SSL证书转换

hintcnuie

浏览: 1389454 次
性别:
来自: 北京

最近访客更多访客>>

wangchh8134

yhcc_0817

luohhyo

魁拔222

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

J2SE

Exchange IE IIS Microsoft Apache

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。常用的有：
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard

X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。

PKCS#7 常用的后缀是： .P7B .P7C .SPC
PKCS#12 常用的后缀有： .P12 .PFX
X.509 DER 编码(ASCII)的后缀是： .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是： .PEM .CER .CRT
.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式
p10是证书请求
p7r是CA对证书请求的回复，只用于导入
p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

1. 生成私钥 Generate the private key

请使用以下命令来生成私钥

openssl genrsa –des3 –out [url]www.mydomain.com.key[/url] 1024

如上图所示，此命令将生成1024位的RSA私钥，私钥文件名为： [url]www.mydomain.com.key[/url]，会提示您设定私钥密码，请设置密码，并牢记！

2. 生成CSR文件 Generate the CSR

请使用以下命令来生成CSR

openssl req –new –key [url]www.mydomain.com.key[/url] –out [url]www.mydomain.com.csr[/url]

此命令将提示您输入X.509证书所要求的字段信息，包括国家(中国添CN)、省份、所在城市、单位名称、单位部门名称(可以不填直接回车)。请注意：除国家缩写必须填CN外，其余都可以是英文或中文。

请输入您要申请SSL证书的域名，如果您需要为[url]www.domain.com[/url]申请SSL证书就不能只输入domain.com。SSL证书是严格绑定域名的。

请不要输入Email、口令(challenge password)和可选的公司名称，直接打回车即可。

您现在已经成功生成了密钥对，私钥文件：[url]www.mydomain.com.key[/url] 保存在您的服务器中，请把CSR文件：[url]www.mydomain.com.csr[/url] 发给WoTrust/Thawte即可，CSR文件格式如下图所示。

3. 备份私钥文件 Backup your private key

请备份您的私钥文件并记下私钥密码。最好是把私钥文件备份到软盘或光盘中。

4. 测试CSR

生成CSR后，建议您自己测试一下生成的CSR文件是否正确，

一用openssl创建CA证书的RSA密钥(PEM格式)：
openssl genrsa -des3 -out ca.key 1024

二用openssl创建CA证书(PEM格式,假如有效期为一年)：
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA证书的，最好用IE将PEM格式的CA证书转换成DER格式的CA证书。

三 x509到pfx
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

四 PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的转换
openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
验证 openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
六从 PFX 格式文件中提取私钥格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七转换 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 还是 PAM 格式。例如：
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的转换，
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem

cd c:\openssl 　　　　　　　　　set OPENSSL_CONF=openssl.cnf 　　　　　　　　　openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 　　　　　　　　　(server.key和server.crt文件是Apache的证书文件，生成的server.pfx用于导入IIS)

分享到：

利用dxdiag获取用户机器硬件及OS信息 | Keystores and Truststores

2009-05-18 17:33
浏览 8499
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论