Sch*_*tod 7 c ssl openssl pkcs#12
在将一些证书从密钥库转换为openssl/pem时,我第一次注意到证书之前有"Bag Attributes".
看起来像这样:
Bag Attributes
friendlyName: CN=PositiveSSL CA,O=Comodo CA Limited,L=Salford,ST=Greater Manchester,C=GB
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=PositiveSSL CA
issuer=/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware
他们是否提供任何功能?
我注意到我喜欢它们,因为它们使我的链文件(证书的串联)更加清晰.可悲的是,我下载的ca证书没有它们.
那么我该如何生成它们呢?
dav*_*085 15
确切地说,你显然意味着转换(或只是阅读)openssl pkcs12 (import)实用程序PKCS#12文件,Java可以作为密钥库支持,但在2017年Java9之前不是默认(更新).PKCS#12的设计和通常用于私钥和该密钥的证书(通常是多个),尽管格式足够灵活以允许单独的证书.OpenSSL 命令行 pkcs12 -export需要私钥,虽然它会添加"额外"证书,而调用API的程序显然不会执行私钥.根据我的经验,Java在版本8之前不支持PKCS#12中的单独证书,而在我的8和9中有两个属性:pkcs9.friendlyName和2.16.840.1.113894.746875.1.1,这显然是Oracle定义的trustedKeyUsage.大多数单独的证书不会作为PKCS#12存储或下载.
PKCS#12是根据包含各种内容的几个(略有不同)"bag"结构来定义的,主要是私有密钥和带有可选属性的证书,这些属性不出所料地被称为"包属性"; 你的情况(显然)只有证书.这些属性遵循现在常规结构的任意数量的OID对值取决于OID.在显示中只注意friendlyName一个bag属性,因为它在标题下缩进.
的subject=和issuer=线是字段从证书本身该openssl pkcs12 (import)实用程序提取物和打印为了方便.如果这已足够,您可以使用该x509实用程序显示任何证书; 特别是如果你想在pkcs12输出方式的PEM编码证书"blob"之前使用它们,请使用openssl x509 -in infile -subject -issuer -out outfile.这样做一个证书,所以如果你在PEM文件中有一个链,你需要将它拆开并分别执行每个证书,然后可能再次组合; 比如说像
# split into files cert_1, cert_2, etc.
$ awk <chain.pem -va="openssl x509 -subject -issuer >cert_"
'/^-----BEGIN/{b=a (++n);x=1}x{print|b}/^-----END/{close(b);x=0}'
# output entire "bag" to stdout (with blank lines between certs)
$ awk <chain.pem -va="openssl x509 -subject -issuer" \
'/^-----BEGIN/{b=a;x=1}x{print|b}/^-----END/{close(b);x=0;print""}'
作为比较,openssl s_client -showcerts做了一些非常相似的事情:它从收到的链中输出每个证书blob的主题和发行者,用级别号"s:"和"i:"标记它们.
| 归档时间: |
|
| 查看次数: |
17203 次 |
| 最近记录: |