⑴ 證書.PFX , .cer或crt , .key , .jks 通過什麼指令進行互相轉換
常見證書格式及相互轉換
PKCS 全稱是 Public-Key Cryptography Standards ,是由 RSA 實驗室與其它安全系統開發商為促進公鑰密碼的發展而制訂的一系列標准,PKCS 目前共發布過 15 個標准。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際標准。
PKCS#7 常用的後綴是: .P7B .P7C .SPC
PKCS#12 常用的後綴有: .P12 .PFX
X.509 DER 編碼(ASCII)的後綴是: .DER .CER .CRT
X.509 PAM 編碼(Base64)的後綴是: .PEM .CER .CRT
.cer/.crt是用於存放證書,它是2進制形式存放的,不含私鑰。
.pem跟crt/cer的區別是它以Ascii來表示。
pfx/p12用於存放個人證書/私鑰,他通常包含保護密碼,2進制方式
p10是證書請求
p7r是CA對證書請求的回復,只用於導入
p7b以樹狀展示證書鏈(certificate chain),同時也支持單個證書,不含私鑰。
—————-
小美註:
der,cer文件一般是二進制格式的,只放證書,不含私鑰
crt文件可能是二進制的,也可能是文本格式的,應該以文本格式居多,功能同der/cer
pem文件一般是文本格式的,可以放證書或者私鑰,或者兩者都有
pem如果只含私鑰的話,一般用.key擴展名,而且可以有密碼保護
pfx,p12文件是二進制格式,同時含私鑰和證書,通常有保護密碼
怎麼判斷是文本格式還是二進制?用記事本打開,如果是規則的數字字母,如
—–BEGIN CERTIFICATE—–
//a3VIcDjANBgkqhkiG9w0BAQUFADBy
—–END CERTIFICATE—–
就是文本的,上面的BEGIN CERTIFICATE,說明這是一個證書
如果是—–BEGIN RSA PRIVATE KEY—–,說明這是一個私鑰
文本格式的私鑰,也可能有密碼保護
文本格式怎麼變成二進制? 從程序角度來說,去掉前後的—-行,剩下的去掉回車,用base64解碼,就得到二進制了
不過一般都用命令行openssl完成這個工作
—————
一 用openssl創建CA證書的RSA密鑰(PEM格式):
openssl genrsa -des3 -out ca.key 1024
二用openssl創建CA證書(PEM格式,假如有效期為一年):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA證書的,最好用IE將PEM格式的CA證書轉換成DER格式的CA證書。
三 x509到pfx
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx
四 PEM格式的ca.key轉換為Microsoft可以識別的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的轉換
openssl pkcs12 -nocerts -nodes -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
openssl pkcs12 -nodes -in ./cert.p12 -out ./cert_key.pem
六 從 PFX 格式文件中提取私鑰格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七 轉換 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 還是 PAM 格式。例如:
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的轉換,
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem
九 cer 到 pem
openssl x509 -in aps_developer.cer -inform DER -out aps_developer.pem -outform PEM
十 der 到 pem
der和cer是一樣的,如果openssl x509不能load證書,報如下錯:
unable to load certificate
就說明不是一個證書,用下面的命令試一下,因為der也可能是一個csr轉換格式後的文件:
openssl req -inform der -outform pem -in ./customer.der -out ./customer.csr
十一、密鑰去掉加密(使用時不用手動輸入密碼)
openssl rsa -in customerPrivateKey.pem -out ./customerPrivateKey_unenrypted.pem
十二、合成證書和密鑰
cat ./customerPrivateKey_unenrypted.pem ./mdm_push_cert.pem > merger2.pem
⑵ java中怎麼獲取jks證書文件中的內容
JavaKeyStore的類型JKS和JCEKS是Java密鑰庫(KeyStore)的兩種比較常見類型(我所知道的共有5種,JKS,JCEKS,PKCS12,BKS,UBER)。JKS的Provider是SUN,在每個版本的JDK中都有,JCEKS的Provider是SUNJCE,1.4後我們都能夠直接使用它。JCEKS在安全級別上要比JKS強,使用的Provider是JCEKS(推薦),尤其在保護KeyStore中的私鑰上(使用TripleDes)。PKCS#12是公鑰加密標准,它規定了可包含所有私鑰、公鑰和證書。其以二進制格式存儲,也稱為PFX文件,在windows中可以直接導入到密鑰區,注意,PKCS#12的密鑰庫保護密碼同時也用於保護Key。BKS來自BouncyCastleProvider,它使用的也是TripleDES來保護密鑰庫中的Key,它能夠防止證書庫被不小心修改(Keystore的keyentry改掉1個bit都會產生錯誤),BKS能夠跟JKS互操作,讀者可以用Keytool去TryTry。UBER比較特別,當密碼是通過命令行提供的時候,它只能跟keytool交互。整個keystore是通過PBE/SHA1/Twofish加密,因此keystore能夠防止被誤改、察看以及校驗。以前,SunJDK(提供者為SUN)允許你在不提供密碼的情況下直接載入一個Keystore,類似cacerts,UBER不允許這種情況。證書導入Der/Cer證書導入:要從某個文件中導入某個證書,使用keytool工具的-import命令:1keytool-import-filemycert.der-keystoremykeystore.jks如果在-keystore選項中指定了一個並不存在的密鑰倉庫,則該密鑰倉庫將被創建。如果不指定-keystore選項,則預設密鑰倉庫將是宿主目錄中名為.keystore的文件。如果該文件並不存在,則它將被創建。創建密鑰倉庫時會要求輸入訪問口令,以後需要使用此口令來訪問。可使用-list命令來查看密鑰倉庫里的內容:1keytool-list-rfc-keystoremykeystore.jksP12格式證書導入:keytool無法直接導入PKCS12文件。第一種方法是使用IE將pfx證書導入,再導出為cert格式文件。使用上面介紹的方法將其導入到密鑰倉庫中。這樣的話倉庫裡面只包含了證書信息,沒有私鑰內容。第二種方法是將pfx文件導入到IE瀏覽器中,再導出為pfx文件。新生成的pfx不能被導入到keystore中,報錯:keytool錯誤:java.lang.Exception:所輸入的不是一個X.509認證。新生成的pfx文件可以被當作keystore使用。但會報個錯誤asunknownattr1.3.6.1.4.1.311.17.1,查了下資料,說IE導出的就會這樣,使用Netscape就不會有這個錯誤.第三種方法是將pfx文件當作一個keystore使用。但是通過微軟的證書管理控制台生成的pfx文件不能直接使用。keytool不認此格式,報keytool錯誤:java.io.IOException:。需要通過OpenSSL轉換一下:1opensslpkcs12-inmycerts.pfx-outmycerts.pem2opensslpkcs12-export-inmycerts.pem-outmykeystore.p12通過keytool的-list命令可檢查下密鑰倉庫中的內容:1keytool-rfc-list-keystoremykeystore.p12-storetypepkcs12這里需要指明倉庫類型為pkcs12,因為預設的類型為jks。這樣此密鑰倉庫就即包含證書信息也包含私鑰信息。P7B格式證書導入:keytool無法直接導入p7b文件。需要將證書鏈RootServer.p7b(包含根證書)導出為根rootca.cer和子rootcaserver.cer。將這兩個證書導入到可信任的密鑰倉庫中。1keytool-import-aliasrootca-trustcacerts-filerootca.cer-keystoretestkeytrust.jks遇到是否信任該證書提示時,輸入y1keytool-import-aliasrootcaserver-trustcacerts-filerootcaserver.cer-keystoretestkeytrust.jks總結P12格式的證書是不能使用keytool工具導入到keystore中的TheSun'sPKCS12Keystore對從IE和其他的windows程序生成的pfx格式的證書支持不太好.P7B證書鏈不能直接導入到keystore,需要將裡面的證書導出成cer格式,再分別導入到keystore。
⑶ 從認證的ca獲取到ssl證書後 怎麼生成客戶端的jks
以下為生成 keystore 和 keyentry 指南,Tomcat 支持 JKS 和 PKCS#12 格式的 keystore,JKS 格式是標準的 「Java Keystore」格式,使用 keytool 命令產生;而 PKCS#12 格式則可以通過使用Openssl中的轉換工具轉換而成。本指南僅指keytool方式的JKS格式。www.wosign.com/support/CSRgen/tomcat_CSR.htm
⑷ 證書,jks、pfx和cer後綴都是什麼文件
jks是JAVA的keytools證書工具支持的證抄書私鑰格襲式。
pfx是微軟支持的私鑰格式。
cer是證書的公鑰。
如果是你私人要備份證書的話記得一定要備份成jks或者pfx格式,否則恢復不了。
簡單來說,cer就是你們家郵箱的地址,你可以把這個地址給很多人讓他們往裡面發信。
pfx或jks就是你家郵箱的鑰匙,別人有了這個就可以冒充你去你家郵箱看信,你丟了這個也沒法開郵箱了。
⑸ 已有證書文件jks和密碼,請問如何配置tomcat的HTTPS訪問
Tomcat 安裝SSL證書:https://www.gworg.com/ssl/109.html
tomcat 自動跳轉到HTTPS:https://www.gworg.com/ssl/132.html
注意:安裝防火牆需要設置允許443埠或關閉防火牆,如果本地伺服器安裝安全狗的,請允許443埠。如果實在不會可以配置可以淘寶Gworg請求技術支持。
⑹ jks簽名證書過期怎麼辦
只能改系統時間
⑺ 在ie中怎麼將jks變成信任的證書
一般的證書在IE瀏覽器屬性的「內容」->「證書」那就可以刪除,看看IE屬性中的證書,在個人和其他標簽中都沒找到要刪除的證書:
這種時候的刪除方法:1.點擊「開始」按鈕,輸入「mmc」,按下回車鍵。出現控制台。
2.在打開的「控制台」窗口中點擊「文件」菜單,選擇「添加/刪除管理單元」。3.在打開的對話框左側選中「證書」,點擊「添加」按鈕。
4.選擇「我的用戶賬戶」,點擊「完成」。
5.可以看到證書已經添加到右側,點擊「確定」。
6.回到「控制台」,展開「證書 – 當前用戶」,可以看到多種相關證書類型節點。
7.展開「個人」、「證書」,就可以在右側看到需要刪除的證書了,右鍵選中點擊「刪除」即可。
以上就是如何刪除IE里的證書的方法
⑻ 如何使用key和crt文件轉換為tomcat用到的jks格式證書
您好,這樣:
第一步,從key和crt生成專pkcs12格式的keystore
openssl pkcs12 -export -in mycert.crt -inkey mykey.key
-out mycert.p12 -name tomcat -CAfile myCA.crt
-caname root -chain
第二屬步 生成tomcat需要的keystore
keytool -importkeystore -v -srckeystore mycert.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore tomcat.keystore -deststoretype jks -deststorepass 123456 。
⑼ 證書中的jks、pfx和cer後綴都是什麼文件
jks是JAVA的keytools證書工襲具支持的證書私鑰格式。
pfx是微軟支持的私鑰格式。
cer是證書的公鑰。
如果是你私人要備份證書的話記得一定要備份成jks或者pfx格式,否則恢復不了。
簡單來說,cer就是你們家郵箱的地址,你可以把這個地址給很多人讓他們往裡面發信。
pfx或jks就是你家郵箱的鑰匙,別人有了這個就可以冒充你去你家郵箱看信,你丟了這個也沒法開郵箱了。
⑽ 已經有了證書和私匙怎麼生成對應的JKS文件
先利用crt+key合成pfx文件(openssl工具),再用pfx轉換成jks文件(keytool工具)——沃通(wosign)專業的數字證書CA機構