启用ssl

常见问题

Q:

证书转换方法及常见格式都有什么？

SSL证书格式主要是公钥证书格式标准X.PEM和DER定义在509中、PKCS中定义PKCS#7和PKCS#12、Tomcat专用JKS。SSL证书的常见格式及转化方法如下：

常见的SSL证书格式

DER：DistinguishedencodingRules缩写，二进制编码的证书格式，相当于PEM格式的二进制版本，证书后缀有：.DER.CER.CRT，Java平台主要用于Java平台

PEM:PrivacyEnhancedMail的缩写，Base64编码的证书格式，是将Base64二进制版本编码后，以“—–BEGIN开头，“……”—–END结尾。证书的后缀有：.PEM.CER.CRT，主要用于Apache和Nginx。

PKCS#7:PKCS（Public-KeyCryptographyStandards）PKCS标准中的PKCS#7（CryptographicMessageSyntaxStandard）。它不包含私钥，单独存储证书链和用户证书。证书后缀如下：.P7B.P7C.SPC，主要用于Tomcat和Windowsserver。

PKCS#12：PKCS（Public-KeyCryptographyStandards）PKCS#12标准PKCS#（PersonalInformationExchangeSyntaxStandard）。它包含私钥、证书链、用户证书和密码。证书后缀有：.P12.PFX，主要用于Windowsserver。

JKS:JavaKeyStore缩写，包含私钥、证书链、用户证书，并设置密码。证书后缀为.jks。主要用于Tomcat。

SSL证书格式转换方法

Webtrust认证的CA机构颁发的证书通常只提供PEM格式或PKCS#7格式。如果需要其他证书格式，可以使用以下常用方法进行格式转换。

使用OpenSSL、Keytool转化

1．pem转换pfx

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

2．pem转换jks

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

3．pfx转换pem

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

4．pfx转换jks

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

5．jks转换pem

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

6．jks转化pfx

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456SSL

Q:

SSL证书格式都有哪些？

常见的Web服务软件通常基于OpenSSL和Java两个基本密码库。

Tomcat.Weblogic.JBossJava提供的密码库通常用于Web服务软件。通过JavaDevelopmentKit（JDK）生成工具包中的Keytool工具JavaKeystore（JKS）格式证书文件。

Apache.Nginx在Web服务软件中，OpenSSL工具提供的密码库通常用于生成PEM.KEY.CRT等格式的证书文件。

IBMWeb服务产品，如Websphere.IBMHttpServer（IHS）等等，一般使用IBM产品自带的iKeyman工具，生成KDB格式的证书文件。

微软WindowsServer中的InternetInformationServices（IIS）使用Windows自带的证书库生成PFX格式的证书文件。

以下表格介绍了文件的常见格式。您可以参考以下表格来区分具有后缀扩展名称的证书文件。

1.文件后缀：*.DER或*.CER

文件类型：二进制格式

注：只包含证书信息，不包括私钥。

2.文件后缀：*.CRT

文件类型：二进制格式或文本格式

注：只包含证书信息，不包括私钥。

3.文件后缀：*.PEM

文件类型：文本格式

注：一般存放证书或私钥，或同时包含证书和私钥。*.PEM如果文件只包含私钥，一般使用*.KEY文件代替。

4.文件后缀：*.PFX或*.P12

文件类型：二进制格式

说明:同时包含证书和私钥，一般有密码保护。

(说明证书格式可以相互转换)

您可以使用记事本直接打开证书文件。若显示规则数字字母(如下所示)，则证书文件为文本格式。

—–BEGINCERTIFICATE—–

MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh...

—–ENDCERTIFICATE—–

如果存在——BEGINCERTIFICATE——，说明这是证书文件。

如果存在—–BEGINRSAPRIVATEKEY—–，这意味着这是一个私钥文件。

Q:

SSL证书用途都有什么？

提升品牌形象和可信度

部署SSL证书的网站将显示浏览器地址栏中的https绿色安全锁。如果是部署的EVSSL证书，还将显示绿色地址栏和单位名称。它可以告诉用户，他们访问的是安全可信的网站，可以放心操作和交易，有效提升公司的品牌信息和可信度。

认证网站身份，防止假冒

在没有证书的网站上，黑客可以伪造一个类似于网站的域名来制作钓鱼网站。在网站部署了值得信赖的SSL证书后，用户可以识别该网站是否为官方网站。浏览器内置安全机制，实时检查证书状态，通过浏览器显示安全锁、绿色地址栏、单位名称、证书信息，显示网站身份、认证信息，使用户能够轻松识别网站的真实身份，防止假冒。

网站信息加密防止篡改

SSL证书最重要的是确保数据安全。过去，HTTP协议以明确的方式发送内容，攻击者可以轻松拦截客户端和网站服务器传输的明确数据，直接获取重要信息；HTTPS协议对数据进行了加密，第三方根本无法窃听。

SSL证书允许网站加密传输，可以防止用户隐私信息，如用户名、密码、交易记录、居住信息等。