PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
PKCS#12 常用的後綴有: .P12 .PFX
X.509 DER 編碼(ASCII)的後綴是: .DER .CER .CRT
X.509 PAM 編碼(Base64)的後綴是: .PEM .CER .CRT
.cer/.crt是用於存放證書,它是2進制形式存放的,不含私鑰。
.pem跟crt/cer的區別是它以Ascii來表示。
pfx/p12用於存放個人證書/私鑰,他通常包含保護密碼,2進制方式
p10是證書請求
p7r是CA對證書請求的回覆,只用於導入
p7b以樹狀展示證書鏈(certificate chain),同時也支持單個證書,不含私鑰。
—————-
小美注:
der,cer文件一般是二進制格式的,只放證書,不含私鑰
crt文件可能是二進制的,也可能是文本格式的,應該以文本格式居多,功能同der/cer
pem文件一般是文本格式的,可以放證書或者私鑰,或者兩者都有
pem如果只含私鑰的話,一般用.key擴展名,而且可以有密碼保護
pfx,p12文件是二進制格式,同時含私鑰和證書,通常有保護密碼
怎麼判斷是文本格式還是二進制?用記事本打開,如果是規則的數字字母,如
—–BEGIN CERTIFICATE—–
MIIE9jCCA96gAwIBAgIQVXD9d9wgivhJM//a3VIcDjANBgkqhkiG9w0BAQUFADBy
—–END CERTIFICATE—–
就是文本的,上面的BEGIN CERTIFICATE,說明這是一個證書
如果是—–BEGIN RSA PRIVATE KEY—–,說明這是一個私鑰
文本格式的私鑰,也可能有密碼保護
文本格式怎麼變成二進制? 從程序角度來說,去掉前後的—-行,剩下的去掉回車,用base64解碼,就得到二進制了
不過一般都用命令行openssl完成這個工作
—————
一 用openssl創建CA證書的RSA密鑰(PEM格式):
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA證書的,最好用IE將PEM格式的CA證書轉換成DER格式的CA證書。
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的轉換
openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
驗證 openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
六 從 PFX 格式文件中提取私鑰格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七 轉換 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 還是 PAM 格式。例如:
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的轉換,
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem