pem格式证书编码 x509_公钥证书编码解读

最新推荐文章于 2024-07-25 16:26:56 发布
最新推荐文章于 2024-07-25 16:26:56 发布
阅读量4.9k 收藏 1
点赞数
文章标签: pem格式证书编码 x509
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39770506/article/details/111506640
版权
本文详细介绍了PEM和DER编码,以及公钥和私钥的标准,包括PKCS#1和PKCS#8。同时,解释了RSA密钥的编码形式,如RSA PUBLIC KEY、RSA PRIVATE KEY和X.509证书的结构,探讨了X.509证书在不同场景下的应用和扩展字段。
摘要由CSDN通过智能技术生成

一、文件编码

PEM (Privacy Enhancement Message),定义见

结构组成 == {header} body {tail}

示例

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMYfnvWtC8Id5bPKae5yXSxQTt

+Zpul6AnnZWfI2TtIarvjHBFUtXRo96y7hoL4VWOPKGCsRqMFDkrbeUjRrx8iL91

4/srnyf6sh9c8Zk04xEOpK1ypvBz+Ks4uZObtjnnitf0NBGdjMKxveTq+VE7BWUI

yQjtQ8mbDOsiLLvh7wIDAQAB

-----END PUBLIC KEY-----

DER (Distinguished Encoding Rules) , 定义见

编码方式 == DER uses a pattern of type-length-value triplets

二、公钥标准

PKCS (Public Key Cryptography Standards),定义见

常见PKCS标准

三、RSA 密钥

RSA 公钥编码

PublicKey-PKCS#1-PEM

-----BEGIN RSA PUBLIC KEY-----

BASE64 ENCODED DATA

-----END RSA PUBLIC KEY-----

PublicKey-PKCS#1-DER

RSAPublicKey ::= SEQUENCE {

modulus INTEGER, -- n

publicExponent INTEGER -- e

}

PublicKey-PKCS#8-PEM

-----BEGIN PUBLIC KEY-----

BASE64 ENCODED DATA

-----END PUBLIC KEY-----

PublicKey-PKCS#8-DER

PublicKeyInfo ::= SEQUENCE {

algorithm AlgorithmIdentifier,

PublicKey BIT STRING

}

AlgorithmIdentifier ::= SEQUENCE {

algorithm OBJECT IDENTIFIER,

parameters ANY DEFINED BY algorithm OPTIONAL

}

对于RSA公钥来说,OID就是(1.2.840.113549.1.1.1)

RSA 私钥编码

PrivateKey-PKCS#1-PEM

-----BEGIN RSA PRIVATE KEY-----

BASE64 ENCODED DATA

-----END RSA PRIVATE KEY-----

PrivateKey-PKCS#1-DER

RSAPrivateKey ::= SEQUENCE {

version Version,

modulus INTEGER, -- n

publicExponent INTEGER, -- e

privateExponent INTEGER, -- d

prime1 INTEGER, -- p

prime2 INTEGER, -- q

exponent1 INTEGER, -- d mod (p-1)

exponent2 INTEGER, -- d mod (q-1)

coefficient INTEGER, -- (inverse of q) mod p

otherPrimeInfos OtherPrimeInfos OPTIONAL

}

PrivateKey-PKCS#8-PEM

-----BEGIN PRIVATE KEY-----

BASE64 ENCODED DATA

-----END PRIVATE KEY-----

PrivateKey-PKCS#8-DER

PrivateKeyInfo ::= SEQUENCE {

version Version,

algorithm AlgorithmIdentifier,

PrivateKey OCTET STRING

}

AlgorithmIdentifier ::= SEQUENCE {

algorithm OBJECT IDENTIFIER,

parameters ANY DEFINED BY algorithm OPTIONAL

}

私钥文件可采用加密方式存储,加密后的格式:

