使用 OpenSSL 实现私钥和证书的转换

头像
我勒个去
    1.9k43553
    发布于

    原文地址:http://blog.52sox.com/use-ope...

    近期在项目中iOS需要用到APNs的推送,而公司的iOS女同事(纯哥)只给了我2个p12格式的文件。突然发现,证书的转换问题还是比较常见的,比如之前支付开发。而在程序中,实际需要使用的是pem格式的证书,因此这里涉及到证书之间的转换问题。
    由于私钥和证书可以以不同格式的存储,这意味着我们需要对它们进行转换。而大多数常用的格式如下,首先是证书的格式:

    • 二进制的DER证书,包含X.509证书为原始格式,使用DER ASN.1编码。

    • ASCII的PEM证书,包含1个base64编码的DER证书,以-----BEGIN CERTIFICATE-----开头而以-----END CERTIFICATE-----结束。

    • PKCS#7证书,1个复杂格式的设计用于传输签名或加密数据,定义在RFC 2315中。通常以.p7b.p7c作为后缀且可以包含整个证书链。这种格式被Java的keytool工具支持。

    • PKCS#12(PFX)的证书和私钥,1个复杂的格式它可以存储和保护1个服务器的私钥并和1个完整的证书链一起。它通常以.p12.pfx为后缀。这种格式常用于微软的产品,不过也可以用于客户端证书。

    然后是对应的私钥的格式:

    • 二进制的DER私钥,包含1个私钥以原始形式,使用DER ASN.1编码。OpenSSL以它传统的SSLeay格式创建私钥,不过也可以使用另外1种称为PKCS#8,但不广泛使用的格式(定义在RFC 5208)。在OpenSSL中可以使用pkcs8命令来进行PKCS#8格式的处理操作。

    • ASCII格式的私钥,包含1个base64编码的DER私钥,有些时候有一些额外的元信息,例如密码保护采用的算法。

    说了这么多,可以发现对于私钥之间的转换就简单的很多,只能在DER和PEM格式之间进行转换。而相比证书之间的转换,就稍微复杂一些。
    如果有兴趣还可以查看我的另一篇文章PKI格式标准查看其概念。
    在这里,我们需要将PKCS#12格式的文件中提取出私钥和证书。下面我们先从PEM和DER格式的转换开始:

    PEM和DER转换

    PEM和DER格式证书的转换可以通过OpenSSL提供的x509工具来完成。下面我们转换1个DER格式的证书为PEM:

    sky@sky-pc:~$ openssl x509 -inform DER -in private_key.der -outform PEM -out private_key.pem

    在这里,我们通过-inform参数指定输入的格式为DER,通过-in参数指定输入的文件名称,而后对应的-outform-out用于指定输出的格式及文件名称。
    同样的,我们也可以将PEM格式的整数转换为DER格式:

    sky@sky-pc:~$ openssl x509 -inform PEM -in private_key.pem -outform DER -out private_key.der

    下面我们来看下如何从PKCS#12格式中提取出私钥和证书。

    PKCS#12转换

    我们可以使用OpenSSL提供的pkcs12命令来实现PKCS#12格式的操作,首先我们将证书和私钥导出为PEM格式:

    sky@sky-pc:~$ openssl pkcs12 -in key.p12 -out key.pem -nodes
Enter Import Password:
MAC verified OK

    在这里,我们通过-in参数指定传入的文件名称,而-out文件指定输出的文件名称,而-nodes参数表示不对私钥进行加密。在这个过程中,我们需要输入签名时的密码。
    如果我们不添加-nodes参数,将是如下的结果:

    sky@sky-pc:~$ openssl pkcs12 -in key.p12 -out key.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

    可以看到,验证签名成功后还需要我们重新输入新的加密口令。而在导出的文件中可以看到此时文件的内容为:

    ...
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIPdUUocbjDXUCAggA
...
-----END ENCRYPTED PRIVATE KEY-----

    而添加-nodes后的结果为:

    ...
-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQC+QDKKakQ0fcvH
...
-----END PRIVATE KEY-----

    之后,我们就可以使用编辑器打开输出的key.pem文件,手动的拆分它们为独立的私钥、证书和中间证书文件。
    作为程序猿,一般人都是懒惰的,这个繁琐的操作能不能简便些呢,让机器自己去完成呢?
    其实是可以做到的,在OpenSSL中提供这样的操作,我们先来看看不导出证书的操作,这样我们就可以得到私钥了:

    sky@sky-pc:~$ openssl pkcs12 -in key.p12 -nocerts -out private_key.pem -nodes
Enter Import Password:
MAC verified OK

    可以看到,在这里我们多添加了1个-nocerts的参数就做到了不导出证书的操作。那么不导出私钥的操作应该如下:

    sky@sky-pc:~$ openssl pkcs12 -in key.p12 -nokeys -out cert.pem -nodes
Enter Import Password:
MAC verified OK

    接下来,我们该如何将PEM格式的证书和私钥导出为PKCS#12格式呢,我们可以这样来操作:

    sky@sky-pc:~$ openssl pkcs12 -name "My Certificate" -export -out fd.p12 -inkey key.pem -in cert.pem -certfile fd-chain.crt
Enter Export Password:
Verifying - Enter Export Password:

    其中,-name选项指定了证书中的friendlyName,而-certfile指定信任链的文件名称。
    最后,我们还可以通过-clcerts-cacerts选项指定是否只导出客户端及CA证书。

