DER,CRT,CER,PEM证书以及如何转换它们
证书和编码
X.509证书的核心是根据RFC 5280进行编码或数字签名的数字文档。
实际上,术语X.509证书通常是指RFC 5280中规定的IETF的X.509 v3证书标准的PKIX证书和CRL配置文件,通常被称为公钥基础结构(X.509)。
X509文件扩展
我们首先要了解的是每种文件扩展名是什么。关于DER,PEM,CRT和CER是什么,存在很多困惑,并且许多人错误地表示它们都是可互换的。
尽管在某些情况下可以互换某些最佳做法,但最好的做法是确定证书的编码方式,然后正确地对其进行标记,正确标记的证书将更容易操作。
编码(也用作扩展名)
- .DER = DER扩展名用于二进制DER编码的证书,这些文件也可能带有CER或CRT扩展名,正确的英语用法是“我有DER编码证书”而不是“我有DER证书”。
- .PEM = PEM扩展名用于不同类型的X.509v3文件,这些文件包含以 “--BEGIN…” 行为前缀的ASCII(Base64)包装数据。
通用扩展
- .CRT = CRT扩展名用于证书。证书可以编码为二进制DER或ASCII PEM,CER和CRT扩展几乎是同义词, * nix系统中最常见的。
- .CER = .crt的替代形式(Microsoft约定)您可以使用MS将 .crt 转换为 .cer(.DER编码的.cer或base64 [PEM]编码的.cer). IE也将 .cer 文件扩展名识别为命令运行MS cryptoAPI命令(特别是rundll32.exe cryptext.dll,CryptExtOpenCER),该对话框显示用于导入或查看证书内容的对话框。
- .KEY = KEY扩展名同时用于公共和私有PKCS#8密钥,密钥可以编码为二进制DER或ASCII PEM。
CRT和CER唯一可以安全互换的时间是编码类型可以相同时。 (即PEM编码的CRT = PEM编码的CER)
常见的OpenSSL证书操作
证书操作有四种基本类型。查看,转换,组合和导出
1. 证书查看
即使PEM编码的证书是ASCII,也不是人类可读的证书。以下是一些命令,可让您以易于阅读的形式输出证书的内容。
查看PEM编码的证书 使用具有证书扩展名的命令,将cert.xxx替换为证书名称
- openssl x509 -in cert.pem -text -noout
- openssl x509 -in cert.cer -text -noout
- openssl x509 -in cert.crt -text -noout
如果收到以下错误,则表示您正在尝试查看DER编码的证书,并且需要使用以下``查看DER编码的证书''中的命令
unable to load certificate
12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE
查看DER编码的证书
- openssl x509 -in certificate.der -inform der -text -noout
如果收到以下错误,则表示您正在尝试使用用于DER编码证书的命令查看PEM编码证书。使用“上面的查看PEM编码的证书”中的命令
unable to load certificate
13978:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306:
13978:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509
2. 证书转换
PEM to DER
- openssl x509 -in cert.crt -outform der -out cert.der
DER to PEM
- openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
3. 证书组合
在某些情况下,将多个X.509基础结构组合到一个文件中是有利的。一个常见的示例是将私钥和公钥都组合到同一证书中。
组合证书密钥和链的最简单方法是将每个密钥转换为PEM编码的证书,然后将每个文件的内容简单地复制到新文件中。这适合于组合文件以在Apache的应用程序中使用
4. 证书导出
一些证书将以组合形式出现。其中一个文件可以包含以下任意一项:证书,私钥,公钥,签名证书,证书颁发机构(CA)或颁发机构链。
[转载]
