openssl从PFX导出私钥、公钥

 

0.1392017.09.11 09:03:42字数 791阅读 3594

数字证书文件格式（cer和pfx）的区别

1. PFX是带有私钥的证书（包含公钥和私钥）
   由Public Key Cryptography Standards #12，PKCS#12标准定义，包含了公钥和私钥的二进制格式的证书形式，以pfx做为证书文件后缀名（文件的扩展名能够为pfx或p12）。

2. CER二进制编码的证书（只包含公钥）
   证书中没有私钥，DER 编码二进制格式的证书文件，以cer做为证书文件后缀名。

3. Base64编码的证书（只包含公钥）
   证书中没有私钥，BASE64 编码格式的证书文件，也是以cer做为证书文件后缀名。

由定义能够看出，只有pfx格式的数字证书是包含有私钥的，cer格式的数字证书里面只有公钥没有私钥。

在pfx证书的导入过程当中有一项是“标志此密钥是可导出的。这将您在稍候备份或传输密钥”。通常是不选中的，若是选中，别人就有机会备份你的密钥了。若是是不选中，其实密钥也导入了，只是不能再次被导出。这就保证了密钥的安全。

若是导入过程当中没有选中这一项，作证书备份时“导出私钥”这一项是灰色的，不能选。只能导出cer格式的公钥。若是导入时选中该项，则在导出时“导出私钥”这一项就是可选的。

若是要导出私钥（pfx),是须要输入密码的，这个密码就是对私钥再次加密，这样就保证了私钥的安全，别人即便拿到了你的证书备份（pfx),不知道加密私钥的密码，也是没法导入证书的。相反，若是只是导入导出cer格式的证书，是不会提示你输入密码的。由于公钥通常来讲是对外公开的，不用加密

从pfx导出公、私钥

从pfx提取密钥信息，并转换为key格式（pfx使用pkcs12模式补足）

1. 提取密钥对（若是pfx证书已加密，会提示输入密码。）
   openssl pkcs12 -in 1.pfx -nocerts -nodes -out 1.key

2. 从密钥对提取私钥
   openssl rsa -in 1.key -out 1_pri.key

3. 从密钥对提取公钥
   openssl rsa -in 1.key -pubout -out 1_pub.key

4. 由于RSA算法使用的是pkcs8模式补足，须要对提取的私钥进一步处理（可选）
   openssl pkcs8 -in 1_pri.key -out 1_pri.p8 -outform der -nocrypt -topk8

将pfx成一个cer

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

另：

apple developer中关于CSR证书请求文件（本机生成Cert Signing Request），它只是包含公钥的一个文件文件，传到apple开发者网站，去下载apple的对此商家签名后的公钥，用之后续开发操做。

另：若是生成tomcat须要的证书文件

keytool -import -v -trustcacerts -storepass 123456 -alias root -file xxx.im.crt -keystore xxx.jks

 

参考文献：https://www.jianshu.com/p/00fdd6f15227