Go-加密学(五) - 证书crt、pem、pfx、cer、key 作用及区别

一、编码格式二、相关的文件扩展名

xiangjai

9994人浏览 · 2022-06-15 09:37:43

xiangjai · 2022-06-15 09:37:43 发布

一、编码格式

二、相关的文件扩展名

一、编码格式

同样的 X.509 证书，可能有不同的编码格式，目前有以下两种编码格式。

1、PEM - Privacy Enhanced Mail

打开看文本格式，以“-----BEGIN...”开头，“-----END...”结尾，内容是 BASE64 编码。

查看 PEM 格式证书的信息：

openssl x509 -in certificate.pem -text -noout

PEM格式是证书颁发机构颁发证书的最常见格式.PEM证书通常具有扩展名，例.pem，.crt，.cer和.key。它们是Base64编码的ASCII文件，包含“----- BEGIN CERTIFICATE -----”和“----- END CERTIFICATE -----”语句。服务器证书，中间证书和私钥都可以放入PEM格式。

Apache和其他类似服务器使用PEM格式证书。几个PEM证书，甚至私钥，可以包含在一个文件中，一个在另一个文件之下，但是大多数平台（例如Apache）希望证书和私钥位于单独的文件中

2、DER - Distinguished Encoding Rules

DER格式只是证书的二进制形式，而不是ASCII PEM格式。它有时会有.der的文件扩展名，但它的文件扩展名通常是.cer所以判断DER .cer文件和PEM .cer文件之间区别的唯一方法是在文本编辑器中打开它并查找BEGIN / END语句。所有类型的证书和私钥都可以用DER格式编码。DER通常与Java平台一起使用，Java 和 Windows 服务器偏向于使用这种编码格式。SSL转换器只能将证书转换为DER格式

查看 DER 格式证书的信息：

openssl x509 -in certificate.der -inform der -text -noout

二、相关的文件扩展名

这是比较误导人的地方，虽然我们已经知道有 PEM 和 DER 这两种编码格式，但文件扩展名并不一定就叫“PEM”或者“DER”，常见的扩展名除了 PEM 和 DER 还有以下这些，它们除了编码格式可能不同之外，内容也有差别，但大多数都能相互转换编码格式。

1、CRT

CRT 应该是 certificate 的三个字母，其实还是证书的意思。常见于 UNIX 系统，有可能是 PEM 编码，也有可能是 DER 编码，大多数应该是 PEM 编码，相信你已经知道怎么辨别。

2、CER

还是 certificate，还是证书。常见于 Windows 系统，同样的可能是 PEM 编码，也可能是 DER 编码，大多数应该是 DER 编码。

3、KEY

通常用来存放一个公钥或者私钥，并非 X.509 证书。编码同样的，可能是 PEM，也可能是 DER。

查看 KEY 的办法：

openssl rsa -in mykey.key -text -noout

如果是 DER 格式的话，同理应该这样了：

openssl rsa -in mykey.key -text -noout -inform der

4、CSR

Certificate，Signing Request，即证书签名请求。这个并不是证书，而是向权威证书颁发机构获得签名证书的申请，其核心内容是一个公钥（当然还附带了一些别的信息）。在生成这个申请的时候，同时也会生成一个私钥，私钥要自己保管好。做过 iOS APP 的朋友都应该知道是，怎么向苹果申请开发者证书的吧。

查看的办法：

openssl req -noout -text -in my.csr

（如果是 DER 格式的话照旧加上 -inform der，这里不写了）。

5、PFX/P12

predecessor of PKCS#12，对 unix 服务器来说,一般 CRT 和 KEY 是分开存放在不同文件中的，但 Windows 的 IIS 则将它们存在一个 PFX 文件中，(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会，PFX 通常会有一个“提取密码”，你想把里面的东西读取出来的话，它就要求你提供提取密码，PFX 使用的时 DER 编码，如何把 PFX 转换为 PEM 编码？

openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes

这个时候会提示你输入提取代码，for-iis.pem 就是可读的文本。

生成 pfx 的命令类似这样：

openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt

其中 CACert.crt 是 CA（权威证书颁发机构）的根证书，有的话也通过 -certfile 参数一起带进去。这么看来，PFX 其实是个证书密钥库。

6、PKCS＃7 / P7B格式

PKCS＃7或P7B格式通常以Base64 ASCII格式存储，文件扩展名为.p7b或.p7c。P7B证书包含“----- BEGIN PKCS7 -----”和“----- END PKCS7 -----”语句。P7B文件仅包含证书和链证书，而不包含私钥。多个平台支持P7B文件，包括Microsoft Windows和Java Tomcat

7、PKCS＃12 / PFX格式

PKCS＃12或PFX格式是二进制格式，用于将服务器证书，任何中间证书和私钥存储在一个可加密文件中。PFX文件通常具有扩展名，例如.pfx和.p12。PFX文件通常在Windows计算机上用于导入和导出证书和私钥。

将PFX文件转换为PEM格式时，OpenSSL会将所有证书和私钥放入一个文件中。您需要在文本编辑器中打开该文件，并将每个证书和私钥（包括BEGIN / END语句）复制到其各自的文本文件中，并将它们分别保存为certificate.cer，CACert.cer和privateKey.key