EncryptedPrivateKey-PKCS#8-PEM

-----BEGIN ENCRYPTED PRIVATE KEY-----

BASE64 ENCODED DATA

-----END ENCRYPTED PRIVATE KEY-----

Encrypted-PrivateKey-PKCS#8-DER

EncryptedPrivateKeyInfo ::= SEQUENCE {

encryptionAlgorithm EncryptionAlgorithmIdentifier,

encryptedData EncryptedData

}

EncryptionAlgorithmIdentifier ::= AlgorithmIdentifier

EncryptedData ::= OCTET STRING

四、证书

X.509 证书,

证书结构

Certificate

Version Number

Serial Number

Signature Algorithm ID

Issuer Name

Validity period

Not Before

Not After

Subject name

Subject Public Key Info

Public Key Algorithm

Subject Public Key

Issuer Unique Identifier (optional)

Subject Unique Identifier (optional)

Extensions (optional)

...

Certificate Signature Algorithm

Certificate Signature

主要字段

扩展字段

​​样例-维基百科证书

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

10:e6:fc:62:b7:41:8a:d5:00:5e:45:b6

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2

Validity

Not Before: Nov 21 08:00:00 2016 GMT

Not After : Nov 22 07:59:59 2017 GMT

Subject: C=US, ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org

Subject Public Key Info:

Public Key Algorithm: id-ecPublicKey

Public-Key: (256 bit)

pub:

04:c9:22:69:31:8a:d6:6c:ea:da:c3:7f:2c:ac:a5:

af:c0:02:ea:81:cb:65:b9:fd:0c:6d:46:5b:c9:1e:

ed:b2:ac:2a:1b:4a:ec:80:7b:e7:1a:51:e0:df:f7:

c7:4a:20:7b:91:4b:20:07:21:ce:cf:68:65:8c:c6:

9d:3b:ef:d5:c1

ASN1 OID: prime256v1

X509v3 extensions:

X509v3 Key Usage: critical

Digital Signature, Key Agreement

Authority Information Access:

CA Issuers - URI:http://secure.globalsign.com/cacert/gsorganizationvalsha2g2r1.crt

OCSP - URI:http://ocsp2.globalsign.com/gsorganizationvalsha2g2

X509v3 Certificate Policies:

Policy: 1.3.6.1.4.1.4146.1.20

CPS: https://www.globalsign.com/repository/

Policy: 2.23.140.1.2.2

X509v3 Basic Constraints:

CA:FALSE

X509v3 CRL Distribution Points:

Full Name:

URI:http://crl.globalsign.com/gs/gsorganizationvalsha2g2.crl

X509v3 Subject Alternative Name:

DNS:*.wikipedia.org, DNS:*.m.mediawiki.org, DNS:*.m.wikibooks.org, DNS:*.m.wikidata.org, DNS:*.m.wikimedia.org, DNS:*.m.wikimediafoundation.org, DNS:*.m.wikinews.org, DNS:*.m.wikipedia.org, DNS:*.m.wikiquote.org, DNS:*.m.wikisource.org, DNS:*.m.wikiversity.org, DNS:*.m.wikivoyage.org, DNS:*.m.wiktionary.org, DNS:*.mediawiki.org, DNS:*.planet.wikimedia.org, DNS:*.wikibooks.org, DNS:*.wikidata.org, DNS:*.wikimedia.org, DNS:*.wikimediafoundation.org, DNS:*.wikinews.org, DNS:*.wikiquote.org, DNS:*.wikisource.org, DNS:*.wikiversity.org, DNS:*.wikivoyage.org, DNS:*.wiktionary.org, DNS:*.wmfusercontent.org, DNS:*.zero.wikipedia.org, DNS:mediawiki.org, DNS:w.wiki, DNS:wikibooks.org, DNS:wikidata.org, DNS:wikimedia.org, DNS:wikimediafoundation.org, DNS:wikinews.org, DNS:wikiquote.org, DNS:wikisource.org, DNS:wikiversity.org, DNS:wikivoyage.org, DNS:wiktionary.org, DNS:wmfusercontent.org, DNS:wikipedia.org

X509v3 Extended Key Usage:

TLS Web Server Authentication, TLS Web Client Authentication

X509v3 Subject Key Identifier:

28:2A:26:2A:57:8B:3B:CE:B4:D6:AB:54:EF:D7:38:21:2C:49:5C:36

X509v3 Authority Key Identifier:

keyid:96:DE:61:F1:BD:1C:16:29:53:1C:C0:CC:7D:3B:83:00:40:E6:1A:7C

Signature Algorithm: sha256WithRSAEncryption

8b:c3:ed:d1:9d:39:6f:af:40:72:bd:1e:18:5e:30:54:23:35:

66:5e:62:d5:01:e2:63:47:70:cb:6d:1b:17:b0:f5:4d:11:e4:

ad:94:51:c5:5e:72:03:b0:d5:ab:18:eb:b5:3a:08:a8:73:95:

f3:7f:41:1a:28:7b:45:7c:83:2e:d3:14:95:d8:d5:d1:5f:99:

4b:0c:f4:c3:9b:0b:4f:e9:49:f4:2c:b5:ae:c3:1d:7d:2a:80:

f6:70:29:4c:0c:e6:e0:cb:88:8a:8a:02:ee:a5:d1:73:c2:93:

58:24:ff:43:1b:e3:fd:7b:aa:f0:15:0c:60:52:8f:21:7d:87:

3a:14:fa:81:41:00:60:4f:96:9a:62:94:58:de:cb:15:5c:3c:

f4:c1:4d:33:e3:ff:39:fe:28:fb:b0:41:3e:d2:8a:11:d1:06:

01:28:74:7d:71:d4:2a:ef:1f:e3:25:4b:2d:f0:66:ef:26:fb:

4c:f0:81:85:bb:1a:99:06:c9:37:87:de:8d:49:f7:00:91:a9:

42:31:4a:b9:40:a0:7d:4f:4f:a6:ea:d4:58:07:3c:01:e0:1a:

53:54:66:e1:a3:7e:30:cd:3b:f8:69:59:a3:48:92:48:e1:9e:

63:ab:08:70:91:f2:48:d2:83:4b:98:06:fa:fd:bc:99:02:da:

9c:98:b1:a3

证书格式PKI ITU-T X509标准,传统标准(.der .pem .cer .crt),仅包含公钥

PKCS#7 加密消息语法标准(.p7b .p7c .spc .p7r),p7b/p7c/spc 包含了证书链,p7r是证书请求回复(非证书)

PKCS#10 证书请求标准(.p10),.p10是证书请求文件,与.csr文件类似

PKCS#12 个人信息交换标准(.pfx *.p12),包含公钥和私钥,需密码保护

编码形式X.509 DER(Distinguished Encoding Rules)编码,后缀为:.der .cer .crt

X.509 BASE64编码(PEM格式),后缀为:.pem .cer .crt

X.509CRT-PEM

-----BEGIN CERTIFICATE-----

BASE64 ENCODED DATA

-----END CERTIFICATE-----

关键特性编码形式:二进制还是ASCII

是否包含公钥、私钥

包含一个还是多个证书

是否支持密码保护(针对当前证书)

