与这些证书相关的(SSL、X.509、PEM、DER、CRT、CER、KEY、CSR、P12等) ) ) )。
如果从来没有接触过证书加密,这些关于证书的概念就会觉得真的很麻烦。 因为,突然来了很多新名词,看起来不是我们熟悉的编程领域的东西,而是别的领域的东西。 至少我个人有这种感觉,很久没怎么理解了。 这篇文章的目的是整理这些概念,明确它们的意义和关联,以及一些基本的操作。
SSL
SSL - Secure Sockets Layer现在应该称为“TLS”,但由于习惯问题,大多称为“SSL”。 默认情况下,http协议不加密内容,因此在内容传播时很可能被其他人拦截。 如果安全要求很高,则需要加密。 https是带加密的http,而https的加密基于SSL,它执行比较底层的加密。 也就是说,加密之前,你的服务器程序在做什么,加密之后也一样在做什么,不需要工作。 这种加密对用户和开发者都是透明的。 more :维基百科https://en .维基百科. org /
OpenSSL -简单地说,OpenSSL是SSL的一种安装,SSL只是规格。 从理论上讲,SSL的规格是安全的,以现在的技术水平很难解读,但SSL的安装有可能存在着像有名的“心脏出血”那样的脆弱性。 OpenSSL还提供了许多功能强大到90%我们无法使用的工具软件。
证书标准
X.509 -这是证书的标准,主要定义证书应包含的内容。 详情请参阅RFC5280。 SSL使用了这个证书标准。
编码格式
相同的X.509证书可能有不同的编码格式。 目前有两种编码格式:
私密增强邮件,打开查看文本格式。 以-----BEGIN . '开始,以-----END . '结束,内容为BASE64编码。
查看有关PEM格式证书的信息: OpenSSL x509-in certificate.PEM-text-noout
Apache和*NIX服务器偏向于使用这种编码格式。
DER - Distinguished Encoding Rules,打开后为二进制格式,无法读取。
显示DER格式证书的信息: OpenSSL x509-in认证. der-inform der-text-noout
Java和Windows服务器偏向于使用这种编码格式。
相关文件扩展名
这是会引起误解的地方。 虽然已知有两种编码格式: PEM和DER,但文件扩展名不一定称为“PEM”或“DER”。 一般的扩展名有以下几种。 它们除了编码格式可能不同外,内容也有差异,但大部分都可以相互转换编码格式。
CRT - CRT应该是certificate三个字符,但其实也是证书的意思。 * *常见于nix系统。 是PEM代码还是DER代码。 大多数应该是PEM代码。 我想我知道判别方法。
是CER -还是certificate还是证书,在Windows系统中很常见。 同样,它应该是PEM编码还是DER编码,大多数应该是DER编码。
ky-通常用于存储公钥或私钥。 不是X.509证书。 代码相同,可以是PEM或DER。
如何查看密钥: OpenSSL RSA-in mykey .密钥-文本不
如果是DER形式的话,应该同样。 OpenSSL RSA-in mykey.key -文本-不信息中心
CSR -认证签名请求,即证书签名请求。 这不是证书,而是向权威认证机构取得签名证书的申请,其核心内容是公钥。 当然,也附加了一些其他的信息。 在生成该申请时,还生成私钥。 秘密密钥自己保管。 做iOS APP的朋友问苹果怎么做
查看方法: OpenSSL req-noout-text-in my.CSR (如果是der格式,则直接添加-inform der。 我不在这里写。
对于PFX/P12 - predecessor of PKCS#12、*nix服务器来说,一般的CRT和KEY存储在不同的文件中,但Windows的IIS将其存储在一个PFX文件中。 (因此,该文件包含证书和私钥。 )不,PFX通常有“提取密码”。 想读取内容时,请告诉我密码的提取、使用PFX时的DER编码、将PFX转换为PEM编码的方法。
OpenSSL pkcs12-infor-IIS.pfx-out for-IIS.PEM-nodes
此时,系统将提示您输入提取代码. for-iis.pem为可读文本。
用于生成pfx的命令类似于OpenSSL pkcs12 -导出接口. CRT-inkey专用密钥.密钥输出中心
icate.pfx -certfile CACert.crt其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库。
JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,,keytool也能直接生成JKS,不过在此就不多表了。
证书编码的转换
PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der
DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
(提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req...)
获得证书
向权威证书颁发机构申请证书
用这命令生成一个csr:openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr
把csr交给权威证书颁发机构,权威证书颁发机构对此进行签名,完成.保留好csr,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的csr来申请新的证书,key保持不变.
或者生成自签名的证书
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem
在生成证书的过程中会要你填一堆的东西,其实真正要填的只有Common Name,通常填写你服务器的域名,如"yourcompany.com",或者你服务器的IP地址,其它都可以留空的。
生产环境中还是不要使用自签的证书,否则浏览器会不认,或者如果你是企业应用的话能够强制让用户的浏览器接受你的自签证书也行。向权威机构要证书通常是要钱的,但现在也有免费的,仅仅需要一个简单的域名验证即可。
来自:https://www.cnblogs.com/guogangj/p/4118605.html