    PKCS#7转换

    为了转换PEM为PKCS#7,我们可以使用crl2pkcs7命令。

    sky@sky-pc:~$ openssl crl2pkcs7 -nocrl -out key.p7b -certfile cert.pem -certfile fd-chain.crt

    那么,生成的文件头部将以-----BEGIN PKCS7-----开始。
    最后,为了转换PKCS#7为PEM,我们可以使用pkcs7命令:

    sky@sky-pc:~$ openssl pkcs7 -in key.p7b -print_certs -out key1.pem

    在这里,我们使用-print_certs参数将输入的证书输出。

    PKCS#8与SSLeay转换

    如果我们想将PKCS#8格式的私钥转换为SSLeay格式,我们可以这样来操作:

    sky@sky-pc:~$ openssl rsa -in key.pem -out ssleay.pem
writing RSA key

    而此时文件的内容将如下所示:

    -----BEGIN RSA PRIVATE KEY-----
MIIEpQIBAAKCAQEAvkAyimpENH3Lx4d8VH96XCYfKfCZ7qVtNuVseAvkSTC0q5dw
...
-----END RSA PRIVATE KEY-----

    可以看到头部和尾部多追加了RSA的字样。
    而如果要将传统的SSLeay私钥转换为PKCS#格式,我们需要使用pkcs8命令:

    sky@sky-pc:~$ openssl pkcs8 -topk8 -in ssleay.pem -out pkcs8_key.pem
Enter Encryption Password:
Verifying - Enter Encryption Password:

    默认情况下,会为该格式进行1个加密的处理,但是我们可以通过-nocrypt参数让其不进行加密处理:

    sky@sky-pc:~$ openssl pkcs8 -topk8 -nocrypt -in ssleay.pem -out pkcs8_key.pem

    可以我们便实现了将传统的SSLeay格式转换为PKCS#8格式了。

    APNs中证书的生成

    下面我们来生成APNs推送时需要的证书。

    sky@sky-pc:~$ openssl pkcs12 -in cer.p12 -clcerts -nokeys -out cert.pem -nodes
Enter Import Password:
MAC verified OK
sky@sky-pc:~$ openssl pkcs12 -in cer.p12 -nocerts -out key.pem -nodes
Enter Import Password:
MAC verified OK
sky@sky-pc:~$ cat cert.pem key.pem > certs.pem

    我们先只导出客户端的证书,然后是私钥,最后我们将2个文件的内容合并在1个文件中即可。

    参考文章:

    https://www.feistyduck.com/li...
    http://juliusdavies.ca/common...
    https://superuser.com/questio...

    cryptographylinux
    本作品系原创,采用《署名-非商业性使用-禁止演绎 4.0 国际》许可协议
    曾经的自己
    记录开发中的点点滴滴,共同交流技术。
    avatar

    是1个执着、低调的人

    1.9k 声望
    161 粉丝
    0 条评论
    得票最新
    推荐阅读
    C-如何快速生成Python的C扩展.md
    真的好久没有分享技术文章了,主要是因为自己写的文章太过于小众,没想到自己竟然会分享这样一篇文章。这么一篇浓缩了自己多年来项目开发的实战经验。 不得不说,Python是一门很不错的编程语言。有时候,为了项目代码...

    我勒个去阅读 1.9k

    封面图
    Laravel入门及实践,快速上手ThinkSNS+二次开发
    【摘要】自从ThinkSNS+不使用ThinkPHP框架而使用Laravel框架之后,很多人都说技术门槛抬高了,其实你与TS+的距离仅仅只是学习一个新框架而已,所以,我们今天来说说Laravel的入门。

    ThinkSNS1阅读 2.4k

    confluence7.2.1的部署与迁移---呕心沥血版
    Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。 到官网下载最新版本,截止目前...

    暗涌阅读 7.8k

    C++编译器和链接器的完全指南
    C++是一种强类型语言,它的编译和链接是程序开发过程中不可或缺的两个环节。编译器和链接器是两个非常重要的概念。本文将详细介绍C++中的编译器和链接器以及它们的工作原理和使用方法。

    小万哥2阅读 1k

    封面图
    Ubuntu 20.04 读写 Windows 10 共享目录(qbit)
    本文实验环境中,Windows 操作系统版本为 Windows Server 2016,应该对 Windows 10 和 Windows Server 2019 同样适用

    qbit1阅读 6.3k

    Ubuntu 20.04 搭建 Elasticsearch 7.x 小集群(qbit)
    环境ES 节点硬件:3 台 AWS m5.4xlarge(16 vCPU/64GB 内存)Kibana 硬件:1 台 AWS m5.large(2 vCPU/8GB 内存)操作系统:Ubuntu 20.04 LTSElasticsearch 7.9.3Kibana 7.9.3机器示意图操作系统这里主要讲 EBS ...

    qbit阅读 4.1k

    Linux下编译WebRTC(Linux和Android版本)
    随着新冠疫情的影响,这两年音视频的需求呈爆发式增长。在音视频领域中,WebRTC可以说是一个绕不开宝库,包括了音视频采集、编解码、传输、渲染的全过程。本文主要记录下在Linux平台上编译WebRTC Linux和Android...

    吴尼玛阅读 3.3k评论 2

    avatar

    是1个执着、低调的人

    1.9k 声望
    161 粉丝
    宣传栏
    34