.pem轉換的問題描述

從.pem檔案中提取/轉換證書.crt和私鑰.key檔案的正確方法或者命令是什麼？我知道它們是可轉換的，但是不清楚怎麼做。

最佳解決方法

可以使用以下方式將pem轉換為crt：

openssl x509 -outform der -in your-cert.pem -out your-cert.crt

可行的解決方法整理

使用OpenSSL進行轉換

以下命令允許將證書和金鑰轉換為不同的格式，使其與特定型別的伺服器或軟體相容。

• 將DER檔案(.crt .cer .der)轉換為PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem
 

• 將PEM檔案轉換為DER

openssl x509 -outform der -in certificate.pem -out certificate.der

• 將包含私鑰和證書的PKCS＃12檔案(.pfx .p12)轉換為PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

You can add -nocerts to only output the private key or add -nokeys to only output the certificates.

• 將PEM證書檔案和私鑰轉換為PKCS＃12(.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

• 將PEM轉換為CRT(.CRT檔案)

openssl x509 -outform der -in certificate.pem -out certificate.crt

OpenSSL轉換PEM

• 將PEM轉換為DER

openssl x509 -outform der -in certificate.pem -out certificate.der

• 將PEM轉換為P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

• 將PEM轉換為PFX

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

OpenSSL轉換DER

• 將DER轉換為PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

OpenSSL轉換P7B

• 將P7B轉換為PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

• 將P7B轉換為PFX

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

OpenSSL轉換PFX

• 將PFX轉換為PEM

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

通過OpenSSL生成rsa金鑰

• 在命令列上使用OpenSSL，首先需要生成公鑰和私鑰，應該使用-passout引數密碼保護此檔案，該引數可以採用許多不同的形式，可以請參閱OpenSSL文件。 openssl genrsa -out private.pem 1024
• 這將建立一個名為private.pem的金鑰檔案，該檔案使用1024位(bits)。該檔案實際上同時具有私鑰和公鑰，可以從該檔案中提取公共金鑰：

openssl rsa -in private.pem -out public.pem -outform PEM -pubout

or

openssl rsa -in private.pem -pubout > public.pem

or

openssl rsa -in private.pem -pubout -out public.pem

現在你的public.pem只包含公鑰，可以和第三方自由地分享。可以通過使用公鑰加密自己的東西然後使用私鑰進行解密來測試，首先我們需要一些資料做加密：

• 示例檔案：

echo 'too many secrets' > file.txt

現在在file.txt中有一些資料，可以使用OpenSSL和公鑰進行加密：

openssl rsautl -encrypt -inkey public.pem -pubin -in file.txt -out file.ssl

• 這將建立一個加密版本的file.txt，命令這個檔案為file.ssl（如果直接開啟這個檔案檢視那麼它看起來只是二進位制垃圾，人類無法看懂）。然後可以使用私鑰解密它：

openssl rsautl -decrypt -inkey private.pem -in file.ssl -out decrypted.txt

• 現在在decryptpted.txt中有一個未加密的檔案：

cat decrypted.txt
|output -> too many secrets

OpenSSL中的RSA工具選項

• 名稱： rsa - RSA金鑰處理工具

• 概要： openssl rsa [-help] [-inform PEM | NET | DER] [-outform PEM | NET | DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-aes128] [ -aes192] [-aes256] [-camellia128] [-camellia192] [-camellia256] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin ] [-pubout] [-RSAPublicKey_in] [-RSAPublicKey_out] [-engine id]

• 說明： rsa命令處理RSA金鑰。它們可以在各種形式之間進行轉換，並將其元件打印出來。注意，此命令使用傳統的SSLeay相容格式進行私鑰加密：較新的應用程式應使用pkcs8實用程式使用更安全的PKCS＃8格式。

• 命令選項: -help：打印出使用資訊。 -inform DER|NET|PEM：指定輸入格式。 DER選項使用與PKCS＃1 RSAPrivateKey或SubjectPublicKeyInfo格式相容的ASN1 DER編碼格式。 PEM格式是預設格式：它由DER格式base64編碼，帶有附加的頁首和頁尾行。在輸入PKCS＃8格式的私鑰也被接受。 NET格式是在NOTES部分中描述的格式。 -outform DER|NET|PEM：指定輸出格式，選項與-inform選項的含義相同。 -in filename：如果未指定此選項，則指定從或從標準輸入讀取金鑰的輸入檔名。如果金鑰加密，將提示輸入密碼。 -passin arg：輸入檔案的密碼來源。有關arg的格式的更多資訊，參閱openssl中的PASS PHRASE ARGUMENTS部分。 -out filename：如果未指定此選項，則指定將金鑰寫入或輸出的輸出檔名。如果設定了任何加密選項，則會提示輸入密碼。輸出檔名不能與輸入檔名相同。 -passout password：輸出檔案密碼來源。有關arg的格式的更多資訊，參閱openssl中的PASS PHRASE ARGUMENTS部分。 -aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea 這些選項在輸出之前用指定的密碼加密私鑰。會有同通行提示資訊。如果沒有指定這些選項，則key以純文字形式寫入。這些選項只能用於PEM格式的輸出檔案。 -text：除了編碼版本之外，以純文字形式列印各種公共或私人金鑰元件。 -noout：此選項可防止輸出金鑰的編碼版本。 -modulus：此選項打印出該鍵的取模數值。 -check：此選項將檢查RSA私鑰的一致性。 -pubin：預設情況下，從輸入檔案讀取私鑰：使用此選項讀取公鑰。 -pubout：預設情況下會輸出一個私鑰：使用此選項將會輸出一個公鑰。如果輸入是公鑰，則會自動設定此選項。 -RSAPublicKey_in, -RSAPublicKey_out：像-pubin和-pubout一樣，除了使用RSAPublicKey格式的情形。 -engine id：指定一個引擎(通過其獲得唯一的id字串)將導致rsa嘗試獲得對特定引擎功能的引用，從而在需要時進行初始化。然後，引擎將被設定為所有可用演算法的預設值。

筆記

• PEM私鑰格式使用以下頁首和頁尾行：

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

• PEM公鑰格式使用以下頁首和頁尾行：

-----BEGIN PUBLIC KEY-----

-----END PUBLIC KEY-----

• PEM RSAPublicKey格式使用以下頁首和頁尾線：

-----BEGIN RSA PUBLIC KEY-----

-----END RSA PUBLIC KEY-----

NET格式是與舊的Netscape伺服器和Microsoft IIS .key檔案相容的格式，它使用未加密的RC4進行加密。這種方法不是很安全，所以只能在必要時使用。一些較新版本的IIS在匯出的.key檔案中有其他額外的資料。要使用這些實用程式，請使用二進位制編輯器檢視檔案，並查詢字串"private-key"，然後追溯到位元組序列0x30，0x82(這是一個ASN1 SEQUENCE)。將所有資料從此點複製到另一個檔案，並將其用作帶有-inform NET選項的rsa實用程式的輸入。

例子

• 要刪除RSA私鑰上的密碼短語：

 openssl rsa -in key.pem -out keyout.pem

• 使用三重DES加密私鑰：

openssl rsa -in key.pem -des3 -out keyout.pem

• 將私鑰從PEM轉換為DER格式：

  openssl rsa -in key.pem -outform DER -out keyout.der

• 將私鑰的元件輸出到標準輸出：

openssl rsa -in key.pem -text -noout

• 要輸出私鑰的公共部分：

  openssl rsa -in key.pem -pubout -out pubkey.pem

• 以RSAPublicKey格式輸出私鑰的公共部分：

  openssl rsa -in key.pem -RSAPublicKey_out -out pubkey.pem