Home | 簡體中文 | 繁體中文 | 雜文 | 知乎專欄 | Github | OSChina 博客 | 雲社區 | 雲棲社區 | Facebook | Linkedin | 視頻教程 | 打賞(Donations) | About
知乎專欄多維度架構 微信號 netkiller-ebook | QQ群:128659835 請註明“讀者”

208.6. 證書轉換


PKCS 全稱是 Public-Key Cryptography Standards ,是由 RSA 實驗室與其它安全系統開發商為促進公鑰密碼的發展而制訂的一系列標準,PKCS 目前共發佈過 15 個標準。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際標準。
PKCS#7 常用的尾碼是: .P7B .P7C .SPC
PKCS#12 常用的尾碼有: .P12 .PFX
X.509 DER 編碼(ASCII)的尾碼是: .DER .CER .CRT
X.509 PAM 編碼(Base64)的尾碼是: .PEM .CER .CRT
.cer/.crt是用於存放證書,它是2進制形式存放的,不含私鑰。
.pem跟crt/cer的區別是它以Ascii來表示。
pfx/p12用於存放個人證書/私鑰,他通常包含保護密碼,2進制方式
p10是證書請求
p7r是CA對證書請求的回覆,只用於導入
p7b以樹狀展示證書鏈(certificate chain),同時也支持單個證書,不含私鑰。

208.6.1. CA證書

用openssl創建CA證書的RSA密鑰(PEM格式):

openssl genrsa -des3 -out ca.key 1024
			

208.6.2. 創建CA證書有效期為一年

用openssl創建CA證書(PEM格式,假如有效期為一年):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
			

openssl是可以生成DER格式的CA證書的,最好用IE將PEM格式的CA證書轉換成DER格式的CA證書。

208.6.3. x509轉換為pfx

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
			

208.6.4. PEM格式的ca.key轉換為Microsoft可以識別的pvk格式

pvk -in ca.key -out ca.pvk -nocrypt -topvk
			

208.6.5. PKCS#12 到 PEM 的轉換

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
驗證
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
			

208.6.6. 從 PFX 格式檔案中提取私鑰格式檔案 (.key)

openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
			

208.6.7. 轉換 pem 到到 spc

openssl crl2pkcs7 -nocrl -certfile venus.pem  -outform DER -out venus.spc
			

用 -outform -inform 指定 DER 還是 PAM 格式。例如:

openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
			

208.6.8. PEM 到 PKCS#12 的轉換

openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem
			

IIS 證書

cd c:\openssl
set OPENSSL_CONF=openssl.cnf
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
			

server.key和server.crt檔案是Apache的證書檔案,生成的server.pfx用於導入IIS

208.6.9. How to Convert PFX Certificate to PEM Format for SOAP

$ openssl pkcs12 -in test.pfx -out client.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
			

208.6.10. DER檔案(.crt .cer .der)轉為PEM格式檔案

轉換DER檔案(一般尾碼名是.crt .cer .der的檔案)到PEM檔案
openssl x509 -inform der -in certificate.cer -out certificate.pem
轉換PEM檔案到DER檔案
openssl x509 -outform der -in certificate.pem -out certificate.der
			

208.6.11. JKS 轉 X509

keytool -list -rfc --keystore netkiller.jks | openssl x509 -inform pem -pubkey			
			

208.6.12. jks to pem

轉換流程 jks - p12 - pem

keytool -keystore foo.jks -genkeypair -alias foo \
    -dname 'CN=foo.example.com,L=Melbourne,ST=Victoria,C=AU'

keytool -importkeystore -srckeystore foo.jks \
   -destkeystore foo.p12 \
   -srcalias foo \
   -srcstoretype jks \
   -deststoretype pkcs12

openssl pkcs12 -in foo.p12 -out foo.pem
			

neo@MacBook-Pro ~/test/test % ls
foo.jks foo.p12 foo.pem			
			

查看證書

keytool -keystore foo.jks -exportcert -alias foo | openssl x509 -inform der -text

openssl x509 -text -in foo.pem

openssl dsa -text -in foo.pem