数字证书

迷南。 2022-09-24 06:27 270阅读 0赞

ietf PKIX ( 最新版本 [rfc 5280 ][rfc 5280]配置文件) 是一个很好接受证书。 从部分4.1.2.4, OpenSSL长( 我已经添加了括号之间必须支持以下字段和可选的短名称)

*  国家/ 地区( countryName, C ) 。
 *  组织( organizationName, o )
 *  组织单位( organizationalUnitName, ou )
 *  可分辨名称限定符( dnQualifier ) 。
 *  省/ 市/ 自治区名( stateOrProvinceName, st ) 。
 *  公用名( commonName, cn ) 和
 *  序列号( serialNumber ) 。

还有一个元素的列表， 应使用的是google

*  地点( locality, l ) 。
 *  标题( 标题) 。
 *  姓( surName, sn ) 。
 *  名( givenName, gn ) 。
 *  缩写( 缩写)
 *  笔名( 化名) 和
 *  称谓( generationQualifier ) 。

其中的一些值应该被编码入UTF8String或者PrintableString ( 仅在PrintableString ， 和一些IA5String中的异常) 。 标准也有一个对于所有字段类型最大长度( Appendix A.1 )

出于兼容性的原因， IA5String.中编码实现还必须支持域组件( domainComponent, dc ) 注意绘制到电子邮件(emailAddress)和它的编码(IA5String,但它被认为过时的DNs(它应该在Subject Alternative扩展名).

数字证书中主题(Subject)中字段的含义

公用名称 (Common Name) 简称：CN 字段，对于 SSL 证书，一般为网站域名；而对于代码签名证书则为申请单位名称；而对于客户端证书则为证书申请者的姓名；  
单位名称 (Organization Name) ：简称：O 字段，对于 SSL 证书，一般为网站域名；而对于代码签名证书则为申请单位名称；而对于客户端单位证书则为证书申请者所在单位名称；  
证书申请单位所在地：  
所在城市 (Locality) 简称：L 字段  
所在省份 (State/Provice) 简称：S 字段  
所在国家 (Country) 简称：C 字段，只能是国家字母缩写，如中国：CN  
其他一些字段：  
电子邮件 (Email) 简称：E 字段  
多个姓名字段 简称：G 字段  
介绍：Description 字段  
电话号码：Phone 字段，格式要求 + 国家区号 城市区号 电话号码，如： +86 732 88888888  
地址：STREET 字段  
邮政编码：PostalCode 字段  
显示其他内容 简称：OU 字段

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。 常用的有：  
PKCS\#7 Cryptographic Message Syntax Standard  
PKCS\#10 Certification Request Standard  
PKCS\#12 Personal Information Exchange Syntax Standard  
X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。  
PKCS\#7 常用的后缀是： .P7B .P7C .SPC  
PKCS\#12 常用的后缀有： .P12 .PFX  
X.509 DER 编码(ASCII)的后缀是： .DER .CER .CRT  
X.509 PAM 编码(Base64)的后缀是： .PEM .CER .CRT  
.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。  
.pem跟crt/cer的区别是它以Ascii来表示。  
pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式，公钥加密标准 \#12 (PKCS\#12) 可包含所有私钥、公钥和证书。其以二进制格式存储，也称为 PFX 文件。通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式合并转换为标准的PFX文件，你可以将PFX文件格式导入到微软IIS 5/6、微软ISA、微软Exchange Server等软件。转换时需要输入PFX文件的加密密码。  
p10是证书请求  
p7r是CA对证书请求的回复，只用于导入  
p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

CSR － 证书请求文件(Certificate Signing Request)。生成 X509 数字证书前,一般先由用户提交证书申请文件,然后由 CA 来签发证书。

CER － 一般指使用DER格式的证书。  
CRT － 证书文件。可以是PEM格式。  
KEY － 一般指PEM格式的私钥文件。

CRL － 证书吊销列表 (Certification Revocation List) 是一种包含撤销的证书列表的签名数据结构。CRL 是证书撤销状态的公布形式,CRL 就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL 是一种离线的证书状态信息。它以一定的周期进行更新。CRL 可以分为完全 CRL和增量 CRL。在完全 CRL 中包含了所有的被撤销证书信息,增量 CRL 由一系列的 CRL 来表明被撤销的证书信息,它每次发布的 CRL 是对前面发布 CRL 的增量扩充。基本的 CRL 信息有:被撤销证书序列号、撤销时间、撤销原因、签名者以及 CRL 签名等信息。基于 CRL 的验证是一种不严格的证书认证。CRL 能证明在 CRL 中被撤销的证书是无效的。但是,它不能给出不在 CRL 中的证书的状态。如果执行严格的认证,需要采用在线方式进行认证,即 OCSP 认证。一般是由CA签名的一组电子文档，包括了被废除证书的唯一标识（证书序列号），CRL用来列出已经过期或废除的数字证书。它每隔一段时间就会更新，因此必须定期下载该清单，才会取得最新信息。

PKCS12 – pkcs12 (个人数字证书标准)用于存放用户证书、crl、用户私钥以及证书链。pkcs12 中的私钥是加密存放的。

增强型私人邮件（Privacy Enhanced Mail，PEM）格式现在更多地用作密钥格式，并且可以包含私钥（RSA和DSA）、公钥（RSA和DSA）和x509证书。它存储ASCII头部包装 的Base64编码DER格式的数据，所以它适用于系统之间的文本模式传输。分布式编码规则（Distinguished Encoding Rules，DER）格式也可以包含私钥、公钥和证书。它是大多数浏览器的默认格式，并且按照ASN1 DER格式进行存储。它没有头部——PEM是文本头部包装的DER。

生成 X509 数字证书大致过程

1.  用户生成自己的服务端公私钥对;
2.  构造自己的证书申请文件,符合 PKCS\#10 标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给该内容签名;
3.  用户将证书申请文件提交给 CA;
4.  CA 验证签名,提取用户信息,并加上其他信息(比如颁发者等信息),用 CA 的私钥签发数字证书;
5.  说明:数字证书(如x.509)是将用户(或其他实体)身份与公钥绑定的信息载体。一个合法的数字证书不仅要符合 X509 格式规范,还必须有 CA 的签名。用户不仅有自己的数字证书,还必须有对应的私钥。X509v3 数字证书主要包含的内容有:证书版本、证书序列号、签名算法、颁发者信息、有效时间、持有者信息、公钥信息、颁发者 ID、持有者 ID 和扩展项

x509到pfx  
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx

PKCS\#12 到 PEM 的转换  
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out client.pem \#客户端个人证书的公钥

openssl pkcs12 -nocerts -nodes -in cert.p12 -out key.pem \#客户端个人证书的私钥

其实pfx=p12

PEM 到 PKCS\#12 的转换，  
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem

转换 pem 到 spc  
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc  
用 -outform -inform 指定 DER 还是 PAM 格式。例如：  
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER

[rfc 5280]: http://www.ietf.org/rfc/rfc5280.txt