVATE KEY-----
MIIBVgIBADANBgkqhkiG9w0BAQEFAASCAUAwggE8AgEAAkEAq7BFUpkGp3+LQmlQ
.....

PkaxlEECIQCNymjsoI7GldtujVnr1qT+3yedLfHK
srDVjIT3LsvTqw==
-----END PRIVATE KEY-----

还有一些私钥文件指明了具体的算法,比如下面。EC代表数据Elliptic Curve ,就是椭圆曲线的意思。 指明算法的其实就是 PKCS #1格式的私钥

-----BEGIN EC PRIVATE KEY-----
MHcCAQEEIOUO8Ie5zWSXVvUMZPea9YuMNmPYLwbWYW.....
fOAH5brAl/HgLBhyQMwG7jMwNRN7CO+fwA==
-----END EC PRIVATE KEY-----

还有以 -----BEGIN RSA PRIVATE KEY----- 开头的文件,这就代表的是私钥类型是RSA的私钥。如果只是以-----BEGIN PRIVATE KEY-----开头的话,私钥类型就包含在数据里面。

.cer

存储X.509证书的文件,文件内容可以是 ASN.1- DER编码的二进制数据 也可以是ASN.1- DER编码的二进制数据再被PEM编码的数据。

.crt

存储X.509证书的文件,文件内容是ASN.1- DER编码的二进制数据然后再被PEM编码的数据。

X.509

书写中…

参考

百科

安全与加密常识(7)pem, der, crt, cer, key等各类证书与密钥文件后缀解析
二进制君
06-30 1440
在Windows平台上,CRT文件通常用于存储公钥证书,而CER文件则用于存储包含公钥和私钥的证书。CRT文件通常使用PEM或DER格式进行编码,而CER文件则通常使用DER格式进行编码。编码,并且包含了起始标记和结束标记,以便于识别和区分不同类型的密钥和证书,(例如-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----)。使用PEM格式编码的KEY文件具有良好的可读性和可编辑性,而使用DER格式编码的KEY文件则更加紧凑和高效。
关于PEM, DER, CRT, CER,KEY等各类证书与密钥文件后缀的解释
Laurence的技术博客
03-18 3万+
文章目录PEM文件DER文件PEM与DER的相互转换 总得来说这些文件都与X.509证书和密钥文件有关,从文件编码上分,只有两大类: PEM格式:使用Base64 ASCII进行编码的纯文本格式 DER格式:二机制格式 而CRT, CER,KEY这几种证书和密钥文件,它们都有自己的schema,在存储为物理文件时,既可以是PEM格式,也可以DER格式。 CER:一般用于windows的证书文件格式 CRT:一般用于Linux的证书,包含公钥和主体信息 KEY:一般用于密钥,特别是私钥 打个比方:CE
证书相关后缀文件
xx1129244705的博客
09-19 851
jks是JAVA的keytools证书工具支持的证书私钥格式。 pfx是微软支持的私钥格式。 cer证书的公钥。 简单来说,cer就是你们家邮箱的地址,你可以把这个地址给很多人让他们往里面发信。 pfx或jks就是你家邮箱的钥匙,别人有了这个就可以冒充你去你家邮箱看信,你丢了这个也没法开邮箱了。
相关证书介绍(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
热门推荐
二十同学
12-24 7万+
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂。写这篇文章的目的就是为了理理清这些概念,搞清楚它们的含义及关联,还有一些基本操作。 SSL SSL- Secure Sockets Layer,现在应该叫"TL...
PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析
最新发布
gs80140的专栏
04-07 966
在部署 HTTPS 时,很多朋友可能都遇到过.crt等证书文件。尤其是在使用 Apache、Nginx 或其他 Web 服务配置 SSL 时,往往需要你提供一个“PEM 格式”的证书文件。那究竟什么是 PEM 格式证书?它为什么需要多个.crt文件组合?本文将带你快速搞懂这些概念。PEM 格式证书本质上是一种纯文本编码方式,通常由:域名证书.crt(站点专属)根证书(中间+根CA) 拼接而成,用于构建安全信任链,保证浏览器和客户端对服务器身份的信任。
.pem文件是什么
Debug yourself!
02-28 885
pem文件通常是一个格式的文件,它是一个常见的格式,可以存储加密密钥、证书或其他加密数据。最常见的用途是和。在 SSH 使用中,.pem文件一般是文件,用于通过公钥认证连接到远程服务器。.pem
各种电子证书后缀
LVXIANGAN的专栏
04-27 1万+
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。 .pem跟crt/cer的区别是它以Ascii来表示。 pfx/p12用于存放个人证书/私钥,通常包含保护密码,2进制方式 编码 (也用于扩展名).DER = 扩展名DER用于二进制DER编码的证书。这些证书也可以用CER或者CRT作为扩展名。比较合适的说法是“我有一个DER编码的证书”,而不是“我有一个DER证书”。.PEM ...
.pem 后缀文件
weixin_64684095的博客
08-11 1030
