SSL 数字证书的标准、编码以及文件扩展名

最新推荐文章于 2023-01-10 20:10:30 发布
最新推荐文章于 2023-01-10 20:10:30 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: ssl证书 文章标签: ssl

你是否经常像我一样对于 SSL 数字证书的各种编码格式和扩展名诸如 .pem、.der、.crt、.cer、.csr、.p12、X.509 等表示很困惑,这篇文章将告诉你答案。
我们知道,在 HTTPS(HTTP over SSL)请求的 SSL 握手阶段,服务端以数字证书的方式将 RSA 公钥传给客户端,以保证公钥在传输过程中不被篡改,而公钥将用于加密后续数据传输对称加密的密钥(以后再细讲这一过程)。
SSL 数字证书的主要目的是用于传递服务端公钥,我们下面来了解一下证书的标准、编码格式以及常见的文件扩展名。
证书标准
• X.509 数字证书标准,定义证书文件的结构和内容,详情参考 RFC5280。SSL 数字证书通常采用这种标准,一般由用户公共密钥和用户标识符组成,此外还包括版本号、证书序列号、CA 标识符、签名算法标识、签发者名称、证书有效期等信息。一个 X.509 标准的 SSL 数字证书包含(但不限于)以下的字段:
这里写图片描述
下图就是我个人博客 kangzubin.cn 域名下的数字证书,可通过 Chrome 浏览器查看其详细内容。
这里写图片描述
证书的编码格式
X.509 标准的证书文件具有不同的编码格式,一般包括 PEM 和 DER 两种。
• PEM: Privacy Enhanced Mail 的缩写,以文本的方式进行存储。它的文件结构以 —–BEGIN XXX—–,并以 —–END XXX—– 结尾,中间 Body 内容为 Base64 编码过的数据。
例如,以 PEM 格式存储的证书结构大概如下:

1 —–BEGIN CERTIFICATE—–
2 Base64编码过的证书数据
3 —–END CERTIFICATE—–
4
5
通过如下 OpenSSL 命令可以查看其证书内容:

1 openssl x509 -in xxx.pem -text -noout
它也可以用来编码存储公钥(RSA PUBLIC KEY)、私钥(RSA PRIVATE KEY)、证书签名请求(CERTIFICATE REQUEST)等数据。
使用PEM格式存储的证书:
—–BEGIN CERTIFICATE—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE—–
使用PEM格式存储的私钥:
—–BEGIN RSA PRIVATE KEY—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END RSA PRIVATE KEY—–
使用PEM格式存储的证书请求文件:
—–BEGIN CERTIFICATE REQUEST—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE REQUEST—–
一般 Apache 和 Nginx 服务器应用偏向于使用 PEM 这种编码格式。
• DER: Distinguished Encoding Rules 的缩写,以二进制方式进行存储,文件结构无法直接预览,同样可以通过如下 OpenSSL 命令查看其证书内容:

1   openssl x509 -in xxx.der -inform der -text -noout

一般 Java 和 Windows 服务器应用偏向于使用 DER 这种编码格式。
当然同一 X.509 证书的不同编码之间可以互相转换:
• PEM 转为 DER:

1   openssl x509 -in xxx.pem -outform der -out xxx.der
• DER 转为 PEM:

1   openssl x509 -in xxx.der -inform der -outform pem -out xxx.pem

证书的几种文件扩展名
证书文件扩展名是比较误导人的地方,我之前也一直没搞明白!
如上所述,对于 X.509 标准的证书两种不同编码格式,一般采用 PEM 编码就以 .pem 作为文件扩展名,若采用 DER 编码,就应以 .der 作为扩展名。但常见的证书扩展名还包括 .crt、.cer、.p12 等,他们采用的编码格式可能不同,内容也有所差别,但大多数都能互相转换,现总结如下:
• .pem: 采用 PEM 编码格式的 X.509 证书的文件扩展名;
• .der: 采用 DER 编码格式的 X.509 证书的文件扩展名;
• .crt: 即 certificate 的缩写,常见于类 UNIX 系统,有可能是 PEM 编码,也有可能是 DER 编码,但绝大多数情况下此格式证书都是采用 PEM 编码;
• .cer: 也是 certificate 的缩写,常见于 Windows 系统,同样地,可能是 PEM 编码,也可能是 DER 编码,但绝大多数情况下此格式证书都是采用 DER 编码;
• .p12: 也写作 .pfx,全称:PKCS #12,是公钥加密标准(Public Key Cryptography Standards,PKCS)系列的一种,它定义了描述个人信息交换语法(Personal Information Exchange Syntax)的标准,可以用来将包含了公钥的 X.509 证书和证书对应的私钥以及其他相关信息打包,进行交换。简单理解:一份 .p12 文件 = X.509 证书+私钥;
• .csr: Certificate Signing Request 的缩写,即证书签名请求,它并不是证书的格式,而是用于向权威证书颁发机构(Certificate Authority, CA)获得签名证书的申请,其核心内容包含一个 RSA 公钥和其他附带信息,在生成这个 .csr 申请的时候,同时也会生成一个配对 RSA 私钥,私钥通常需要严格保存于服务端,不能外泄。
• .key: 通常用来存放一个 RSA 公钥或者私钥,它并非 X.509 证书格式,编码同样可能是 PEM,也可能是 DER,查看方式如下:

1   PEM 编码格式:openssl rsa -in xxx.key -text -noout
2   DER 编码格式:openssl rsa -in xxx.key -text -noout -inform der

以上。

参考
• X.509
• PKCS #12
• 那些证书相关的玩意儿
• 证书编码以及文件格式汇总
http://bbs.csdn.net/topics/190044123

