密码学系列之:PEM 和 PKCS7,PKCS8,PKCS12
简介
PEM 是一种常见的保存 key 或者证书的格式,PEM 格式的文件一般来说后缀是以.pem 结尾的。那么 PEM 到底是什么呢?它和常用的证书格式 PKCS7 和 PKCS12 有什么关系呢?一起来看看吧。
PEM
PEM 虽然使用来存储证书或者密钥的,但是 PEM 原本是和 email 相关联的,因为 PEM 的全称是 Privacy-Enhanced Mail,最初是为邮件的隐私增强而创建的,是在 1993 年由 IETF 制定的标准。虽然最终的协议标准并没有被广泛采用,但是其中定义的文本编码却被广泛的使用,最终由 IETF 在 RFC 7468 中正式化。
之前我们介绍过一种协议描述语言 ASN.1,ASN.1 通常被用来定义协议中的数据结构,然后通过使用 DER 编码来对这些数据进行序列化,但是 DER 编码是二进制的格式,二进制文件在某些情况下不方便进行传输或者展示,不然说某些只支持 ASCII 编码的情况,所以需要一种可以讲 DER 格式转换成为文本格式的方式。
这种方式就叫做 PEM。PEM 使用的方法也很简单,就是对 DER 编码过后的二进制数据使用 base64 编码,将其转换成为文本文件。
在 PEM 中有固定的文件头和文件结尾符。文件头是以-----BEGIN+label+-----开始,文件结尾是以-----END+label+-----结束。
其中 label 表示的是编码的消息类型,通常可以取这些值:CERTIFICATE, CERTIFICATE REQUEST, PRIVATE KEY 和 X509 CRL。
下面是一个 PEM 的例子,表示其内容是一个证书:
虽然 PEM 格式的文件通常以.pem 结束,但是也可以使用 ".cer" 或者 ".crt" 表示一个证书,使用".key"表示是一个密钥。
另外, 一个 PEM 文件中可以包含多个内容,比如对于证书来说,通常来说可能需要一些额外的信息比如证书链,这样一个证书链可以存储在一个 PEM 文件中。
PKCS7
PKCS7 是 Public-Key Cryptography Standards 系列的一员,主要用来存储签名或者加密后的数据,比如证书或者 CRL。PKCS7 可以用原始的 DER 格式进行存储,也可以使用 PEM 格式进行存储。
如果以 PEM 格式进行存储,那么文件的开头和结尾分别是:
在 windows 中 PKCS7 通常以.p7b 结尾。
PKCS7 的操作可以通过 openssl 命令来进行。
比如将一个 PKCS7 的文件从 PEM 格式转换成为 DER 格式:
从一个文件中提取出所有的证书到另外一个文件:
PKCS8
PKCS8 也是 Public-Key Cryptography Standards 系列的一员,它主要用来存储私钥。
私钥首先会使用 PKCS #5 的标准进行加密,然后将其进行 base64 编码,转换成为 PEM 格式进行存储。
所以说 PKCS8 的格式就是 PEM,但是里面存储的内容是经过加密过后的私钥。
PKCS12
PKCS12 也是 Public-Key Cryptography Standards 系列的一员,PKCS12 可以看做是 PKCS7 的扩展,在 PKCS12 中可以存储证书,私钥或者 CRL。和 PKCS7 相比,PKCS12 可以额外存储私钥。
PKCS12 的文件是以.p12 或者 .pfx 结尾的。在 JDK9 中,PKCS12 是默认的密钥存储格式。
PKCS12 的格式和 PEM 相比会复杂的多,在需要的时候,我们可以使用 OPENSSL 将 PKCS12 格式转换成为 PEM 格式:
当然也可以从 PEM 到 PKCS12:
总结
以上就是 PEM 和 PKCS 系列中几个非常常用的编码格式。希望大家能够掌握和正确使用。
更多内容请参考 http://www.flydean.com/48-pem-pkcs7812/
最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!
欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!
版权声明: 本文为 InfoQ 作者【程序那些事】的原创文章。
原文链接:【http://xie.infoq.cn/article/f31bc3f44cf006847ef614f1c】。文章转载请联系作者。
关注公众号:程序那些事,更多精彩等着你! 2020.06.07 加入
最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧,尽在公众号:程序那些事!
评论