沃通 SSL证书

SSL证书格式主要是公钥证书格式标准X.PEM和DER定义在509中、PKCS中定义PKCS#7和PKCS#12、Tomcat专用JKS。SSL证书的常见格式及转化方法如下：

常见的SSL证书格式

DER：DistinguishedencodingRules缩写，二进制编码的证书格式，相当于PEM格式的二进制版本，证书后缀有：.DER.CER.CRT，Java平台主要用于Java平台

PEM:PrivacyEnhancedMail的缩写，Base64编码的证书格式，是将Base64二进制版本编码后，以“—–BEGIN开头，“……”—–END结尾。证书的后缀有：.PEM.CER.CRT，主要用于Apache和Nginx。

PKCS#7:PKCS（Public-KeyCryptographyStandards）PKCS标准中的PKCS#7（CryptographicMessageSyntaxStandard）。它不包含私钥，单独存储证书链和用户证书。证书后缀如下：.P7B.P7C.SPC，主要用于Tomcat和Windowsserver。

PKCS#12：PKCS（Public-KeyCryptographyStandards）PKCS#12标准PKCS#（PersonalInformationExchangeSyntaxStandard）。它包含私钥、证书链、用户证书和密码。证书后缀有：.P12.PFX，主要用于Windowsserver。

JKS:JavaKeyStore缩写，包含私钥、证书链、用户证书，并设置密码。证书后缀为.jks。主要用于Tomcat。

SSL证书格式转换方法

Webtrust认证的CA机构颁发的证书通常只提供PEM格式或PKCS#7格式。如果需要其他证书格式，可以使用以下常用方法进行格式转换。

使用OpenSSL、Keytool转化

1．pem转换pfx

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

2．pem转换jks

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

3．pfx转换pem

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

4．pfx转换jks

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

5．jks转换pem

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

6．jks转化pfx

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456SSL

根据行业CA规定，数字证书的有效期最长为1年，无论购买多长时间，SSL证书都必须每年更新，这是不可避免的事实。SSL证书需要尽快申请SSL证书，并更新服务器过期的SSL证书。

公钥加密基础设施（PKI）中、证书颁发机构（CA）必须信任证书签名人，以保护私钥，并通过互联网在线传输信息。然而，在签署SSL证书的情况下，CA无法识别签名人或信任它，因此私钥将不再安全和损坏，这鼓励网络罪犯攻击网站并窃取信息。

⌈自签名SSL证书的缺点⌋：

·应用/操作系统不信任自签证证书，可能导致身份验证错误等。

·低哈希和密码技术可用于自签证。因此，自签证的安全水平可能不符合当前的安全策略。

·不支持高级PKI(公钥基础设施)功能，如网上检查撤销列表等。

·自签证的有效期一般为一年，这些证书每年都需要更新/更换，这是一个难以维护的问题。

⌈在公共场所使用自签名SSL证书的风险⌋：

与自签名SSL证书相关的安全警告将驱逐潜在客户，因为他们担心该网站无法保护其凭证，从而损害品牌声誉和客户信任。

⌈在内部网站上使用自签名SSL证书的风险⌋：

在公共网站上使用自签名证书的风险很明显，在内部使用也有风险。内部网站（如员工门户）上的自签名证书仍然会导致浏览器警告。许多组织建议员工忽略警告，因为他们知道内部网站是安全的，但这可能会鼓励危险的公共浏览行为。习惯于忽视内部网站警告的员工可能会忽略公共网站上的警告，使他们和你的组织容易受到恶意软件和其他威胁的攻击。

如果自签名SSL证书安装在电子商务网站上，用户会感受到数据和信息被盗的风险，退出购物，这也会影响在线业务和所有者的声誉。收集用户敏感信息和个人信息的网站不得安装自签名SSL证书。银行、电子商务、社交媒体、医疗保健和政府部门就是其中之一。公钥加密基础设施（PKI）中、证书颁发机构（CA）必须信任证书签名人，以保护私钥，并通过互联网在线传输信息。然而，在签署SSL证书的情况下，CA无法识别签名人或信任它，因此私钥将不再安全和损坏，这鼓励网络罪犯攻击网站并窃取信息。

⌈自签名SSL证书的缺点⌋：

·应用/操作系统不信任自签证证书，可能导致身份验证错误等。

·低哈希和密码技术可用于自签证。因此，自签证的安全水平可能不符合当前的安全策略。

·不支持高级PKI(公钥基础设施)功能，如网上检查撤销列表等。

·自签证的有效期一般为一年，这些证书每年都需要更新/更换，这是一个难以维护的问题。

⌈在公共场所使用自签名SSL证书的风险⌋：

与自签名SSL证书相关的安全警告将驱逐潜在客户，因为他们担心该网站无法保护其凭证，从而损害品牌声誉和客户信任。

⌈在内部网站上使用自签名SSL证书的风险⌋：

在公共网站上使用自签名证书的风险很明显，在内部使用也有风险。内部网站（如员工门户）上的自签名证书仍然会导致浏览器警告。许多组织建议员工忽略警告，因为他们知道内部网站是安全的，但这可能会鼓励危险的公共浏览行为。习惯于忽视内部网站警告的员工可能会忽略公共网站上的警告，使他们和你的组织容易受到恶意软件和其他威胁的攻击。

如果自签名SSL证书安装在电子商务网站上，用户会感受到数据和信息被盗的风险，退出购物，这也会影响在线业务和所有者的声誉。收集用户敏感信息和个人信息的网站不得安装自签名SSL证书。银行、电子商务、社交媒体、医疗保健和政府部门就是其中之一。