目的
记录常用的数据证书格式,以及如何生成数字证书和进行格式转换
目录
- 生成证书
- 转换格式
- 文件格式
生成证书
keytool
# 创建证书仓库与私钥
# -dname CN(Common Name), 可以是域名, 参考 HostnameVerifier
keytool -genkey -alias my -keysize 2048 -validity 36500 -keyalg RSA -dname "CN=localhost" -keypass keypass -storepass storepass -keystore my.jks
# 导出自签名证书
keytool -export -alias my -keystore my.jks -storepass storepass -file my.cer
# 导入信任证书(对方证书或CA根证书)
keytool -import -trustcacerts -alias trust1 -file peer.cer -storepass storepass -keystore my.jks
# 查看证书
keytool -list -keystore my.jks -storepass storepass
openssl
CA根证书
# 创建CA私钥
openssl genrsa 2048 > ca.key
# 创建CA证书
openssl req -new -x509 -key ca.key -out ca.crt -nodes -days 3650
CA签名证书
# 创建私钥
openssl genrsa 2048 > my.key
# 创建生成证书请求
openssl req -newkey rsa:2048 -days 3650 -nodes -keyout my.key -out my.csr
# 用CA根证书签发证书
openssl x509 -req -days 3650 -in my.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out my.crt
# 也可以生成自签名证书
openssl x509 -req -days 3650 -in my.csr -signkey my.key -out my.self.crt
# 验证证书
openssl verify -CAfile ca.crt my.crt
转换格式
- JKS和PKCS12
# JKS to PKCS12
keytool -importkeystore -srcstoretype JKS -srcstorepass storepass -srckeypass keypass -srckeystore my.jks -destkeystore my.p12 -deststoretype pkcs12 -srcalias my -deststorepass storepass -destkeypass keypass
# PKCS12 to JKS
keytool -importkeystore -deststorepass storepass -destkeypass keypass -destkeystore my.jks -srckeystore my.p12 -srcstoretype PKCS12 -srcstorepass ""
- CER和PEM
# CER to PEM
openssl x509 -inform DER -outform PEM -in my.cer -out my.crt
- PEM和PKCS12
# PEM to P12
#openssl pkcs12 -export -out my.p12 -name my -in my.crt -inkey my.key
openssl pkcs12 -export -out my.p12 -in my.crt -inkey my.key
# 提取P12私钥
openssl pkcs12 –nocerts –nodes –in my.p12 –out my.p12.key
# 将PKCS12的私钥转为PKCS8的私钥
# netty only support PKCS8 keys
# http://netty.io/wiki/sslcontextbuilder-and-private-key.html
# 去掉-nocrypt参数可以使用密码保护私钥
openssl pkcs8 -topk8 -nocrypt -in my.p12.key -out my.pk8.key
数字证书与文件格式
X509
由用户公钥和用户标识符组成。还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息
DER
可包含所有私钥、公钥和证书,按 ASN1 DER 格式存储
JKS
Java Key Store,可包含所有私钥、公钥和证书
本地开发时,可以编辑${JAVA_HOME}/jre/lib/security/cacerts文件(密码changeit),导入信任证书,解决SSL/TLS连接可信证书相关的问题
PKCS12
可以包含所有私钥、公钥和证书,是一种二进制格式存储,通常以.pfx或.p12为文件后缀
PEM
以"-----BEGIN..."开头,以"-----END..."结尾,可以存放各种信息
# 查看PEM格式的证书信息
openssl x509 -in certificate.pem -text -noout
CER
一般指使用DER格式的证书
CRT
证书文件。可以是PEM格式
KEY
一般是PEM格式的私钥文件
# 查看key
openssl rsa -in mykey.key -text -noout
CSR
证书请求文件(Certificate Signing Request),并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(附带了一些别的个人信息)
# 查看csr
openssl req -noout -text -in my.csr