证书格式有哪些,区别以及如何生成证书

简介: 证书格式有哪些,区别以及如何生成证书

本文为博主原创,未经允许不得转载:

  一般来说,主流的Web服务软件,通常都基于OpenSSL和Java两种基础密码库。

  • Tomcat、Weblogic、JBoss等Web服务软件,一般使用Java提供的密码库。通过Java Development Kit (JDK)工具包中的Keytool工具,生成Java Keystore(JKS)格式的证书文件。
  • Apache、Nginx等Web服务软件,一般使用OpenSSL工具提供的密码库,生成PEM、KEY、CRT等格式的证书文件。

 

证书格式:

  • .DER或.CER文件: 这样的证书文件是二进制格式,只含有证书信息,不包含私钥。
  • *.CRT文件: 这样的证书文件可以是二进制格式,也可以是文本格式,一般均为文本格式,功能与 .DER及.CER证书文件相同。
  • *.PEM文件: 这样的证书文件一般是文本格式,可以存放证书或私钥,或者两者都包含。 .PEM 文件如果只包含私钥,一般用.KEY文件代替。
  • .PFX或.P12文件: 这样的证书文件是二进制格式,同时包含证书和私钥,且一般有密码保护。

 

使用openSSL生成证书及证书导入到jks,生成p12证书导入到 jks操作步骤如下:

  1. 使用 OpenSSL 生成私钥与签名证书文件,并根据提示输入对应的证书属性包括国家,区域,域名等;
  2. 生成 cer 的证书文件:根据 第一步生成的私钥与签名文件生成一个cer文件 ;
  3. 将上一步生成的 server.crt 导入到指定的 jks 文件中 ;
  4. 查看导入 jks 的证书 ;
  5. 将 1 和2 生成的文件导入到 p12文件中;
  6. 将生成的P12文件导入到jks中;
  7. 重新查看jks中的证书配置;

 

  1.使用以下命令生成私钥与签名证书文件,并根据提示输入对应的证书属性包括国家,区域,域名等:

openssl req -new -newkey rsa:2048 -nodes -keyout www.test.com.key -out www.test.com.csr

  其中 rsa:2048 为生成的证书的长度,www.test.com.key 为申请生成的私钥文件,www.test.com.csr 为申请生成的证书签名请求文件。

  CSR是Certificate Signing Request的英文缩写,即证书签名请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,

证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

  CSR是以-----BEGIN CERTIFICATE REQUEST-----开头,-----END CERTIFICATE REQUEST-----为结尾的base64格式的编码。将其保存为文本文件,就是所谓的CSR文件。

有CSR必定有KEY,是成对的,CSR最终变成为证书,和私钥key配对使用。 Key是以-----BEGIN RSA PRIVATE KEY-----开头的,-----END RSA PRIVATE KEY-----结尾的。

Key必须保存好。证书下发后,CSR无需使用,仅提交时候需要。

  2.生成 cer 的证书文件:根据 第一步生成的私钥与签名文件生成一个cer文件

openssl x509 -req -days 365 -in www.test.com.csr -signkey www.test.com.key -out www.test.com.crt

  x509的含义: 指定格式

  -days 365 : 证书的有效期为 365 天

  -signkey的含义: 自签名

 

  3. 将上一步生成的 server.crt 导入到指定的 jks 文件中

keytool -import -trustcacerts -alias testServer -file server.crt -keystore testServer.jks

 -trustcacerts -alias testServer : 信任证书并定义别名

 

  4. 查看导入 jks 的证书

keytool -v -list -keystore  testServer.jks

  查看 jks 中的证书信息

  

  5.将 1 和2 生成的文件导入到 p12文件中:

openssl pkcs12 -export -in server.crt -inkey www.test.com.key -out mycert.p12 -name abc -CAfile myCA.crt

  生成过程输入的密码就是keypass

   name就是别名

  

 

 

  6. 将生成的P12文件导入到jks中:

keytool -importkeystore -v -srckeystore mycert.p12 -srcstoretype pkcs12 -srcstorepass a123456 -destkeystore Aserver.keystore -deststoretype jks -deststorepass b123456

  deststorepass就是新生成的storepass

  

 

  

  7. 重新查看jks中的证书配置:

keytool -v -list -keystore Aserver.keystore

  执行如图:

 

标签: 网络与传输协议

目录
相关文章
Digicert证书是什么?有哪些类型?
Digicert证书是一种数字证书,用于确保网站和网络通信的安全。这种证书由Digicert公司颁发,可以帮助保护用户的个人信息和数据,防止黑客攻击和网络钓鱼等安全威胁。
 Digicert证书是什么?有哪些类型?
|
数据建模 网络安全 数据安全/隐私保护
三种验证类型的https证书
https证书即SSL证书,其三种验证类型是指DV、OV、EV。不同的验证类型适合不同的网站
120 0
三种验证类型的https证书
|
tengine Ubuntu 应用服务中间件
阿里云、 SSL 、安装PFX格式证书、操作步骤
阿里云、 SSL 、安装PFX格式证书、操作步骤
751 0
阿里云、 SSL 、安装PFX格式证书、操作步骤
|
tengine Ubuntu 应用服务中间件
【有图】大厂超详细阿里云——安装PFX格式证书【SSL认证】教程流出
【有图】大厂超详细阿里云——安装PFX格式证书【SSL认证】教程流出
331 0
【有图】大厂超详细阿里云——安装PFX格式证书【SSL认证】教程流出
|
应用服务中间件 Apache nginx
HTTPS证书文件格式转换
介绍三种常见HTTPS证书格式PEM、PFX、JKS如何相互转换
3759 0
|
Java 网络安全 Android开发
安卓SSL证书格式:pfx转换BKS格式证书
实际上在Android中是无法使用pfx格式证书,Android 系统中使用的证书要求是bks格式。要转换bks证书格式,首先要搭建转换证书的环境。
2889 0
|
Web App开发 安全 网络协议
SSL证书相关技巧 -- 如何访问一个网站,其证书不在系统证书列表中
SSL证书相关技巧 -- 如何访问一个网站,其证书不在系统证书列表中 推荐一个免费的阿里云产品:云盾证书(https证书) 为了能让非专业人士看懂,同样尽量用直白的话,一般来说:当你个人需要建立网站,或者公司要建立官网、商城,通常需要先购买服务器或云主机,虚拟空间,然后将网页和程序、数据库部署上去,用户就可以用浏览器访问了,比如说浏览页面的内容、登录、发表评论、购物等。
1918 0