|
PKCS 全稱是 Public-Key Cryptography Standards ,是由 RSA 實(shí)驗(yàn)室與其它安全系統(tǒng)開發(fā)商為促進(jìn)公鑰密碼的發(fā)展而制訂的一系列標(biāo)準(zhǔn),PKCS 目前共發(fā)布過 15 個(gè)標(biāo)準(zhǔn)����。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際標(biāo)準(zhǔn)�。
PKCS#7 常用的后綴是: .P7B .P7C .SPC
PKCS#12 常用的后綴有: .P12 .PFX
X.509 DER 編碼(ASCII)的后綴是: .DER .CER .CRT
X.509 PAM 編碼(Base64)的后綴是: .PEM .CER .CRT
.cer/.crt是用于存放證書,它是2進(jìn)制形式存放的�����,不含私鑰�。
.pem跟crt/cer的區(qū)別是它以Ascii來表示。
pfx/p12用于存放個(gè)人證書/私鑰�,他通常包含保護(hù)密碼,2進(jìn)制方式
p10是證書請(qǐng)求
p7r是CA對(duì)證書請(qǐng)求的回復(fù)�,只用于導(dǎo)入
p7b以樹狀展示證書鏈(certificate chain),同時(shí)也支持單個(gè)證書�,不含私鑰。
一 用openssl創(chuàng)建CA證書的RSA密鑰(PEM格式):
- openssl genrsa -des3 -out ca.key 1024
二用openssl創(chuàng)建CA證書(PEM格式,假如有效期為一年):
- openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA證書的���,最好用IE將PEM格式的CA證書轉(zhuǎn)換成DER格式的CA證書����。
三 x509到pfx
- pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx
四 PEM格式的ca.key轉(zhuǎn)換為Microsoft可以識(shí)別的pvk格式���。
- pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的轉(zhuǎn)換
- openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
驗(yàn)證 openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
六 從 PFX 格式文件中提取私鑰格式文件 (.key)
- openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七 轉(zhuǎn)換 pem 到到 spc
- openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 還是 PAM 格式��。例如:
- openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的轉(zhuǎn)換����,
- openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem
密鑰庫文件格式【Keystore】
格式 : JKS
擴(kuò)展名 : .jks/.ks
描述 : 【Java Keystore】密鑰庫的Java實(shí)現(xiàn)版本,provider為SUN
特點(diǎn) : 密鑰庫和私鑰用不同的密碼進(jìn)行保護(hù)
格式 : JCEKS
擴(kuò)展名 : .jce
描述 : 【JCE Keystore】密鑰庫的JCE實(shí)現(xiàn)版本����,provider為SUN JCE
特點(diǎn) : 相對(duì)于JKS安全級(jí)別更高,保護(hù)Keystore私鑰時(shí)采用TripleDES
格式 : PKCS12
擴(kuò)展名 : .p12/.pfx
描述 : 【PKCS #12】個(gè)人信息交換語法標(biāo)準(zhǔn)
特點(diǎn) : 1��、包含私鑰�����、公鑰及其證書
2�����、密鑰庫和私鑰用相同密碼進(jìn)行保護(hù)
格式 : BKS
擴(kuò)展名 : .bks
描述 : Bouncycastle Keystore】密鑰庫的BC實(shí)現(xiàn)版本��,provider為BC
特點(diǎn) : 基于JCE實(shí)現(xiàn)
格式 : UBER
擴(kuò)展名 : .ubr
描述 : 【Bouncycastle UBER Keystore】密鑰庫的BC更安全實(shí)現(xiàn)版本����,provider為BC
證書文件格式【Certificate】
格式 : DER
擴(kuò)展名 : .cer/.crt/.rsa
描述 : 【ASN .1 DER】用于存放證書
特點(diǎn) : 不含私鑰�、二進(jìn)制
格式 : PKCS7
擴(kuò)展名 : .p7b/.p7r
描述 : 【PKCS #7】加密信息語法標(biāo)準(zhǔn)
特點(diǎn) : 1�����、p7b以樹狀展示證書鏈�,不含私鑰
2��、p7r為CA對(duì)證書請(qǐng)求簽名的回復(fù)��,只能用于導(dǎo)入
格式 : CMS
擴(kuò)展名 : .p7c/.p7m/.p7s
描述 : 【Cryptographic Message Syntax】
特點(diǎn) : 1��、p7c只保存證書
2��、p7m:signature with enveloped data
3��、p7s:時(shí)間戳簽名文件
格式 : PEM
擴(kuò)展名 : .pem
描述 : 【Printable Encoded Message】
特點(diǎn) : 1����、該編碼格式在RFC1421中定義,其實(shí)PEM是【Privacy-Enhanced Mail】的簡(jiǎn)寫����,但他也同樣廣泛運(yùn)用于密鑰管理
2、ASCII文件
3�、一般基于base 64編碼
4. Apache 用到的CA證書鏈就是PEM格式,它實(shí)際上可保存普通多個(gè)X509證書(.cer), 將每個(gè)證書簡(jiǎn)單加在一起就可以了
格式 : PKCS10
擴(kuò)展名 : .p10/.csr
描述 : 【PKCS #10】公鑰加密標(biāo)準(zhǔn)【Certificate Signing Request】
特點(diǎn) : 1����、證書簽名請(qǐng)求文件
2���、ASCII文件
3��、CA簽名后以p7r文件回復(fù)
格式 : SPC
擴(kuò)展名 : .pvk/.spc
描述 : 【Software Publishing Certificate】
特點(diǎn) : 微軟公司特有的雙證書文件格式�,經(jīng)常用于代碼簽名���,其中
1����、pvk用于保存私鑰
2��、spc用于保存公鑰 | 
免費(fèi)注冊(cè)
發(fā)表于 2011-12-19 13:56