什么是证书
X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。
实际上,术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件,即如RFC 5280(通常称为PKIX for Public Key Infrastructure(X.509))中规定的。
证书虽然与密钥用存储的文件格式一样,都是pem或者der等,但是,证书不是密钥,证书包含公钥以及签名,拥有人等相关信息。
证书格式:
pem格式
最普通的证书格式,以-----BEGIN CERTIFICATE-----
开头,以-----END CERTIFICATE-----
结尾;有些pem证书把私钥也放在了一个文件中,但是很多平台还是需求证书和私钥分开放在不同的文件中。 pem证书有以下特点:
- base64编码;
- 有.pem, .crt, .cer, .key文件后缀;
- Apache等类似服务器使用pem格式证书;
der格式
der格式是pem格式证书的二进制格式,证书和私钥都可以以der格式存储。 其特点为:
- 二进制格式;
- 以.cer或.der格式为后缀;
- 常被用于java平台;
PKCS#7格式
它是一种PKCS#7格式以-----BEGIN PKCS-----
开头,以-----END PKCS7-----
结尾,它只能保存证书或证书链,不能保存私钥。 其特点为:
- base64编码;
- 文件后缀为 .p7p, .p7c;
- window或java tomcat等平台支持此类型;
PKCS#12(pfx)格式
它能把服务器证书(包括公钥),中间证书和私钥存储在一起。特点为:
- 二进制文档;
- 以 .pfx 或.p12为后缀;
- 经常在windows系统内被用于导入导出证书和私钥;
- 打开可能需要额外密码;
密钥的保存
对于密钥(单指公私钥)的保存,并不需要特殊的格式,直接将base64编码后的密钥作为字符串存入文档即可。
证书格式示例
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
RSA private key (PKCS#1)
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
RSA public key (PKCS#1)
-----BEGIN RSA PUBLIC KEY-----
...
-----END RSA PUBLIC KEY-----
RSA private key (PKCS#8, key 沒加密 )
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
RSA public key (PKCS#8)
-----BEGIN PUBLIC KEY-----
...
-----END PUBLIC KEY-----
RSA private key (PKCS#8, key 有加密 )
-----BEGIN ENCRYPTED PRIVATE KEY-----
...
-----END ENCRYPTED PRIVATE KEY-----
证书的相关命令行操作
RSA加密操作
密钥生成和使用
openssl genrsa -out rsa_private_key.pem 1024 // 生产一个1024位的私钥, 保存在 rsa_private_key.pem 文件里
openssl rsa -in rsa_private_key.pem -pubout -out pub.pem // 通过私钥生产公钥
格式转换
从pfx文件中提取公私钥
openssl pkcs12 -in source.pfx -nocerts -nodes -out key.key // 从pfx文件中获取到密匙对文件,有时会需要密码
opensll rsa -in key.key -out pri.key // 从密匙对文件中获取到私匙。
opensll rsa -in key.key -pubout -out pub.key // 从密匙对文件中获取到公匙;
openssl pkcs8 -in pri.key -out repri.key -outform der -nocrypt -topk8 //java语言用
各种证书之间的互相转换
PEM to DER
openssl x509 -outform der -in certificate.pem -out certificate.der
—————————————————————————————————–
PEM to P7B
openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CAcert.cer
———————————————————————————————————————————-
PEM to PFX
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CAcert.crt
——————————————————————————————————————————————————
DER to PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
————————————————————————————————
P7B to PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
————————————————————————————————-
P7B to PFX
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CAcert.cer
——————————————————————————————————————————————————-
PFX to PEM
openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
openssl 预设输入输出的格式都是PEM, 要转换格式很简单,搭配 inform
, outform
参数就可以了
Certificate PEM 转 DER
openssl x509 -inform pem -in cert.pem -outform der -out cert.der
