Openssl的證書格式轉換

PKCS 全稱是 Public-Key Cryptography Standards ，是由 RSA 實驗室與其它安全系統開發商為促進公鑰密碼發展而制訂的一系列标準。

PKCS 目前共釋出過 15 個标準。常用的有：

1. PKCS#7 Cryptographic Message Syntax Standard

2. PKCS#10 Certification Request Standard

3. PKCS#12 Personal Information Exchange Syntax Standard

4. X.509是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際标準。

5. PKCS#7 常用的字尾是： .P7B .P7C .SPC

6. PKCS#12 常用的字尾有： .P12 .PFX

7. X.509 DER 編碼(ASCII)的字尾是： .DER .CER .CRT

8. X.509 PAM 編碼(Base64)的字尾是： .PEM .CER .CRT

9. .cer/.crt是用于存放證書，它是2進制形式存放的，不含私鑰。

10 .pem跟crt/cer的差別是它以Ascii來表示。

11. pfx/p12用于存放個人證書/私鑰，他通常包含保護密碼，2進制方式

12. p10是證書請求

13. p7r是CA對證書請求的回複，隻用于導入

14. p7b以樹狀展示證書鍊(certificate chain)，同時也支援單個證書，不含私鑰。

1. CA憑證

用openssl建立CA憑證的RSA密鑰(PEM格式)：

openssl genrsa -des3 -out ca.key 1024

2. 建立CA憑證有效期為一年

用openssl建立CA憑證(PEM格式,假如有效期為一年)：

openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config

openssl.cnf      

openssl是可以生成DER格式的CA憑證的，最好用IE将PEM格式的CA憑證轉換成DER格式的CA憑證。

将生成的crt格式證書導入到IE，再導出就是cer格式了

3. x509轉換為pfx

openssl pkcs12 -export -out server.pfx -inkey server.key -in

server.crt    

4. PEM格式的ca.key轉換為Microsoft可以識别的pvk格式

pvk -in ca.key -out ca.pvk -nocrypt -topvk      

5. PKCS#12 到 PEM 的轉換

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem 驗證   openssl

pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem      

6. 從 PFX 格式檔案中提取私鑰格式檔案 (.key)

openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key    

7. 轉換 pem 到到 spc

  openssl crl2pkcs7 -nocrl -certfile

venus.pem -outform DER -out venus.spc    

用 -outform -inform 指定 DER 還是 PAM 格式。例如：

openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER      

8. PEM 到 PKCS#12 的轉換

openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem      

IIS 證書

cd c:\openssl set OPENSSL_CONF=openssl.cnf openssl pkcs12 -export -out server.pfx -inkey

server.key -in server.crt

server.key和server.crt檔案是Apache的證書檔案，生成的server.pfx用于導入IIS

9. How to Convert PFX Certificate to PEM Format for SOAP

<a target="_blank">$ openssl pkcs12 -in test.pfx -out client.pem Enter Import Password: MAC verified OK Enter PEM pass phrase: Verifying - Enter PEM pass phrase: </a>

<a target="_blank"></a>

<a target="_blank">本文轉自 拾瓦興閣 51CTO部落格，原文連結:http://blog.51cto.com/ponyjia/1201018</a>