golang里面和证书相关的几个概念和函数

golang里面和证书相关的几个概念和函数API

  1. 什么是PEM, DER
  1. 证书是一个结构化的数据结构
  2. 结构化的数据结构可以按照ans.1的格式定义成字节流的方式。
  3. 把上述字节流使用DER进行编码,就得到证书的DER;简单的说DER就是证书按照ans.1的格式字节流。
  4. 把DER进行based64编码,就得到PEM;所以PEM就是DER的base64编码,加上头和尾,以及metadata。

所以什么是PEM:it's just a base64 encoding of a DER-encoded stream

看一个例子:

$ cat cert.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

在把证书翻译成DER,然后进行base64编码。

$ openssl x509 -in ./cert.pem -inform PEM -outform DER | base64
MIICFjCCAbygAwIBAgIUWkRgCi9aADdyFNEjM339ZmwEzdYwCgYIKoZIzj0EAwIwLDEUMBIGA1UE
ChMLb2JwaW5zdGFuY2UxFDASBgNVBAMTC29icGluc3RhbmNlMB4XDTIwMDMwMzIwMjcwMFoXDTIx
MDMwMzIwMzIwMFowRDENMAsGA1UECxMEcGVlcjEzMDEGA1UEAxMqNGJhMzE1ZWQtMzM4Ny00ZGUw
LTg1ZTQtYzcxN2YxNmE5NjQyLXBlZXIxMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEY7U4ME1S
97oiFcwwompkpuGfAvP0s2nMbsBusQQT+kDnIjGkCue9ZLzOViHS4iXO2ccWwDhqNMH1/6AuxNMb
WqOBozCBoDAOBgNVHQ8BAf8EBAMCB4AwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUxSSwuo6iDYF0
H9Livr6JcRB2ibgwHwYDVR0jBBgwFoAUXemvnZCaAiVGfQEGMmW2iY+LAgcwQAYDVR0RBDkwN4IJ
bG9jYWxob3N0gio0YmEzMTVlZC0zMzg3LTRkZTAtODVlNC1jNzE3ZjE2YTk2NDItcGVlcjEwCgYI
KoZIzj0EAwIDSAAwRQIhAJhu5j/6Ky6PYkxlDHNDDD9Ag03USM3EjtogtFLBmgKnAiB66YGgTkjb
UnwKL+g4KFRFklAfFdjT6XzH3e2grwf9IA==

我们就可以看到,证书的PEM就是证书DER格式的base64编码的结果。

  1. 常用的golang证书相关的函数
  1. func pem.Decode

func Decode(data []byte) (p *Block, rest []byte)
输入是:PEM,就是pem文件按照ioutil.ReadFile(pemFile)读入的内容
输出:一个是block,另一个是剩余的byte,因为有些时候一个pem文件会包含多个证书,Decode函数只解析第一个证书,并返回剩下的字节,以供后面继续Decode。

  1. struct pem.Block

结构体定义如下:

type Block struct {
    Type    string            // The type, taken from the preamble (i.e. "RSA PRIVATE KEY").
    Headers map[string]string // Optional headers.
    Bytes   []byte            // The decoded bytes of the contents. Typically a DER encoded ASN.1 structure.
}

这个格式和PEM的格式是一模一样的,我们再看PEM文件格式:

-----BEGIN Type-----
Headers
base64-encoded Bytes
-----END Type-----

其中

  • Type就是PEM文件---- BEGIN之后的内容
  • Headers
    Headers可能比较少,实际上比如对于加密的privateKey就有headers:
-----BEGIN PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,97a20e280808d67b1a77e1627ae7ffa0

/xE9bbH6GmXmhx9uUOkJsBxvXOgfHR2fBgM3lxe2YSxIYCIBwrt8QEzkCGV73gsX
2FS0sfHWu/1nhEz2UT5y5hRpLYWTDzFBmQTlVxtBdzq3f9C1/coX6JczYq1WOIEB
j6VSw2SsyxkCiNrkfDTLMWP1/rv3YZ3qkV1BVsYHnq4=
-----END PRIVATE KEY-----

这个privateKey PEM文件就包含Headers,其表明这是一个加密的文件,并且指定了加密算法。

  • Bytes不就是证书的正文内容吗
  1. func pem.Encode

Encode和Decode的过程正好相反啊,把pem.Block编码成PEM格式内容;包含两个函数:

func Encode(out io.Writer, b *Block) error
func EncodeToMemory(b *Block) []byte

差别是直接输出到out,还是输出到内容变量,然后使用fmt.Printf打印出来。

  1. func 从pem.Block到具体的格式证书

从pem.Block.Type我们可以知道这是PRIVATE KEY还是PUBLIC KEY

if block.Type == "PUBLIC KEY" {
  func ParsePKCS1PublicKey(der []byte) (*rsa.PublicKey, error)
  func ParsePKIXPublicKey(der []byte) (pub interface{}, err error)
} else if block.Type == "PRIVATE KEY" {
  func ParseECPrivateKey(der []byte) (*ecdsa.PrivateKey, error)
  func ParsePKCS1PrivateKey(der []byte) (*rsa.PrivateKey, error)
  func ParsePKCS8PrivateKey(der []byte) (key interface{}, err error)
}

其中参数der就是前面block.Bytes字段。

其中PublicKey和PrivateKey又分别有几种:

  • *rsa.PrivateKey, *ecdsa.PrivateKey or ed25519.PrivateKey
  • *rsa.PublicKey, *ecdsa.PublicKey and ed25519.PublicKey
  1. func 和Parse...Key相对应的是反向过程。

即从结构化数据结构转变到DER格式数据流。

func MarshalPKCS1PublicKey(key *rsa.PublicKey) []byte
func MarshalPKIXPublicKey(pub interface{}) ([]byte, error)

func MarshalECPrivateKey(key *ecdsa.PrivateKey) ([]byte, error)
func MarshalPKCS1PrivateKey(key *rsa.PrivateKey) []byte
func MarshalPKCS8PrivateKey(key interface{}) ([]byte, error)

返回值就是证书的DER格式数据。

  1. func 最后还有两个加解密的函数

func DecryptPEMBlock(b *pem.Block, password []byte) ([]byte, error)
这个比较清楚:

  • 输入是:证书的Block
  • 输出是:解密后的DER数据流

func EncryptPEMBlock(rand io.Reader, blockType string, data, password []byte, alg PEMCipher) (*pem.Block, error)
加密过程用到的参数比较多:

  • data是证书的DER数据流
  • 返回的是pem.Block,在这个Block里面会包含额外的Headers信息指示是否加密,以及使用的加密算法等。
    例如:
        block, err := x509.EncryptPEMBlock(
            rand.Reader,
            "PUBLIC KEY",
            derBytes,
            passwdBytes,
            x509.PEMCipherAES256)

还有一个函数:
func IsEncryptedPEMBlock(b *pem.Block) bool
判断当前pem.Block是否是加密的;因为加密信息记载在pem.Block的Headers里面,所以输入参数必须是一个pem.Block。

  1. 最后 PEM,BLOCK,DER,和证书之间的互相转化
Untitled Diagram.jpg

你可能感兴趣的:(golang里面和证书相关的几个概念和函数)