當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

Https环境将key秘钥和crt格式证书转成cer证书

發布時間：2024/3/13 编程问答 39 豆豆

生活随笔收集整理的這篇文章主要介紹了 Https环境将key秘钥和crt格式证书转成cer证书小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

1、去除秘鑰*.key的加密保護：

openssl genrsa -des3 -out ca.key 4096#CA證書用于簽署客戶端證書 openssl req -new -x509 -days 365 -key ca.key -out ca.crt#創建服務器證書 openssl req -new -nodes -newkey rsa:2048 -keyout server.key -out server.csr //生成證書私鑰和證書請求文件(CSR：ertificate Signing Request)，完成后會產生兩個文件：server.key 和 server.csr，Linux習慣用crt作為后綴,Windows用cer作為后綴 openssl rsa -in nginx-selfsigned.key -out upnginx-selfsigned.key //注意需要到本地目錄下執行#使用CA簽署服務器證書 openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt #server.csr用于向CA請求簽署服務器證書，server.crt為CA根證書簽署的服務器證書

2、將*.key秘鑰文件和*.crt證書文件合并為cer證書，執行：
openssl x509 -in …/private/nginx-selfsigned.key -in ./nginx-selfsigned.crt -out nginx-selfsigned.cer -outform der

其中，X.509證書通常指的是IETF的PKIX證書和X.509 v3證書標準的CRL 文件，即如RFC 5280（通常稱為PKIX for Public Key Infrastructure（X.509））中規定的。

DER： 用于二進制DER編碼證書而不是DER證書，也能承載CER或CRT擴展。
CRT/CER： 證書可以被編碼為二進制DER或ASCII PEM。Linux習慣用crt作為后綴，Windows用cer作為后綴
KEY ：KEY擴展名用于公鑰和私鑰PKCS＃8。鍵可以被編碼為二進制DER或ASCII PEM。

附錄：crt證書轉換為pkcs12格式，它已被大部分瀏覽器支持安裝，下面命令為轉化客戶端測證書，pkcs12格式會把客戶端的密鑰文件（key）和證書文件（crt）打包在一起，后綴為.p12

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12#轉化為PEM編碼 openssl pkcs12 -in client.p12 -out client.pem -clcerts

3、Nginx配置證書實例：

server {listen 443;server_name localhost;ssl on;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_session_timeout 5m;ssl_certificate server.cer; #證書文件ssl_certificate_key server.key; #私鑰文件#ssl_client_certificate /etc/nginx/certs/ca.pem;#ssl_verify_client on; #設為on，認證客戶端ssl_ciphers ALL:!ADH:!EXPORT56:-RC4+RSA:+HIGH:+MEDIUM:-EXP;}

4、證書更新，更新中間證書

1）檢查確認，現場使用的為移動云提供的CA證書，他們采用SHECA品牌國際標準的SSL證書共包含私鑰、證書、證書鏈3個文件：

用文本格式（Notepad）打開證書包里的證書鏈.cer中間證書文件，查看證書信息，比對第三段證書內容，最后四位PT9I=為新證書，不同提供商可能不同

2）升級證書：

打開證書工具網站的【證書格式轉換】，目標格式選擇ALL（所有常用格式），將證書.cer文件拖拽至證書文件的云圖標內

完成后，下載的證書文件包含以下格式，請根據服務器類型更新證書文件，現場用PEM_Nginx

把對應證書導入WEB服務器的服務配置文件內，更新配置后，驗證即可。

3）驗證

方式一、使用CA在線檢測工具驗證UCA Global G2 Root證書有效日期，在【證書鏈信息部分】顯示如下即可：

方式二、命令行驗證

keytool -sslserver www.xxx.com:443 -printcert -rfc #輸出的證書后四位滿足預期，移動云要求后四位PT9I=為新證書keytool -sslserver www.sheca.com:443 -printcert #查看UCA Global G2 Root證書日期為最新即可

5、附錄：證書驗證過程

總結

以上是生活随笔為你收集整理的Https环境将key秘钥和crt格式证书转成cer证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： VUE—下载安装并使用mint ui（图
下一篇：语音唤醒论文待看