SSL证书一般包括证书文件crt、cer、pem、pfx和私钥文件key。
CER、CRT、PEM 和 PFX 是不同的证书文件格式,它们之间存在一些区别。
CER (DER 编码)
CER 文件是使用 DER 编码的证书文件格式。
CER 文件通常包含单个 X.509 证书。
CER 文件可以包含根证书、中间证书或服务器/客户端证书。
CRT (PEM 编码)
CRT 文件是使用 PEM 编码的证书文件格式。
CRT 文件通常包含单个 X.509 证书,以 “—–BEGIN CERTIFICATE—–” 和 “—–END CERTIFICATE—–” 标签括起来。
CRT 文件可以包含根证书、中间证书或服务器/客户端证书。
PEM (Base64 编码)
PEM 文件是使用 Base64 编码的证书文件格式。
PEM 文件可以包含单个或多个证书、私钥或其他 SSL/TLS 相关信息。
PEM 文件通常以 “—–BEGIN CERTIFICATE—–” 和 “—–END CERTIFICATE—–” 或 “—–BEGIN PRIVATE KEY—–” 和 “—–END PRIVATE KEY—–” 标签括起来。
PFX (PKCS#12 格式)
PFX 文件是一种二进制格式,用于将私钥和证书打包在一起。
PFX 文件可以包含服务器/客户端证书及其相应的私钥。
PFX 文件通常受密码保护,用于在不同系统或平台之间传输证书和私钥。
总的来说:
-
CER 和 CRT 都是 X.509 证书文件,区别在于编码格式(DER 和 PEM)。
-
PEM 是一种通用的证书/私钥存储格式,可以包含单个或多个证书、私钥等。
-
PFX 是一种打包证书和私钥的二进制格式,通常用于在不同系统之间传输证书。
在配置 SSL/TLS 时,需要根据具体的应用程序要求选择合适的证书文件格式。通常 PEM 格式是最常用的,因为它可以灵活地包含证书链和私钥。
如果需要查看转换后的 CRT 证书内容,可以使用以下命令:
这将显示证书的详细信息,包括颁发者、主题、有效期等。
1.1 pfx格式证书转换成key和crt
-
准备阶段
-
生成证书crt可key
-
验证证书正确性
-
配置nginx
1.2 pfx格式证书通过pem转换成key和crt
-
准备阶段
-
先将pfx转换成.pem文件
-
将pem文件导出为key
-
将pem文件导出为crt
-
验证证书正确性
-
配置nginx
1.3 将cer证书文件转换为crt格式
1.3.1 转换
.cer
文件为
.crt
文件
.cer
.crt
-
可以使用 OpenSSL 工具将.cer文件转换为.crt文件
1.3.2 更新 Nginx 配置
-
在 Nginx 的server块中,更新ssl_certificate和ssl_certificate_key指令:
-
如果你使用了.pem格式的私钥文件,则将ssl_certificate_key指令更新为:
二、SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
SSL/TLS 密码套件(ssl_ciphers)是指在 SSL/TLS 握手过程中,客户端和服务器协商使用的加密和消息认证的算法集合。