来自 http://blog.csdn.net/u011001084/article/details/54708258

mingqiong_4
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
验证ssl的证书(pem格式)
03-09
PEM(Privacy Enhanced Mail)格式是一种常见的证书格式,它以Base64编码的方式存储证书内容,并使用`.pem`或`.crt`作为文件扩展名。在本文中,我们将深入探讨如何验证SSL证书,特别是使用PEM格式的证书,以及如何...
各种电子证书后缀名
LVXIANGAN的专栏
04-27 1万+
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。 .pem跟crt/cer的区别是它以Ascii来表示。 pfx/p12用于存放个人证书/私钥,通常包含保护密码,2进制方式 编码 (也用于扩展名).DER = 扩展名DER用于二进制DER编码的证书。这些证书也可以用CER或者CRT作为扩展名。比较合适的说法是“我有一个DER编码的证书”,而不是“我有一个DER证书”。.PEM ...
各种扩展名的证书
huihui0819的专栏
08-24 1570
Certificates and Encodings At its core an X.509 certificate is a digital document that has been encoded and/or digitally signed according to RFC 5280. In fact, the term X.509 certificate usually ref
CA证书后缀文件的说明和使用p12生成pem证书
u014029448的博客
09-05 1万+
一、CA证书的几种文件扩展名说明 对于 X.509 标准的证书有两种不同编码格式,一般采用 PEM 编码就以 .pem 作为文件扩展名,若采用 DER 编码,就应以 .der 作为扩展名。但常见的证书扩展名还包括 .crt、.cer、.p12 等,他们采用的编码格式可能不同,内容也有所差别,但大多数都能互相转换,总结如下: .pem:采用 PEM 编码格式的 X.509 证书的文件扩展...
Java安全教程–创建SSL连接和证书的分步指南
最佳 Java 编程
05-16 706
在有关应用JEE安全性的系列文章中,我们为您提供了另一个有关如何在Java EE应用程序中创建SSL连接和创建证书的详细教程。 如我们之前的文章中所述, 安全套接字层(SSL)/传输层安全性(TLS)将启用客户端和Web服务器之间的安全连接。 客户端将使用HTTPS连接来使用Web资源。 Java提供了各种基于安全性的API,可以帮助与客户端建立安全连接并以加密格式发送/接收消息: ...
RSA2048基础知识
热门推荐
mutourend的博客
12-16 2万+
1. RSA家族 在数学上,RSA numbers是一系列大的semiprimes(半素数,仅能分解为两个素数因子。)截止到2019年11月,下列表中的20个(总共54个)RSA数值已被成功分解,分别是:RSA-100到RSA-230的16个数,以及从RSA-768、RSA-704、RSA-640以及RSA-240。 2. RSA2048 RSA-2048具有617个十进制数字,共2048bit...
JAVA 用代码生成数字证书源码
12-22
PEM(Privacy Enhanced Mail)格式是以Base64编码的文本格式,包含了证书或密钥信息,通常以.pem或.cer文件扩展名出现。 在实际应用中,这些功能对于构建安全的网络服务、实现HTTPS通信、SSL/TLS协议等都是非常重要...
ft_ssl:您将重新编码OpenSSL程序的一部分,特别是MD5哈希算法
02-19
在IT领域,加密和安全通信是至关重要的,OpenSSL是一个广泛应用的开源库,它提供了多种加密算法、证书处理以及安全套接层(SSL/TLS)协议。本项目名为"ft_ssl",其核心任务是让您重新实现OpenSSL中的MD5(Message-...
制作RSA非对称加密证书(pfx\der)openssl
10-23
DER(Distinguished Encoding Rules)是X.509证书的标准编码方式,它是ASCII码的二进制表示,通常扩展名为.cer或.der,适用于跨平台传输。 以下是使用openssl创建RSA非对称加密证书的步骤: 1. **生成RSA密钥对** ...
read509.tar.gz_X509格式_read509_x509 解析_解析证书_证书
07-15
在IT行业中,X.509是一种广泛使用的公钥基础设施(PKI)标准,用于数字证书的格式。本文将深入探讨X.509证书、`read509.tar.gz`压缩包中的`read509`程序以及如何解析X.509证书。 首先,X.509证书是电子文档,它包含...
openssl之RSA
qq_41224661的博客
06-28 245
openssl实现了ssl和tls协议。 下面是RSA的数据结构 struct { BIGNUM *n; // public modulus BIGNUM *e; // public exponent BIGNUM *d; // private exponent BIGNUM *p; // secret prime f
SSL证书格式详解
weixin_34146986的博客
08-06 2109
SSL证书后缀面对不同后缀类型的证书是不是感到茫然,下面就针对几种常用的证书后缀格式进行介绍:CSR – Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开...
配置SSL证书
代码小哥的博客
07-01 2387
此方案用于在Ubuntu系统中安装SSL证书
SSL证书种类
c1052981766的专栏
02-17 1655
域名型https证书(DVSSL):信任等级一般,只需验证网站的真实性便可颁发证书保护网站;企业型https证书(OVSSL):信任等级高,须要验证企业的身份,审核严格,安全性更强;增强型https证书(EVSSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最好,同时可以激活绿色网址栏...
电子证书 DER vs. CRT vs. CER vs. PEM
googling的专栏
08-18 1万+
原文链接 一直对电子证书的文件后缀比较头大,搞不清这些后缀的关系,终于在网上搜到一个比较简明的文章,试着翻译一下:) 证书与编码 本至上,X.509证书是一个数字文档,这个文档根据RFC 5280来编码并/或签发。 实际上,“X.509证书”经
数字证书X.509格式详解
BiigPanda的博客
01-10 6723
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码
SSL证书的格式与扩展名是什么样的
蔚可云的博客
02-18 1127
编码格式 PEM 内容:以 -----BEGIN xxx----- 作为开头,以 -----END xxx----- 作为结尾,主体部分使用 base64 对 ACII 进行编码。可以储存公钥证书(服务器证书及中检证书,「xxx」为 「CERTIFICATE」)和私钥(「xxx」为「RSA等加密算法名称 PRIVATE KEY」),也可以储存两者的联合,但通常情况下,Apache 等软件都会要求将公钥和私钥分开存储到不同的文件。 场景:*NIX 操作系统下普遍倾向于使用这一编码格式。ss...
SSL 数字证书应用场景有哪些
最新发布
05-05
SSL 数字证书主要用于加密通信和身份验证,常见的应用场景包括: 1. 网站加密通信:SSL 数字证书可以保护网站与用户之间的通信,防止敏感信息(如用户名、密码、信用卡信息等)被窃听或篡改。 2. 电子商务:在线支付、网上银行等需要保护用户敏感信息的场景,都需要使用 SSL 数字证书来加密通信。 3. 企业内部通信:公司内部的邮件、文件传输等通信也需要使用 SSL 数字证书来保护数据的安全性。 4. 移动应用:App 内的通信也需要使用 SSL 数字证书来保护用户数据的安全性。 总之,任何需要保护通信安全和用户隐私的场景都可以使用 SSL 数字证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值