數(shù)字證書常見標(biāo)準(zhǔn)

符合PKI ITU-T X509標(biāo)準(zhǔn)，現(xiàn)有標(biāo)準(zhǔn)(. der.pem.cer.crt)符合PKCS#7加密消息語法標(biāo)準(zhǔn)(. p7b.p7c.spc.p7t)

X509是數(shù)字證書的基本規(guī)范，P7和P12是兩種實(shí)施規(guī)范，P7用于數(shù)字信封，P12是帶有私鑰的證書實(shí)施規(guī)范。

x509

基本的證書格式，只包含公鑰。x509證書由用戶公共密鑰和用戶標(biāo)識(shí)符組成。此外還包括版本號(hào)、證書序列號(hào)、CA標(biāo)識(shí)符、簽名算法標(biāo)識(shí)、簽發(fā)者名稱、證書有效期等信息。

PKCS#7

Public Key Cryptography Standards #7。PKCS#7一般把證書分成兩個(gè)文件，一個(gè)公鑰、一個(gè)私鑰，有PEM和DER兩種編碼方式。PEM比較多見，是純文本的，一般用于分發(fā)公鑰，看到的是一串可見的字符串，通常以.crt，.cer，.key為文件后綴。DER是二進(jìn)制編碼。PKCS#7一般主要用來做數(shù)字信封。

PKCS#10

證書請(qǐng)求語法。

PKCS#12

Public Key Cryptography Standards #12。一種文件打包格式，為存儲(chǔ)和發(fā)布用戶和服務(wù)器私鑰、公鑰和證書指定了一個(gè)可移植的格式，是一種二進(jìn)制格式，通常以.pfx或.p12為文件后綴名。使用OpenSSL的pkcs12命令可以創(chuàng)建、解析和讀取這些文件。P12是把證書壓成一個(gè)文件，xxx.pfx 。主要是考慮分發(fā)證書，私鑰是要絕對(duì)保密的，不能隨便以文本方式散播。所以P7格式不適合分發(fā)。.pfx中可以加密碼保護(hù)，所以相對(duì)安全些。

PKCS系列標(biāo)準(zhǔn)

實(shí)際上PKCS#7、PKCS#10、PKCS#12都是PKCS系列標(biāo)準(zhǔn)的一部分。相互之間并不是替代的關(guān)系，而是對(duì)不同使用場(chǎng)景的定義。

證書編碼格式

PEM和DER兩種編碼格式。

PEM

Privacy Enhanced Mail查看內(nèi)容，以"-----BEGIN..."開頭，以"-----END..."結(jié)尾。查看PEM格式證書的信息：openssl x509 -in cer -text -nooutApache和*NIX服務(wù)器偏向于使用這種編碼格式。

DER

Distinguished Encoding Rules打開看是二進(jìn)制格式，不可讀。查看DER格式證書的信息：openssl x509 -in cer -inform der -text -nooutJava和Windows服務(wù)器偏向于使用這種編碼格式。

各種后綴含義

文件的內(nèi)容和后綴沒有必然的關(guān)系，但是一般使用這些后綴來表示這是什么文件。

JKS

Java Key Store(JKS)。

CSR

證書請(qǐng)求文件(Certificate Signing Request)。這個(gè)并不是證書，而是向權(quán)威證書頒發(fā)機(jī)構(gòu)獲得簽名證書的申請(qǐng)，其核心內(nèi)容是一個(gè)公鑰(當(dāng)然還附帶了一些別的個(gè)人信息)。查看的辦法：openssl req -noout -text -in my.csr，DER格式的話加上-inform der。

CER

一般指使用DER格式的證書。

CRT

證書文件?？梢允荘EM格式。

KEY

通常用來存放一個(gè)公鑰或者私鑰。查看KEY的辦法：openssl rsa -in mykey.key -text -noout如果是DER格式的話，同理應(yīng)該這樣了：openssl rsa -in mykey.key -text -noout -inform der這是使用RSA算法生成的key這么查看，DSA算法生成的使用dsa參數(shù)。

CRL

證書吊銷列表 (Certification Revocation List)，是一種包含撤銷的證書列表的簽名數(shù)據(jù)結(jié)構(gòu)。