关于运维:数字证书pfx文件

73次阅读

共计 993 个字符,预计需要花费 3 分钟才能阅读完成。

pfx 两个要点:

1、pfx 文件中蕴含私钥与公钥和证书

他人要是问.pfx 文件里放的是啥,你能够直白的说通知他外面放的就是公钥和私钥和证书。

2、pfx 有拜访密码保护

  • 私钥不能轻易让人查看,拜访明码是为了进行安全控制。
  • 即便 pfx 文件被他人失去,没有拜访明码也较难获取私钥。

数字证书文件格式(cer 和 pfx)的区别

1. 带有私钥的证书

由 Public Key Cryptography Standards #12,PKCS#12 规范定义,蕴含了公钥和私钥的二进制格局的证书模式,以 pfx 作为证书文件后缀名。

2. 二进制编码的证书

证书中没有私钥,DER 编码二进制格局的证书文件,以 cer 作为证书文件后缀名。

3.Base64 编码的证书

证书中没有私钥,BASE64 编码格局的证书文件,也是以 cer 作为证书文件后缀名。

由定义能够看出,只有 pfx 格局的数字证书是蕴含有私钥的,cer 格局的数字证书外面只有公钥没有私钥。

在 pfx 证书的导入过程中有一项是“标记此密钥是可导出的。这将您在稍候备份或传输密钥”。个别是不选中的,如果选中,他人就有机会备份你的密钥了。如果是不选中,其实密钥也导入了,只是不能再次被导出。这就保障了密钥的平安。

如果导入过程中没有选中这一项,做证书备份时“导出私钥”这一项是灰色的,不能选。只能导出 cer 格局的公钥。如果导入时选中该项,则在导出时“导出私钥”这一项就是可选的。

如果要导出私钥(pfx), 是须要输出明码的,这个明码就是对私钥再次加密,这样就保障了私钥的平安,他人即便拿到了你的证书备份(pfx), 不晓得加密私钥的明码,也是无奈导入证书的。相同,如果只是导入导出 cer 格局的证书,是不会提醒你输出明码的。因为公钥一般来说是对外公开的,不必加密

———— pfx 密钥 ———–

公钥 加密 + 验证签名

私钥 解密 + 签名


pfx 原本就不应该在网络上流传.. 生成新的客户端证书只须要传 CSR, CER .. 正确的过程应该是:

客户端: 生成私钥, 填写证书相干信息 CN/O/OU/EMail 等等, 用 私钥生成 证书申请 CSR ..

把 CSR 通过网络发给 CA

CA: 对 CSR 进行签名, 生成 CER

CA 把证书发送回来

客户端: 打包私钥 + CER 为 PKCS#12 (pfx) 文件.

整个过程都不会传递私钥.

how to convert cert

understanding pfx file

understanding pfx file

正文完
 0