后缀的文件通常是一种用于存储加密密钥和证书文件格式
SSL中,公钥,私钥,证书后缀
master_yao的博客
10-03 1万+
Linux 下的工具们通常使用 base64 编码的文本格式,相关常用后缀如下: 证书(Certificate):.cer(windows), .crt,   私钥(Private Key):.key 证书签名请求(Certificate sign request):.csr .cer 好像是二进制的证书。(Windows下) 至于pem和der,是编码方式,以上三类均可
证书相关后缀文件(SSL,X.509,PEM,DER,CRT,CSR,CER,KEY,P12)
bowei1105的博客
03-30 1497
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂.写这篇文章的目的就是为了理理清这些概念,搞清楚它们的含义及关联,还有一些基本操作. 证书相关后缀文件详解
常见证书密钥格式与标准
salahi的专栏
02-22 2691
作为一个加密开发者,一定要熟悉证书密钥的各种格式、编码与标准。证书密钥后缀推荐 1. x509 证书后缀推荐 .crt 2. pem 密钥后缀推荐 .pem 3. 普通 密钥后缀推荐 .key
SSL中,公钥、私钥、证书(pem、crt、cer、key、csr)的后缀名都是些啥?
HD243608836的博客
10-21 3万+
今天做这么一个事,centos服务器,tomcat8+nginx1.6,现在要在上面运行cas4.0。所以需要配ssl,然后找教程,了解到,需要把tomcat和nginx的ssl都配置好。到这里就晕了,tomcat配ssl需要一个.keystore文件,nginx则需要配一个.crt和一个.key的文件。按照教程使用keytool生成了.keystore文件,然后我需要通过.keystore导出一个.crt文件,但是找了好多教程只是导出.cer文件。
pem.p12.cer、pkcs 等文件格式的区别
Jian Sun_的博客
07-07 3326
证书格式
.pem文件详解
achirandliu的专栏
06-03 3875
.pem文件详解
关于 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
weixin_42108319的博客
01-10 8657
客户端向服务器发送“ClientHello”消息,其中包含客户端支持的TLS版本、提议的加密套件列表(加密算法和密钥交换方法的组合)、一个客户端生成的随机数(Client Random),以及一个新的扩展,名为“key_share”,其中包含客户端的Diffie-Hellman公钥参数。SSL 与 TLS 两者所使用的算法是不同的,同时 TLS 增加了许多新的报警代码。因为数字证书的是由权威机构颁布的,这个证书中所包含的公钥是被认证过的公钥,我们只需要验证证书的真伪,而公钥的真伪则交给了CA担保。
.p12 .pfx .cer 证书
qianqian的博客
08-10 950
A方:需要 B 方的公钥和 A 自己的私钥, A 自己的私钥用来做加密,然后 B 用 A 给过来的公钥做解密。B方:需要 A 方的公钥和 B 自己的私钥, B 自己的私钥用来做加密,然后 A 用 B 给过来的公钥做解密。② 私钥证书.p12 .pfx 结尾的私钥。① 公私钥证书.cer 结尾的公钥。...
PEM (Privacy Enhanced Mail) 和 PFX (Personal Information Exchange)异同
极客神殿
09-24 1742
PEM (Privacy Enhanced Mail) 和 PFX (Personal Information Exchange) 都是用于存储和传输安全相关信息的格式,通常用于数字证书和私钥的管理。它们之间的主要区别在于其格式和用途。因此,PEMPFX 的主要区别在于它们的格式和用途。PEM 是一种基于文本的编码格式,通常用于存储和传输X.509数字证书相关的密钥,而PFX 是一种二进制格式,用于打包证书、私钥和密码以便于导入到密钥库中。选择使用哪种格式取决于您的具体需求和应用场景。
JAVA从一个.p12.pfx文件中获取公钥和私钥
yuji_123的专栏
12-05 8941
原文地址:http://www.cjsdn.net/post/view?bid=6&id=57420&sty=3&age=0 /** * Read a p12 format digital certificate. Be careful about the file format. * Sometimes, it might be incompatible. If it happens,
ELK生成PEM格式的ca证书、设置Https并使用Elasticsearch Java Client连接
特别享受思考问题的过程
05-28 3794
文章目录前提条件生成CA证书根据CA证书生成用于各个节点通信加密的证书为其他组件Kibana、Logstash生成证书配置elasticsearch.yml配置kibana.yml配置logstash.confJava代码使用HTTPS连接ES为什么使用ca.crt而不是官方推荐的ca.p12?官方文档 前提条件 本地下载安装好Elasticsearch、Kibana、Logstash,并可以正常启动 本文所使用的ELK的版本为8.2.0 Elasticsearch 8.2.0 版本,安装好之后
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值