DER、CRT、CER、PEM证书格式介绍及转换方法

Posted 2023-04-17

参考技术A X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。

实际上，术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件，即如RFC 5280（通常称为PKIX for Public Key Infrastructure（X.509））中规定的。

我们首先要了解的是每种类型的文件扩展名。 很多人不清楚DER，PEM，CRT和CER结尾的文件是什么，更有甚者错误地说是可以互换的。 在某些情况下，某些可以互换，最佳做法是识别证书的编码方式，然后正确标记。 正确标签的证书将更容易操纵

.DER 扩展用于二进制DER编码证书。
这些文件也可能承载CER或CRT扩展。 正确的说法是“我有一个DER编码的证书”不是“我有一个DER证书”。

.PEM 扩展用于不同类型的X.509v3文件，是以“ - BEGIN ...”前缀的ASCII（Base64）数据。

.CRT 扩展用于证书。 证书可以被编码为二进制DER或ASCII PEM。 CER和CRT扩展几乎是同义词。 最常见的于Unix 或类Unix系统。

CER 是.crt的替代形式（Microsoft Convention）您可以在微软系统环境下将.crt转换为.cer（.both DER编码的.cer，或base64 [PEM]编码的.cer）。

.cer文件扩展名也被IE识别为 一个运行MS cryptoAPI命令的命令（特别是rundll32.exe cryptext.dll，CryptExtOpenCER），该命令显示用于导入和/或查看证书内容的对话框。

.KEY扩展名用于公钥和私钥PKCS＃8。 键可以被编码为二进制DER或ASCII PEM。

证书操作有四种基本类型。查看，转换，组合和提取。

即使PEM编码的证书是ASCII，它们是不可读的。这里有一些命令可以让你以可读的形式输出证书的内容;

如果您遇到这个错误，这意味着您正在尝试查看DER编码的证书，并需要使用“查看DER编码证书”中的命令。
unable to load certificate 12626:error:0906D06C:PEMroutines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTEDCERTIFICATE

如果您遇到以下错误，则表示您尝试使用DER编码证书的命令查看PEM编码证书。在“查看PEM编码的证书”中使用命令
unable to load certificate 13978:error:0D0680A8:asn1 encodingroutines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1306: 13978:error:0D07803A:asn1 encodingroutines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509

转换可以将一种类型的编码证书存入另一种。（即PEM到DER转换）
PEM到DER

DER到PEM

在某些情况下，将多个X.509基础设施组合到单个文件中是有利的。一个常见的例子是将私钥和公钥两者结合到相同的证书中。
组合密钥和链的最简单的方法是将每个文件转换为PEM编码的证书，然后将每个文件的内容简单地复制到一个新文件中。这适用于组合文件以在Apache中使用的应用程序。

一些证书将以组合形式出现。 一个文件可以包含以下任何一个：证书，私钥，公钥，签名证书，证书颁发机构（CA）和/或权限链。

如何在 Linux 中转换 SSL 证书

【中文标题】如何在 Linux 中转换 SSL 证书

【英文标题】：How to convert an SSL certificate in linux

【发布时间】：2013-05-11 02:38:11

【问题描述】：

有没有办法在 Linux 中的 cer/pem/crt/der/pfx/p12 之间转换证书？我在 .cer 文件中有一个 SSL 证书，我需要它是 .pem 才能使用它。

如何转换？

【参考方案1】：

可以在 Linux 中通过终端使用 OpenSSL 工具在 cer/pem/crt/der/pfx/p12 之间转换证书。

这些命令允许您将证书和密钥转换为不同的格式，以使其与特定类型的服务器或软件兼容。

将 DER 文件 (.crt .cer .der) 转换为 PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

将 PEM 文件转换为 DER

openssl x509 -outform der -in certificate.pem -out certificate.der

将包含私钥和证书的 PKCS#12 文件 (.pfx .p12) 转换为 PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

您可以添加 -nocerts 以仅输出私钥或添加 -nokeys 以仅输出证书。

将 PEM 证书文件和私钥转换为 PKCS#12 (.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

欲了解更多信息，请参阅：

http://www.sslshopper.com/article-most-common-openssl-commands.html

https://support.ssl.com/index.php?/Knowledgebase/Article/View/19

【参考方案2】：

将 .crt 转换为 .p12

openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt

其中 server.key 是服务器密钥。 server.crt 是来自 CA 的证书文件或自我叹息

【讨论】：

感谢您扩展列表！