DER、CRT、CER、PEM证书格式介绍及转换方法
X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。实际上,术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件,即如RFC 5280(通常称为PKIX for Public Key Infrastructure(X.509))中规定的。
我们首先要了解的是每种类型的文件扩展名。 很多人不清楚DER,PEM,CRT和CER结尾的文件是什么,更有甚者错误地说是可以互换的。 在某些情况下,某些可以互换,最佳做法是识别证书的编码方式,然后正确标记。 正确标签的证书将更容易操纵
.DER 扩展用于二进制DER编码证书。
这些文件也可能承载CER或CRT扩展。 正确的说法是“我有一个DER编码的证书”不是“我有一个DER证书”。
.PEM 扩展用于不同类型的X.509v3文件,是以“ - BEGIN ...”前缀的ASCII(Base64)数据。
.CRT 扩展用于证书。 证书可以被编码为二进制DER或ASCII PEM。 CER和CRT扩展几乎是同义词。 最常见的于Unix 或类Unix系统。
CER 是.crt的替代形式(Microsoft Convention)您可以在微软系统环境下将.crt转换为.cer(.both DER编码的.cer,或base64 [PEM]编码的.cer)。
.cer文件扩展名也被IE识别为 一个运行MS cryptoAPI命令的命令(特别是rundll32.exe cryptext.dll,CryptExtOpenCER),该命令显示用于导入和/或查看证书内容的对话框。
.KEY扩展名用于公钥和私钥PKCS#8。 键可以被编码为二进制DER或ASCII PEM。
证书操作有四种基本类型。查看,转换,组合和提取。
即使PEM编码的证书是ASCII,它们是不可读的。这里有一些命令可以让你以可读的形式输出证书的内容;
如果您遇到这个错误,这意味着您正在尝试查看DER编码的证书,并需要使用“查看DER编码证书”中的命令。
unable to load certificate 12626:error:0906D06C:PEMroutines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTEDCERTIFICATE
如果您遇到以下错误,则表示您尝试使用DER编码证书的命令查看PEM编码证书。在“查看PEM编码的证书”中使用命令
unable to load certificate 13978:error:0D0680A8:asn1 encodingroutines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306: 13978:error:0D07803A:asn1 encodingroutines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509
转换可以将一种类型的编码证书存入另一种。(即PEM到DER转换)
PEM到DER
DER到PEM
在某些情况下,将多个X.509基础设施组合到单个文件中是有利的。一个常见的例子是将私钥和公钥两者结合到相同的证书中。
组合密钥和链的最简单的方法是将每个文件转换为PEM编码的证书,然后将每个文件的内容简单地复制到一个新文件中。这适用于组合文件以在Apache中使用的应用程序。
一些证书将以组合形式出现。 一个文件可以包含以下任何一个:证书,私钥,公钥,签名证书,证书颁发机构(CA)和/或权限链。
绛旓細濡備綍浠巔fx/p12鏂囦欢涓彁鍙朢SA瀵嗛挜闀垮害鍙婂叾浠栫浉鍏充俊鎭 鍦⊿ecurity缂栫▼涓紝鏈夊嚑绉嶅吀鍨嬬殑瀵嗙爜浜ゆ崲淇℃伅鏂囦欢鏍煎紡:DER-encoded certificate: .cer,.crt PEM-encoded message: .pem PKCS#12 Personal Information Exchange:.pfx, .p12 PKCS#10 Certification Request: .p10 PKCS#7 cert request response: .p7r ...
绛旓細key鏄疭SL璇佷功绉侀挜銆傝.cer鍜.crt鏄瘉涔﹂摼锛屽叾涓紝.cer鏄湇鍔″櫒璇佷功锛.crt鏄腑闂磋瘉涔︺備竴鑸笂浼犵殑鏃跺欓兘鏄悎鐫涓婁紶鍐欏叆鐨勶紝姣斿鐧惧害浜戝姞閫熶笂浼燬SL璇佷功鐨勬椂鍊欙紝鍦ㄨ瘉涔﹁緭鍏ユ杈撳叆.cer鐨勬枃鏈紝鍐嶅洖杞﹁緭鍏.crt鐨勬枃浠讹紝鍗冲彲瀹屾垚璇佷功閾俱俿sl璇佷功浼樼偣锛氫竴鑸鏉ワ紝鍦ㄧ綉涓婅繘琛岀數瀛愬晢鍔′氦鏄撴椂锛屼氦鏄撳弻鏂归渶瑕佷娇鐢ㄦ暟瀛...