Certificate DER转 PEM
openssl x509 -inform der -in cert.der -outform pem -out cert.pem
RSA key 的转换比较多一些, 有 private/public key, PKCS#1/PKCS#8, DER/PEM, 以下只都是用 PEM 格式, 要转成 DER 只要加入inform
, outform
参数就可以了
输出 public key 指令
从
certificate
输出
openssl x509 -in cert.pem -pubkey -noout > public.pem
从 private key 输出
openssl rsa -in private.pem -pubout -out public.pem
PKCS#1/PKCS#8转换
openssl 有多个指令会产生 private key,genpkey
会产生PKCS#8格式genrsa
会产生PKCS#1格式,
上面兩个输出 public key的指令都是PKCS#8格式
Public key 格式转换,主要是搭配 RSAPublicKey_in
,RSAPublicKey_out
,
這兩个参数, rsa command的 help沒有显示这两个参数,说明文件才有
Public key: PKCS#8 -> PKCS#1
openssl rsa -pubin -in public.pem -RSAPublicKey_out -out public_pkcs1.pem
Public key: PKCS#1 -> PKCS#8
openssl rsa -RSAPublicKey_in -in public_pkcs1.pem -out public_pkcs8.pem
也可以在从 private key 输出時直接设定输出格式
openssl rsa -in private.pem -RSAPublicKey_out -out public_pkcs1.pem
Private key 格式转换,主要是用pkcs8
指令,搭配topk8
参数作转换,若不加密就再加上nocrypt
Private key: PKCS#1 -> PKCS#8
openssl pkcs8 -in private_pkcs1.pem -topk8 -nocrypt -out private_pkcs8.pem
Private key: PKCS#8 -> PKCS#1
openssl pkcs8 -in private_pkcs8.pem -nocrypt -out private_pkcs1.pem
rsa
转换即可openssl rsa -in private_pkcs8.pem -out private_pkcs1.pem
从PKCS#7 输出 certificate
目前最常遇到的是 DOCSIS secure upgrade 用的 Code File, 前面會有一段 DER 编码的资料, 包含1~2张CVC
openssl pkcs7 -in code.p7b -print_certs -out certs.pem
从 PKCS#12(PFS)输出 certificate
和 private key
openssl pkcs12 -in key_cert.pfx -nodes -out key_cert.pem
打完指令会要求输入 pfx file 的密码,若上述指令没加入nodes
,会再要求输入输出的 private key 要用的密碼
把 private key 和 certificate 以及 CA 打包成 PKCS#12
者功能我是用来制作
FreeRADIUS client 端,给 windows 用的懒人包,输入的 private key (client.key),
certificate (client.crt), certificate-chain(cert-chain.crt)
都是用 PEM 格式
openssl pkcs12 -export -out client.p12 -inkey client.key -in client.crt -certfile cert-chain.crt
打完指令会要求输入 pfx file 的密码, 之後在 windows下直接开启 client.p12 敲完密码,下一步到底,凭证就会放到对的地方了
生成证书命令
证书的生成过程
1. 首先,要生成证书,首先,要有密钥,也就是你用来加密解密的一个RSA密钥对。
2. 制作一个根证书,因为个人使用,不打算找相关机构申请签名,那么你就必须有一个自己的根证书进行签名。
3. 生成一个证书的申请文件,这个文件正常情况下是用来跟机构申请证书的,如果你自己用,就可以用2中的根证书自己签名。
4. 用跟证书给自己的证书签名。
x509证书一般会用到三类文件,key,csr,crt。
Key 是私用密钥,openssl格式,通常是rsa算法。
csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。
crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。
1. key的生成
openssl genrsa -des3 -out server.key 2048
这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
openssl rsa -in server.key -out server.key
server.key就是没有密码的版本了。
2. 生成CA的crt
openssl req -new -x509 -key server.key -out ca.crt -days 3650
生成的ca.crt文件是用来签署下面的server.csr文件。
3. csr的生成方法:
openssl req -new -key server.key -out server.csr
需要依次输入国家,地区,组织,email。最重要的是,有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。
4. crt生成方法
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
在这个blog中讲的更详细一些:https://blog.csdn.net/fyang2007/article/details/6180361