参考文档

作者:美码师

weixin_39770506
关注
网络安全 / crt、pem、pfx、cer、key 作用及区别
布袋和尚
04-09 3万+
一、什么是 CA ? CA 就相当于一个认证机构,只要经过这个机构签名的证书我们就可以当做是可信任的。我们的浏览器中,已经被写入了默认的 CA 根证书。 二、什么是证书证书就是将我们的公钥和相关信息写入一个文件,CA 用它们的私钥对我们的公钥和相关信息进行签名后,将签名信息也写入这个文件后生成的一个文件。 三、证书格式(是一种标准) x509,这种证书只有公钥,不包含私钥。 pcks#7,这种主要是用于签名或者加密。 pcks#12,这种含有私钥,同时也含有公钥,但是有口令保护。 四、编码
证书格式介绍及如何将.pem转换为.crt和.key?
热门推荐
小洋人最happy的专栏
10-29 5万+
.pem转换的问题描述 从.pem文件中提取/转换证书.crt和私钥.key文件的正确方法或者命令是什么?我知道它们是可转换的,但是不清楚怎么做。 最佳解决方法 可以使用以下方式将pem转换为crt: openssl x509 -outform der -in your-cert.pem -out your-cert.crt 可行的解决方法整理 使用OpenSSL进行转换 以下命令允许将证书和密...
一文搞懂系列——PEM文件解析流程
最新发布
点滴路程
07-25 2009
详细介绍了如何从.pem格式的私钥证书中提取公钥和私钥信息。.pem文件是私钥证书的常见格式,而der格式是.pem文件中数据的基本格式。文章通过介绍pem和der的关系、ASN.1、BER编码格式等基础知识,帮助读者理解如何解析.pem文件中的数据。若我的内容对您有所帮助,还请关注我的公众号。不定期分享干活,剖析案例,也可以一起讨论分享。踩完您工作中的所有坑并分享给您,让你的工作无bug,人生尽是坦途。
验证ssl的证书(pem格式)
03-09
如题,这是一个自己产生的,可以验证双向或者单向验证的pem格式证书,亲测有用 如题,这是一个自己产生的,可以验证双向或者单向验证的pem格式证书,亲测有用
pem格式证书编码 x509_于数字证书DER、 PEM编码格式 - 沃通SSL证书!
weixin_39839541的博客
12-19 306
关于数字证书DER、 PEM编码格式发布日期:2019-04-01你是否经常对于SSL 数字证书的各种编码格式和扩展名诸如 .pem、.der、.crt、.cer、X.509、key 等表示很困惑;这篇科普文章将告诉你答案。我们知道,在 HTTPS(HTTP over SSL)请求的 SSL 握手阶段,服务端以数字证书的方式将 RSA 公钥传给客户端,以保证公钥在传输过程中不被篡改,而公钥将用于...
pem格式证书编码 x509_数字证书编码(Encoding)与文件扩展名(Extensions)
weixin_33628144的博客
01-14 698
编码(Encoding)与文件扩展名(Extensions)证书编码X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容。其详情可以参考RFC5280。SSL使用的就是这种证书标准。X.509证书的本质是一个根据RFC5280进行编码和数字签名的数字文件。扩展名与编码我们首先应该弄清楚扩展名和编码格式有什么关系。证书有很多的扩展名,包括DER,PEM,CRT和CER。一种不准确的的...
X509公钥结构
K0000000r的专栏
11-14 2324
X509公钥结构RSA公钥结构ECC公钥结构 SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, publicKey BIT STRING } 由上可知X509公钥标准包含两部分:算法标识、公钥数据。 其中算法标识部...
数字证书及秘钥的PEM格式、PFX格式、JKS格式介绍
又菜又爱玩的小熊
04-25 2033
三种格式可以相互进行转换。
数字证书X.509格式详解
BiigPanda的博客
01-10 7740
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码
密码学系列之:PKI的证书格式表示X.509
qq_45562973的博客
06-23 319
目录* 简介在PKI(public key infrastructure)公钥设施基础体系中,所有的一切操作都是围绕着证书和密钥的,它提供了创建、管理、分发、使用、存储和撤销数字证书以及管理公钥加密所需的一组角色、策略、硬件、软件和程序。有了密钥,就可以根据密钥制作证书了。要想证书可以被广泛的使用,一个通用的标准肯定是少不了的,在PKI体系中,这个证书的标准就叫做X.509。X.509 标准定义了公钥证书最常用的格式证书中最主要就是公钥信息,从证书中提取公钥,才能使用公钥去解密发送者使用私钥加密过的数据。
使用OpenSSL工具制作X.509证书的方法及其注意事项总结
平凡之路
05-04 2万+
如何使用OpenSSL工具生成根证书与应用证书 本文由CSDN-蚍蜉撼青松 【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!   零、写在前面        最近出于工作需要,倒腾了一下如何生成X.509证书。在此过程中遇到一些问题,也查过网上很多资料,磕磕碰碰,总算按照既定要求达到了目标。因为感觉网上的资料太散,查找起来不很方便,所以在这里做一...
android platform.x509.pem
10-19
android platform.x509.pem,供未下载android源码的 方便使用