绛旓細涓銆佹杩 甯歌鐨刋.509璇佷功鏍煎紡鍖呮嫭锛cer/crt鏄敤浜庡瓨鏀捐瘉涔︼紝瀹冩槸2杩涘埗褰㈠紡瀛樻斁鐨勶紝涓嶅惈绉侀挜銆pem璺焎rt/cer鐨勫尯鍒槸瀹冧互Ascii鏉ヨ〃绀猴紝鍙互鐢ㄤ簬瀛樻斁璇佷功鎴栫閽ャ俻fx/p12鐢ㄤ簬瀛樻斁涓汉璇佷功/绉侀挜锛屼粬閫氬父鍖呭惈淇濇姢瀵嗙爜锛2杩涘埗鏂瑰紡銆俻10鏄瘉涔﹁姹傘俻7r鏄疌A瀵硅瘉涔﹁姹傜殑鍥炲锛屽彧鐢ㄤ簬瀵煎叆 p7b浠ユ爲鐘跺睍绀鸿瘉涔﹂摼(...
绛旓細1.cd鍒pem璇佷功鎵鍦ㄧ殑浣嶇疆 2.杈撳叆姝ゅ懡浠ゅ嵆鍙細openssl x509 -inform pem -in 浣犵殑璇佷功鍚嶅瓧.pem -outform der -out 浣犵殑鏂拌瘉涔.cer openssl x509 -in 浣犵殑璇佷功鍚嶅瓧.crt -out 浣犵殑鏂拌瘉涔.pem openssl x509 -in 浣犵殑璇佷功.crt -out 浣犵殑鏂拌瘉涔.cer -outform der ...
绛旓細Apache銆丯ginx鐜涓嬶細鍏挜锛.KEY绉侀挜锛.KEY璇佷功锛.CRT鎴栬.PEM锛堜袱鑰呴兘鍙互锛夋鎷細鏃犺鏄牴璇佷功杩樻槸璇佷功鍚庣紑閮芥槸.CRT銆侷IS鐜锛.pfxJKS鐜锛.JKS姒傛嫭锛欼IS鎴栬匤KS瀹夎璇佷功鏈夊搴旀牸寮忔枃浠堕渶瑕佸悜Gworg鏈烘瀯绱㈠彇锛氱綉椤甸摼鎺
绛旓細.pem璺crt/cer鐨勫尯鍒槸瀹冧互Ascii鏉ヨ〃绀恒俻fx/p12鐢ㄤ簬瀛樻斁涓汉璇佷功/绉侀挜锛屼粬閫氬父鍖呭惈淇濇姢瀵嗙爜锛2杩涘埗鏂瑰紡 p10鏄瘉涔﹁姹 p7r鏄疌A瀵硅瘉涔﹁姹傜殑鍥炲锛屽彧鐢ㄤ簬瀵煎叆 p7b浠ユ爲鐘跺睍绀鸿瘉涔﹂摼(certificate chain)锛屽悓鏃朵篃鏀寔鍗曚釜璇佷功锛屼笉鍚閽ャ傗斺斺- 灏忕編娉細der,cer鏂囦欢涓鑸槸浜岃繘鍒舵牸寮忕殑锛屽彧鏀捐瘉涔︼紝涓嶅惈...
绛旓細crt鍜cer鏄竴鏍风殑鏍煎紡鍚堟垚cert锛岄兘鏄瘉涔﹀叕閽ユ枃浠 锛沰ey鏄閽ワ紝key杞垚cer鍙渶瑕佺敤璁颁簨鏈墦寮锛屽鍒跺埌cer鏍煎紡鐨勯噷闈㈠幓灏辫锛屼絾鏄細澶卞幓key鐨勪綔鐢ㄢ斺旀矁閫氾紙wosign锛変笓涓氱殑鏁板瓧璇佷功CA鏈烘瀯
绛旓細5)瀵煎嚭P12鏂囦欢openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacert.crt iOS寮鍙戜腑鐨勬敞鎰忕偣: 1)鍦╥OS寮鍙戜腑,涓嶈兘鐩存帴浣跨敤PEM鏍煎紡鐨勮瘉涔,鍥犱负鍏跺唴閮ㄨ繘琛屼簡Base64缂栫爜,搴旇浣跨敤鐨勬槸DER鐨勮瘉涔,鏄簩杩涘埗鏍煎紡鐨; 2)OpenSSL榛樿鐢熸垚鐨勯兘鏄疨EM鏍煎紡鐨勮瘉涔︺ 涓冦乭ttps HTTPS鍜孒TTP鐨勫尯鍒: 瓒呮枃鏈紶杈...
绛旓細浠g爜濡備笅锛 cat your_server.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > your_server.pem rt鍜cer鏄竴鏍风殑鏍煎紡鍚堟垚cert锛岄兘鏄瘉涔﹀叕閽ユ枃浠 锛
绛旓細openssl x509 -in cert.crt -noout -text 杞崲璇佷功缂栫爜鏍煎紡 openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem 鍚堟垚pkcs#12 璇佷功(鍚閽) ** 灏 pem 璇佷功鍜岀閽ヨ浆 pkcs#12 璇佷功 ** openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:11...
