数字证书那些事
- 分类:行业洞察
- 作者:
- 来源:
- 发布时间:2019-08-26 14:33
- 访问量:
【概要描述】数字证书就是公钥证书,是一个包含用户信息、用户公钥以及可信的第三方认证机构CA的数字签名的数据文件。
数字证书那些事
【概要描述】数字证书就是公钥证书,是一个包含用户信息、用户公钥以及可信的第三方认证机构CA的数字签名的数据文件。
- 分类:行业洞察
- 作者:
- 来源:
- 发布时间:2019-08-26 14:33
- 访问量:
数字证书就是公钥证书,是一个包含用户信息、用户公钥以及可信的第三方认证机构CA的数字签名的数据文件。
数字证书对传输的各种信息进行加密、解密、数字签名与签名认证等各种处理,能保障在数字传输的过程中不被不法分子所侵入,或者即使受到侵入也无法查看其中的内容。
数字证书的基本架构是公开密钥PKI,即利用一对公私钥对实施加密和解密。其中密钥包括私钥和公钥,私钥主要用于签名和解密,由用户定义、公钥用于签名验证和加密,可被多个用户共享。
一、证书标准
X.509是国际电信联盟-电信(ITU-T)部分标准和国际标准化组织(ISO)的证书格式标准,X.509是定义了公钥证书结构的基本标准,详情可以参考RFC5280。
X509定义证书结构
二、证书编码格式
数字证书目前有以下两种编码格式。
PEM(Privacy Enhanced Mail,增强保密的邮件)打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码。
查看PEM格式证书的信息:
DER(Distinguished Encoding Rules,可辨别编码规则)打开看是二进制格式,不可读。
查看DER格式证书的信息:
三、证书相关名称
证书有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式。
CRT:CRT是certificate的简称,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。
CER:CRT也是certificate的简称,常见于Windows系统,可能是PEM编码,也可能是DER编码,大多数应该是DER编码。
KEY:通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER。
查看KEY的办法:
如果是DER格式的话,同理应该这样了:openssl rsa -in xxx.key -text -noout -inform der
CSR:Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好。
查看的办法:
PFX/P12:predecessor of PKCS#12,通常来说,一般CRT和KEY是分开存放在不同文件中的,但也有些情况会把crt和key放在一起,文件名以PFX/P12结束,但是该类型证书通常有提取密码,如果想读取里面内容的话,需要提供密码。
生成p12证书
其中ca.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去。简单理解,p12证书就是公私钥一体的证书文件。
四、证书编码的转换
PEM转DER
DER转为PEM:openssl x509 -in xxx.crt -inform der -outform pem -out xxx.pem。
五、证书获取
向权威证书颁发机构申请证书需要生成一个csr:
把csr交给权威证书颁发机构,权威证书颁发机构对此进行签名,完成.保留好csr,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的csr来申请新的证书,key保持不变。
生成证书:
对比csr中公钥和ca颁发证书中公钥的内容是否一致。

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层
服务热线:400-810-8981 / 010-56380988
版权所有: 北京天地和兴科技有限公司 京ICP备17065546号-1 京公网安备 11010802040756号

扫一扫关注
天地和兴微信公众号