c语言写成的取x.509证书公钥
05-10
纯属上级考验,自己下的asn代码查看器,网上找的标准, 和x509证书编码规则
利用Java库函数和自己实现的解析算法来读取X.509证书
湫一
12-16 1719
目录 Java自带库函数读取X.509证书字段 理解证书数据格式,然后解析 基本概念 算法思路 核心步骤 Java自带库函数读取X.509证书字段  这个很简单,直接上代码。读取然后全部输出,或者输出对应字段。 import java.security.*; import java.security.cert.*; import java.security.cert.Certif...
数字证书笔记
shuangmu9768的博客
09-07 1万+
【1】非对称加密、数字签名、数字证书、keytool自签名证书 【2】HTTPS、SSL 证书、利用Openssl制作自签名SSL证书 【3】tomcat开发环境配置启用https 【4】Spring Boot2中配置HTTPS 【5】导入安全证书到jdk 【6】Tomcat服务器配置https双向认证 【7】openssl与keytool 区别 【8】利用Openssl与Keytool制作Tomcat数字证书 【9】SSL工作原理 【10】NIO模式和BIO模式实现SSL协议通信 【11】Java Key
pem格式证书编码 x509_在java中写入x509证书PEM格式的string?
weixin_30698721的博客
01-14 1143
这并不坏。 Java不提供任何函数来编写PEM文件。 你在做什么是正确的方法。 即使KeyTool也是这样做的,BASE64Encoder encoder = new BASE64Encoder(); out.println(X509Factory.BEGIN_CERT); encoder.encodeBuffer(cert.getEncoded(), out); out.println(X50...
搞懂 PEM、ANS、PFX、P12、p8、CER、X509证书相关文件格式 后缀
你好
03-07 2万+
http证书相关的文件格式编码、概念比较偏多。这里对文件的各种文件后缀和格式做了统一的整理和解释说明
HTTPS证书转换成PEM格式
gmHappy
04-20 3万+
PEM 格式证书文件(*.pem)一般为以下格式:注意:PEM 格式证书文件可用 notepad++ 等文本编辑器打开。CER / CRT 格式证书转换为 PEM 格式对于 CER / CRT 格式证书,您可通过直接修改证书文件扩展名的方式进行转换。例如,将“server.crt”证书文件直接重命名为“server.pem”即可。PFX 格式证书转换为 PEM 格式PFX 格式证书一般出现在...
encoding/pem
u011525168的博客
12-25 539
pem包实现了PEM数据编码(源自保密增强邮件协议)。目前PEM编码主要用于TLS密钥和证书 PEM 编码格式如下 -----BEGIN Type----- Headers base64-encoded Bytes -----END Type----- 编码 func Encode(out io.Writer, b *Block) error type...
X509格式证书转换成pem格式的C语言代码示例
05-26
以下是将X509格式证书转换成PEM格式的C语言代码示例: ```c #include <stdio.h> #include <openssl/x509.h> #include <openssl/pem.h> int main() { X509 *cert = NULL; FILE *x509_file = fopen("x509_cert.crt", "r"); if (!x509_file) { printf("Failed to open x509 certificate file.\n"); return -1; } // 读取X509格式证书 cert = PEM_read_X509(x509_file, NULL, NULL, NULL); fclose(x509_file); if (!cert) { printf("Failed to read X509 certificate.\n"); return -1; } FILE *pem_file = fopen("pem_cert.pem", "w"); if (!pem_file) { printf("Failed to create PEM certificate file.\n"); X509_free(cert); return -1; } // 将X509证书转换成PEM格式证书,并输出到文件中 if (PEM_write_X509(pem_file, cert) != 1) { printf("Failed to write PEM certificate.\n"); fclose(pem_file); X509_free(cert); return -1; } fclose(pem_file); X509_free(cert); printf("X509 certificate successfully converted to PEM format.\n"); return 0; } ``` 需要注意的是,在编译时需要链接OpenSSL库。例如,使用以下命令进行编译: ``` gcc -o x509_to_pem x509_to_pem.c -lssl -lcrypto ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值