关于 .pem格式的证书安装
亿网什么是pem
.pem是CA证书其中的一种格式。用户收到CA颁发的证书后,可根据需求转换格式在安装在服务器上。但是.pem格式的证书用户通常都会把它转换成.cer或.pfx格式再进行安装。
由于各类证书由于存储的内容不同(如是否包含公钥/私钥是否加密存储/单一证书或多证书等)、采用编码不同(DER/BASE64)、标准不同(如PEM/PKCS),所以尽管X.509标准规定了证书内容规范,但证书文件还是五花八门。但好在open ssl 对这些不同的标准都有着不错的支持,可以用来进行不同格式证书的转换。下面看看openssl对于.pem格式的转换方式。
大体来说,证书转换要作的工作有这么几种
编码转换:DER<–>BASE64
不同证书标准的转换:PKCS系列<–>PEM/CER
私钥的增/减/提取/转换
…
PEM–DER/CER(BASE64–DER编码的转换)
openssl x509 -outform der -in certificate.pem -out certificate.der
PEM–P7B(PEM–PKCS#7)
openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
PEM–PFX(PEM–PKCS#12)
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
PEM–p12(PEM–PKCS#12)
openssl pkcs12 -export -out Cert.p12 -in Cert.pem -inkey key.pem
CER/DER–PEM(编码DER–BASE64)
openssl x509 -inform der -in certificate.cer -out certificate.pem
P7B–PEM(PKCS#7–PEM)
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
P7B–PFX(PKCS#7–PKCS#12)
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer
PFX/p12–PEM(PKCS#12–PEM)
openssl pkcs12 -in certificate.pfx -out certificate.cer
如无需加密pem中私钥,可以添加选项-nodes;
如无需导出私钥,可以添加选项-nokeys;
PEM BASE64–X.509文本格式
openssl x509 -in Key.pem -text -out Cert.pem
PFX文件中提取私钥(.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
PEM–SPC
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
PEM--PVK(openssl 1.x开始支持)
openssl rsa -in mycert.pem -outform PVK -pvk-strong -out mypvk.pvk
PEM--PVK(对于openssl 1.x之前的版本,可以下载pvk转换器后通过以下命令完成)
pvk -in ca.key -out ca.pvk -nocrypt -topvk
所以当用户收到.PEM格式的证书数,可根据上述完成格式转换。然后再根据转换格式进行安装。下面是申请SSL证书的三大步骤。
申请SSL证书主要的3个步骤:
1、制作CSR文件。
SSL证书
CSR就是Certificate Secure Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。
2、CA认证。
将CSR提交给CA,CA一般有2种认证方式:1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;2、企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书,叫EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,所以认证也最严格。
3、证书的安装。
在收到CA的证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。
GDCA(数安时代)拥有国内自主签发信鉴易 TrustAUTH SSL证书以及是国际知名品牌:GlobalSign、Symantec、GeoTrust SSL证书国内金牌代理商,满足各种用户对SSL的各种要求,广大用户可根据自身的需求向GDCA申请合适的SSL证书,GDCA的专业团队将会为您提供最佳的HTTPS解决方案。
相关搜索
- android 安装pem证书
- windows pem证书安装
- pem证书安装
- pem证书怎么安装
- pem文件怎么安装
- pem格式的证书安装
- iso文件怎么安装