常見的數字證書格式

cer後綴的證書文件有兩種編碼-->DER二進制編碼或者BASE64編碼(也就是.pem) 

p7b一般是證書鏈，裏面包括1到多個證書 
pfx是指以pkcs#12格式存儲的證書和相應私鑰。 

在Security編程中，有幾種典型的密碼交換信息文件格式: 
DER-encoded certificate: .cer, .crt 
PEM-encoded message: .pem 
PKCS#12 Personal Information Exchange: .pfx, .p12 
PKCS#10 Certification Request: .p10 
PKCS#7 cert request response: .p7r 
PKCS#7 binary message: .p7b 

.cer/.crt是用於存放證書，它是2進制形式存放的，不含私鑰。 
.pem跟crt/cer的區別是它以Ascii來表示。 
pfx/p12用於存放個人證書/私鑰，他通常包含保護密碼，2進制方式 
p10是證書請求 
p7r是CA對證書請求的回覆，只用於導入 
p7b以樹狀展示證書鏈(certificate chain)，同時也支持單個證書，不含私鑰。 

其中，我介紹如何從p12/pfx文件中提取密鑰對及其長度: 
1，首先，讀取pfx/p12文件（需要提供保護密碼） 
2，通過別名(Alias,注意，所有證書中的信息項都是通過Alias來提取的)提取你想要分析的證書鏈 
3，再將其轉換爲一個以X509證書結構體 
4，提取裏面的項，如果那你的證書項放在第一位（單一證書），直接讀取 x509Certs[0]（見下面的代碼）這個X509Certificate對象 
5，X509Certificate對象有很多方法，tain198127網友希望讀取RSA密鑰（公私鑰）及其長度（見http://www.matrix.org.cn/thread.shtml?topicId=43786&forumId=55&#reply），那真是太Easy了， 
            X509Certificate keyPairCert = x509Certs[0]; 
            int iKeySize = X509CertUtil.getCertificateKeyLength(keyPairCert); 
            System.out.println("證書密鑰算法="+keyPairCert.getPublicKey().getAlgorithm()); 
            System.out.println("證書密鑰長度="+iKeySize); 
提取了他所需要的信息。 



X.509定義了兩種證書：公鑰證書和屬性證書   
  PKCS#7和PKCS#12使用的都是公鑰證書   
  PKCS＃7的SignedData的一種退化形式可以分發公鑰證書和CRL   
  一個SignedData可以包含多張公鑰證書   
  PKCS＃12可以包含公鑰證書及其私鑰，也可包含整個證書鏈   



簡介 
Java自帶的keytool工具是個密鑰和證書管理工具。它使用戶能夠管理自己的公鑰/私鑰對及相關證書，用於（通過數字簽名）自我認證（用戶向別的用戶/服務認證自己）或數據完整性以及認證服務。它還允許用戶儲存他們的通信對等者的公鑰（以證書形式）。 

keytool 將密鑰和證書儲存在一個所謂的密鑰倉庫（keystore）中。缺省的密鑰倉庫實現將密鑰倉庫實現爲一個文件。它用口令來保護私鑰。 

Java KeyStore的類型 
JKS和JCEKS是Java密鑰庫(KeyStore)的兩種比較常見類型(我所知道的共有5種，JKS, JCEKS, PKCS12, BKS，UBER)。 

JKS的Provider是SUN，在每個版本的JDK中都有，JCEKS的Provider是SUNJCE，1.4後我們都能夠直接使用它。 

JCEKS在安全級別上要比JKS強，使用的Provider是JCEKS(推薦)，尤其在保護KeyStore中的私鑰上（使用TripleDes）。 

PKCS#12是公鑰加密標準，它規定了可包含所有私鑰、公鑰和證書。其以二進制格式存儲，也稱爲 PFX 文件，在windows中可以直接導入到密鑰區，注意，PKCS#12的密鑰庫保護密碼同時也用於保護Key。 

BKS 來自BouncyCastle Provider，它使用的也是TripleDES來保護密鑰庫中的Key，它能夠防止證書庫被不小心修改（Keystore的keyentry改掉1個 bit都會產生錯誤），BKS能夠跟JKS互操作，讀者可以用Keytool去TryTry。 

UBER比較特別，當密碼是通過命令行提供的時候，它只能跟keytool交互。整個keystore是通過PBE/SHA1/Twofish加密，因此keystore能夠防止被誤改、察看以及校驗。以前，Sun JDK(提供者爲SUN)允許你在不提供密碼的情況下直接加載一個Keystore，類似cacerts，UBER不允許這種情況。 

  

證書導入 
Der/Cer證書導入： 

要從某個文件中導入某個證書，使用keytool工具的-import命令： 

keytool -import -file mycert.der -keystore mykeystore.jks 

如果在 -keystore 選項中指定了一個並不存在的密鑰倉庫，則該密鑰倉庫將被創建。 

如果不指定 -keystore 選項，則缺省密鑰倉庫將是宿主目錄中名爲 .keystore 的文件。如果該文件並不存在，則它將被創建。 

創建密鑰倉庫時會要求輸入訪問口令，以後需要使用此口令來訪問。可使用-list命令來查看密鑰倉庫裏的內容： 

keytool -list -rfc -keystore mykeystore.jks 




P12格式證書導入： 

keytool無法直接導入PKCS12文件。 

第一種方法是使用IE將pfx證書導入，再導出爲cert格式文件。使用上面介紹的方法將其導入到密鑰倉庫中。這樣的話倉庫裏面只包含了證書信息，沒有私鑰內容。 


第二種方法是將pfx文件導入到IE瀏覽器中，再導出爲pfx文件。 
       新生成的pfx不能被導入到keystore中，報錯：keytool錯誤： java.lang.Exception: 所輸入的不是一個 X.509 認證。新生成的pfx文件可以被當作keystore使用。但會報個錯誤as unknown attr1.3.6.1.4.1.311.17.1,查了下資料,說IE導出的就會這樣,使用Netscape就不會有這個錯誤. 

第三種方法是將pfx文件當作一個keystore使用。但是通過微軟的證書管理控制檯生成的pfx文件不能直接使用。keytool不認此格式，報keytool錯誤： java.io.IOException: failed to decrypt safe contents entry。需要通過OpenSSL轉換一下： 

1）openssl pkcs12 -in mycerts.pfx -out mycerts.pem 

2）openssl pkcs12 -export -in mycerts.pem -out mykeystore.p12 

通過keytool的-list命令可檢查下密鑰倉庫中的內容： 

keytool -rfc -list -keystore mykeystore.p12 -storetype pkcs12 

這裏需要指明倉庫類型爲pkcs12，因爲缺省的類型爲jks。這樣此密鑰倉庫就即包含證書信息也包含私鑰信息。 

P7B格式證書導入： 

keytool無法直接導入p7b文件。 

需要將證書鏈RootServer.p7b（包含根證書）導出爲根rootca.cer和子rootcaserver.cer 。 

將這兩個證書導入到可信任的密鑰倉庫中。 

keytool -import -alias rootca -trustcacerts -file rootca.cer -keystore testkeytrust.jks 

遇到是否信任該證書提示時，輸入y 

keytool -import -alias rootcaserver -trustcacerts -file rootcaserver.cer -keystore testkeytrust.jks 




總結: 

1)P12格式的證書是不能使用keytool工具導入到keystore中的 

2)The Sun's PKCS12 Keystore對從IE和其他的windows程序生成的pfx格式的證書支持不太好. 

3)P7B證書鏈不能直接導入到keystore，需要將裏面的證書導出成cer格式，再分別導入到keystore。