关于PEM, DER, CRT, CER，KEY等各类证书与密钥文件后缀的解释

Posted 2022-06-14 bluishglc

文章目录

• • 1. PEM文件
  • 2. DER文件
  • PEM与DER的相互转换
  • 3. 各种密钥证书文件解释
  • • 3.1 [ .csr ]
    • 3.2 [ .key ]
    • 3.3 [ .crt ] [ .cert ] [ .cer ]
    • 3.4 [ .pkcs12 ] [ .p12 ] [ .pfx ]
    • 3.5 [ .jks ]

总得来说这些文件都与X.509证书和密钥文件有关，从文件编码上分，只有两大类：

• PEM格式：使用Base64 ASCII进行编码的纯文本格式
• DER格式：二机制格式

而CRT, CER，KEY这几种证书和密钥文件，它们都有自己的schema，在存储为物理文件时，既可以是PEM格式，也可以DER格式。

• CER：一般用于windows的证书文件格式
• CRT：一般用于Linux的证书，包含公钥和主体信息
• KEY：一般用于密钥，特别是私钥

打个比方：CER，CRT，KEY相当于论文，说明书等，有规定好的行文格式与规范，而PEM和DER相当于txt格式还是word格式。

1. PEM文件

为了更好的理解这些文件格式，我们找一个真实的证书文件看一下。使用openssl s_client能我们从一个启用了https协议的网站获取到它的证书文件，我们以百度为例，命令如下：

openssl s_client -connect baidu.com:443 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > baidu.crt

命令执行后生成了这个baidu.crt文件，就是一个标准的证书。如果我们使用文本编辑器打开这个证书，只会看到一串冗长的像是随机生成的字符串：

-----BEGIN CERTIFICATE-----
MIIHTDCCBjSgAwIBAgIQCLPO7uNabgv8Poil6e7qETANBgkqhkiG9w0BAQsFADBQ
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSowKAYDVQQDEyFE
....
....
....
k8UOBRNo0AtT4y07sC95ShVkInHFlcKWS0I2zH5gibu2Xbq+jM7Xt6ej23atGtcZ
-----END CERTIFICATE-----

原因是这个crt文件的实际格式其实是pem，如前所述，pem文件是使用Base64 ASCII编码后的纯文本文件。不管是证书还是密钥，只要是pem格式，使用文本编辑器打开都是类似的样子，一串冗长的字符串。

想到看到证书的真实内容，应该使用openssl x509命令：

openssl x509 -in baidu.crt -text -noout 

这个命令能读出baidu.crt这个证书文件所有内容：

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            08:b3:ce:ee:e3:5a:6e:0b:fc:3e:88:a5:e9:ee:ea:11
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=DigiCert Inc, CN=DigiCert Secure Site Pro CN CA G3
        Validity
            Not Before: Feb 11 00:00:00 2022 GMT
            Not After : Feb 25 23:59:59 2023 GMT
        Subject: C=CN, ST=Beijing, O=BeiJing Baidu Netcom Science Technology Co., Ltd, CN=www.baidu.cn
        Subject Public Key Info:
...
...
...

也就是说：openssl x509命令才是打开证书的正确方式！

2. DER文件

既然DER是二进制文件，那么和所有二进制文件一样，如果使用文本编辑器打开的话，看到的都是无法阅读的乱码，此时，我们可以再次祭出openssl x509命令来查看其实际内容：

openssl x509 -inform der -in baidu.der -text -noout

这里baidu.der文件是从baidu.crt文件转化过来的，我们下面就介绍两种文件的转换。

PEM与DER的相互转换

既然PEM与DER只是编码格式上的不同，那么不管是证书还是密钥，都可以随意转换为想要的格式：

• PEM转DER：

openssl x509 -outform der -in baidu.pem -out baidu.der

• DER专PEM

openssl x509 -inform der -in baidu.der -out baidu.crt

3. 各种密钥证书文件解释

3.1 [ .csr ]

Certificate Signing Request，即证书签名请求文件。证书申请者在生成私钥的同时也生成证书请求文件。把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。

3.2 [ .key ]

私钥，与证书一一配对

3.3 [ .crt ] [ .cert ] [ .cer ]

可以是二进制格式(der)，可以是文本格式(pem)。只包含证书，不保存私钥。一般Linux使用.crt后缀，.cer是windows后缀。

此外，可以将多级证书导入同一个证书文件中，形成一个包含完整证书链的证书

3.4 [ .pkcs12 ] [ .p12 ] [ .pfx ]

二进制格式，同时包含证书和私钥（通过.crt或者.cer与私钥.key合成），一般有密码保护。

查看p12证书信息:

openssl pkcs12 -info -nocerts -in keystore.p12

3.5 [ .jks ]

Java 密钥库. 同时包含证书和私钥，一般有密码保护。可以由p12转换而来。

查看jks证书信息：

keytool -v -list -keystore keystore_file