如何將.pem轉換為.crt和.key？

.pem轉換的問題描述

從.pem文件中提取/轉換證書.crt和私鑰.key文件的正確方法或者命令是什麽？我知道它們是可轉換的，但是不清楚怎麽做。

最佳解決方法

可以使用以下方式將pem轉換為crt：

openssl x509 -outform der -in your-cert.pem -out your-cert.crt

可行的解決方法整理

使用OpenSSL進行轉換

以下命令允許將證書和密鑰轉換為不同的格式，使其與特定類型的服務器或軟件兼容。

• 將DER文件(.crt .cer .der)轉換為PEM

  openssl x509 -inform der -in certificate.cer -out certificate.pem
  

• 將PEM文件轉換為DER

  openssl x509 -outform der -in certificate.pem -out certificate.der
  

• 將包含私鑰和證書的PKCS＃12文件(.pfx .p12)轉換為PEM

  openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
  
  You can add -nocerts to only output the private key or add -nokeys to only output the certificates.
  

• 將PEM證書文件和私鑰轉換為PKCS＃12(.pfx .p12)

  openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
  

• 將PEM轉換為CRT(.CRT文件)

  openssl x509 -outform der -in certificate.pem -out certificate.crt
  

OpenSSL轉換PEM

• 將PEM轉換為DER

  openssl x509 -outform der -in certificate.pem -out certificate.der
  

• 將PEM轉換為P7B

  openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
  

• 將PEM轉換為PFX

  openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
  

OpenSSL轉換DER

• 將DER轉換為PEM

  openssl x509 -inform der -in certificate.cer -out certificate.pem
  

OpenSSL轉換P7B

• 將P7B轉換為PEM

  openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
  

• 將P7B轉換為PFX

  openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
  
  openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer
  

OpenSSL轉換PFX

• 將PFX轉換為PEM

  openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
  

通過OpenSSL生成rsa密鑰

• 在命令行上使用OpenSSL，首先需要生成公鑰和私鑰，應該使用-passout參數密碼保護此文件，該參數可以采用許多不同的形式，可以請參閱OpenSSL文檔。

  openssl genrsa -out private.pem 1024
  

• 這將創建一個名為private.pem的密鑰文件，該文件使用1024位(bits)。該文件實際上同時具有私鑰和公鑰，可以從該文件中提取公共密鑰：

  openssl rsa -in private.pem -out public.pem -outform PEM -pubout
  
  or
  
  openssl rsa -in private.pem -pubout > public.pem
  
  or
  
  openssl rsa -in private.pem -pubout -out public.pem
  

  現在你的public.pem隻包含公鑰，可以和第三方自由地分享。可以通過使用公鑰加密自己的東西然後使用私鑰進行解密來測試，首先我們需要一些數據做加密：

• 示例文件：

  echo 'too many secrets' > file.txt
  

• 現在在file.txt中有一些數據，可以使用OpenSSL和公鑰進行加密：

  openssl rsautl -encrypt -inkey public.pem -pubin -in file.txt -out file.ssl
  

• 這將創建一個加密版本的file.txt，命令這個文件為file.ssl（如果直接打開這個文件查看那麽它看起來隻是二進製垃圾，人類無法看懂）。然後可以使用私鑰解密它：

  openssl rsautl -decrypt -inkey private.pem -in file.ssl -out decrypted.txt
  

• 現在在decryptpted.txt中有一個未加密的文件：

  cat decrypted.txt
  |output -> too many secrets
  

OpenSSL中的RSA工具選項

• 名稱：

  rsa  -  RSA密鑰處理工具

• 概要：

  openssl rsa [-help] [-inform PEM | NET | DER] [-outform PEM | NET | DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-aes128] [ -aes192] [-aes256] [-camellia128] [-camellia192] [-camellia256] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin ] [-pubout] [-RSAPublicKey_in] [-RSAPublicKey_out] [-engine id]

• 說明：
  rsa命令處理RSA密鑰。它們可以在各種形式之間進行轉換，並將其組件打印出來。注意，此命令使用傳統的SSLeay兼容格式進行私鑰加密：較新的應用程序應使用pkcs8實用程序使用更安全的PKCS＃8格式。

• 命令選項:

  -help
  

  打印出使用信息。

  -inform DER|NET|PEM
  

  指定輸入格式。 DER選項使用與PKCS＃1 RSAPrivateKey或SubjectPublicKeyInfo格式兼容的ASN1 DER編碼格式。 PEM格式是默認格式：它由DER格式base64編碼，帶有附加的頁眉和頁腳行。在輸入PKCS＃8格式的私鑰也被接受。 NET格式是在NOTES部分中描述的格式。

  -outform DER|NET|PEM
  

  指定輸出格式，選項與-inform選項的含義相同。

  -in filename
  

  如果未指定此選項，則指定從或從標準輸入讀取密鑰的輸入文件名。如果密鑰加密，將提示輸入密碼。

  -passin arg
  

  輸入文件的密碼來源。有關arg的格式的更多信息，參閱openssl中的PASS PHRASE ARGUMENTS部分。

  -out filename
  

  如果未指定此選項，則指定將密鑰寫入或輸出的輸出文件名。如果設置了任何加密選項，則會提示輸入密碼。輸出文件名不能與輸入文件名相同。

  -passout password
  

  輸出文件密碼來源。有關arg的格式的更多信息，參閱openssl中的PASS PHRASE ARGUMENTS部分。

  -aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea
  

  這些選項在輸出之前用指定的密碼加密私鑰。會有同通行提示信息。如果沒有指定這些選項，則key以純文本形式寫入。這些選項隻能用於PEM格式的輸出文件。

  -text
  

  除了編碼版本之外，以純文本形式打印各種公共或私人密鑰組件。

  -noout
  

  此選項可防止輸出密鑰的編碼版本。

  -modulus
  

  此選項打印出該鍵的取模數值。

  -check
  

  此選項將檢查RSA私鑰的一致性。

  -pubin
  

  默認情況下，從輸入文件讀取私鑰：使用此選項讀取公鑰。

  -pubout
  

  默認情況下會輸出一個私鑰：使用此選項將會輸出一個公鑰。如果輸入是公鑰，則會自動設置此選項。

  -RSAPublicKey_in, -RSAPublicKey_out
  

  像-pubin和-pubout一樣，除了使用RSAPublicKey格式的情形。

  -engine id
  

  指定一個引擎(通過其獲得唯一的id字符串)將導致rsa嘗試獲得對特定引擎功能的引用，從而在需要時進行初始化。然後，引擎將被設置為所有可用算法的默認值。

• 筆記

  PEM私鑰格式使用以下頁眉和頁腳行：

  -----BEGIN RSA PRIVATE KEY-----
  
  -----END RSA PRIVATE KEY-----
  

  PEM公鑰格式使用以下頁眉和頁腳行：

  -----BEGIN PUBLIC KEY-----
  
  -----END PUBLIC KEY-----
  

  PEM RSAPublicKey格式使用以下頁眉和頁腳線：

  -----BEGIN RSA PUBLIC KEY-----
  
  -----END RSA PUBLIC KEY-----
  

  NET格式是與舊的Netscape服務器和Microsoft IIS .key文件兼容的格式，它使用未加密的RC4進行加密。這種方法不是很安全，所以隻能在必要時使用。一些較新版本的IIS在導出的.key文件中有其他額外的數據。要使用這些實用程序，請使用二進製編輯器查看文件，並查找字符串”private-key”，然後追溯到字節序列0x30，0x82(這是一個ASN1 SEQUENCE)。將所有數據從此點複製到另一個文件，並將其用作帶有-inform NET選項的rsa實用程序的輸入。

  例子

  要刪除RSA私鑰上的密碼短語：

   openssl rsa -in key.pem -out keyout.pem
  

  使用三重DES加密私鑰：

   openssl rsa -in key.pem -des3 -out keyout.pem
  

  將私鑰從PEM轉換為DER格式：

    openssl rsa -in key.pem -outform DER -out keyout.der
  

  將私鑰的組件輸出到標準輸出：

    openssl rsa -in key.pem -text -noout
  

  要輸出私鑰的公共部分：

    openssl rsa -in key.pem -pubout -out pubkey.pem
  

  以RSAPublicKey格式輸出私鑰的公共部分：

    openssl rsa -in key.pem -RSAPublicKey_out -out pubkey.pem
  

本文整理自

• Convert .pem to .crt and .key