PKI证书格式及转换
PKI证书格式及转换
2013年10月29日
17:47
PKCS 全称是 Public-Key Cryptography Standards ,是由RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:
PKCS#7 Cryptographic MessageSyntax Standard
PKCS#10 Certification RequestStandard
PKCS#12 Personal InformationExchange Syntax Standard
X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。
PKCS#7 常用的后缀是: .P7B .P7C .SPC
PKCS#12 常用的后缀有: .P12 .PFX
X.509 DER 编码(ASCII)的后缀是:.DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是:.PEM .CER .CRT
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。
一 用openssl创建CA证书的RSA密钥(PEM格式):
openssl genrsa -des3 -outca.key 2048
二用openssl创建CA证书(PEM格式,假如有效期为一年):
openssl req -new -utf8 -x509 -days 365 -key ca.key -out ca.crt
openssl是可以生成DER格式的CA证书的,最好用IE将PEM格式的CA证书转换成DER格式的CA证书。
三 x509到pfx
openssl pkcs12 -export -inkey ca.key –in ca.crt -out ca.pfx
注意-inkey和-in两个选项的顺序
四 PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk-nocrypt -topvk
五 PKCS#12 到 PEM的转换
openssl pkcs12 -nocerts -nodes-in cert.p12 -out private.pem
验证 openssl pkcs12 -clcerts -nokeys -in cert.p12 -outcert.pem
六 从 PFX 格式文件中提取私钥格式文件 (.key)
openssl pkcs12 -in mycert.pfx-nocerts -nodes -out mycert.key
七 转换 pem 到到 spc
openssl crl2pkcs7 -nocrl-certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定DER 还是 PAM 格式。例如:
openssl x509 -in Cert.pem -informPEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的转换,
openssl pkcs12 -export -inCert.pem -out Cert.p12 -inkey key.pem
密钥库文件格式【Keystore】
格式 : JKS
扩展名 : .jks/.ks
描述 : 【JavaKeystore】密钥库的Java实现版本,provider为SUN
特点 : 密钥库和私钥用不同的密码进行保护
格式 : JCEKS
扩展名 : .jce
描述 : 【JCEKeystore】密钥库的JCE实现版本,provider为SUN JCE
特点 : 相对于JKS安全级别更高,保护Keystore私钥时采用TripleDES
格式 : PKCS12
扩展名 : .p12/.pfx
描述 : 【PKCS#12】个人信息交换语法标准
特点 : 1、包含私钥、公钥及其证书
2、密钥库和私钥用相同密码进行保护
格式 : BKS
扩展名 : .bks
描述 : Bouncycastle Keystore】密钥库的BC实现版本,provider为BC
特点 : 基于JCE实现
格式 : UBER
扩展名 : .ubr
描述 : 【BouncycastleUBER Keystore】密钥库的BC更安全实现版本,provider为BC
证书文件格式【Certificate】
格式 : DER
扩展名 : .cer/.crt/.rsa
描述 :【ASN .1 DER】用于存放证书
特点 : 不含私钥、二进制
格式 : PKCS7
扩展名 :.p7b/.p7r
描述 :【PKCS #7】加密信息语法标准
特点 :1、p7b以树状展示证书链,不含私钥
2、p7r为CA对证书请求签名的回复,只能用于导入
格式 : CMS
扩展名 : .p7c/.p7m/.p7s
描述 :【Cryptographic Message Syntax】
特点 :1、p7c只保存证书
2、p7m:signature withenveloped data
3、p7s:时间戳签名文件
格式 : PEM
扩展名 : .pem
描述 :【Printable Encoded Message】
特点 : 1、该编码格式在RFC1421中定义,其实PEM是【Privacy-Enhanced Mail】的简写,但他也同样广泛运用于密钥管理
2、ASCII文件
3、一般基于base 64编码
格式 : PKCS10
扩展名 : .p10/.csr
描述 : 【PKCS #10】公钥加密标准【Certificate Signing Request】
特点 : 1、证书签名请求文件
2、ASCII文件
3、CA签名后以p7r文件回复
格式 : SPC
扩展名 : .pvk/.spc
描述 : 【Software Publishing Certificate】
特点 : 微软公司特有的双证书文件格式,经常用于代码签名,其中
1、pvk用于保存私钥
2、spc用于保存公钥
来自 <http://blog.csdn.net/hansel/article/details/4447631>
openssl中有如下后缀名的文件
.key格式:私有的密钥
.crt格式:证书文件,certificate的缩写
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
常用证书协议
x509v3:IETF的证书标准
x.500:目录的标准
SCEP: 简单证书申请协议,用http来进行申请,数据有PKCS#7封装,数据其实格式也是PKCS#10的
PKCS#7: 是封装数据的标准,可以放置证书和一些请求信息
PKCS#10: 用于离线证书申请的证书申请的数据格式,注意数据包是使用PKCS#7封装这个数据
PKCS#12: 用于一个单一文件中交换公共和私有对象,就是公钥,私钥和证书,这些信息进行打包,加密放在存储目录中,CISCO放在NVRAM中,用户可以导出,以防证书服务器挂掉可以进行相应恢复。思科是.p12,微软是.pfx
来自 <http://wujunfeng.blog.51cto.com/3041/804693>
# 建立 CA 目录结构
mkdir -p./demoCA/{private,newcerts}
touch./demoCA/index.txt
echo 01 >./demoCA/serial
# 生成 CA 的 RSA 密钥对
openssl genrsa -des3-out ./demoCA/private/cakey.pem 2048
# 生成 CA 证书请求
openssl req -new-days 365 -key ./demoCA/private/cakey.pem -out careq.pem
# 自签发 CA 证书
openssl ca -selfsign-in careq.pem -out ./demoCA/cacert.pem
# 以上两步可以合二为一
openssl req -new-x509 -days 365 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem
# 生成用户的 RSA 密钥对
openssl genrsa -des3-out userkey.pem
# 生成用户证书请求
openssl req -new-days 365 -key userkey.pem -out userreq.pem
# 使用 CA 签发用户证书
openssl ca -inuserreq.pem -out usercert.pem
来自 <http://rhythm-zju.blog.163.com/blog/static/310042008015115718637/>