cer 转成p12方法

所需积分/C币:50 2013-09-25 15:25:56 1.18MB PDF
收藏 收藏
举报

X.509 DER证书转换成为 p12 证书
Rm瑞金科技 X509DER证书转换成为p12证书 第一章概述 随着 Android系统已经成为一个主流的移动终端系统平台,其设备在企业网中的应用也 越来越广泛,而作为移动终端最重要的WF通信方式在个业无线网络中的应用不可避免的 会使用到基于EAP-TLS的安全验证模式,但是 Android系统唯一支持的证书模式只有PKCS#12 格式,当使用我们通常微软CA所颁发的CER格式的证书时,系统无法加载证书,最终导致 Android系统在企业无线网络中不能正常的使用802.1x等基于用户证书的验证方式,这给移 动终端的安全应用带米了极大的麻烦。 本文将以微软的CA为核心,使用丌源的 openssl第三方工具,描述如何通过手上的方 法实现p12证书的颁发,使其可以顺利地安装于 Android系统移动终端之上,最终通过该证 书成功接入使用802.1X的企业无线网络。 第二章基础概念 21证书格式 PKCS全称是 Public-Key Cryptography Standards,是由RSA实验室与其它安全系统开 发商为促进公钥密码的发展而制订的一系列标准,PKCS目前共发布过15个标准。常用的 有: PKCS#7 Cryptographic Message Syntax Standard PKCS#10 Certification Request Standard PKCS#12 Personal Information Exchange Syntax Standard 509是常见通用的证书格式。所有的证书都符合为 Public Key Infrastructure(PK)制定 的TUTX509国际标准 PKCS#7常用的后缀是:P7B.P7csPC ■PKCS#12常用的后缀有:P12PFX X509DER编码ASC)的后缀是: DER CER CRT X509PAM编码(Base64)后缀是: PEM CER.CRT cer/crt是用于存放证书,它是2进制形式存放的,不含私钥 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第1贞·共9页 Rw瑞金科技 X509DER证书转换成为p12证书 pem跟crt/cer的区别是它以Asci米表示。 pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式 10是让书请求 p7r是CA对证书请求的回复,只用」导入 p7b以树状展小证书链( certificate chain),同时也支持单个证书,不含私钥。 22证书转换流程 221X509DER/PAM证书与p12证书的区别 509DER/PAM证书通常使用.cer作为证书文件的后缀,这里我们为了方便将其简称为 cer让书。如前面的描述,cer证书与p12诎书最大的区别在于是否包含私钥。而更为关键的 是在微软的CA用户证书申请模版中,没有提小用户自己创建RSA密钥对,因此用户一般会 使用cA系统提供的RSA密钥对生成CSR(证书请求)文件,然后直接颁发cer证书。这也 就导致了用户于中没有生成该证书的RSA弘钥,从而无法形成含有私钥的p12证书。 222p12证书生成流程 从理论上讲,只要申请者手中具备了最原始的RSA密钥对,冉加上CA根据该密钥对生 成的证书就可以“组装”出一个p12证书了。具体的流程如下 1、用户在自己本地的PC上生成RSA密钥对,一般我们成为key文件 2、使用该RSA密钥对在本地牛成证书请求文件,一般需要输入一些用于标识证书的个 人信息;恪式遵循PKCS井10: 3、将证书请求文件提交给CA进行证书请求,获得cer证书(BASE64格式); 4、将cer证书与RSA私钥通过 openss件合成为p12证书。 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第2贝·共9页 Rw瑞金科技 X509DER证书转换成为p12证书 第三章cer证书转换成为p12证书过程 31环境准备 311关于 openssl软件 openssl是由 EriCa. Young和Tim. Hudson在1995年开始编写的一个没有太多限制的开 放源代码的软件包,这使得我们可以利用这个软件包做很多事情。 EriC A. Young和TimJ Hudson是加拿大人,后来由于写 OpenSSL功成名就之后就到大公司里赚大钱去了。1998年 OpenSSL项目组接管了 OpenSSL的开发工作,并推出了 penSSL的0.9.1版,到目前为止 OpenSSL_的算法已经非常完善,对SSL2.0、SSL3.0以及TLS1.都支持。 OpenSSL采用C语言作为开发语言,这使得 OpenSSL具有优秀的跨平台性能,这对于 广大技术人员来说是一件非常美妙的事情,可以在不同的平台使用同样熟悉的东西。 OpenSsL 支持nux、 Windows、BSD、Mac、MS等平台,这使得 OpenSSL具有广泛的适用性。 Openssl下载后是一组源代码,需要通过per编译工具在自己的系统上进行编译后使用 具体的编译和安装过程请参见以下文章 http:/wenku.baiducom/view/fc7aeb87b9d528ea81c77931.htn 3111 openssl安装后的工作 一般来讲, openss正常编译安装后,其基础的各项功能就具备了,但是为了实现我们 需要的证书转换工作还需要完成如下工作:修改 openssl. cnf文件。 Opensslcnt文件是 openss$工作的主配置文件,在一个全新编译后的系统目录中有时是 没有这个文件的,因此我根据网上的模版修改了一个自己的模版,并生成了该文件(以文本 模式): ######持##持#################################样################# H openssl example contiguration file This is mostly used for generation of certificate requests ######扌#扦拄####扦#廾甘扌#柑##扦###冄##冄扌#計扫拄#廾扦#扦#拄##扦# default ca=ca default the default ca section ###井###持#########扦########杆##廾井############################### [Ca default I dir=C: Users\ Sams\ Desktop\ssl \ out32dll Where everything is kept 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第3贞·共9页 Rw瑞金科技 X509DER证书转换成为p12证书 certs=Sdir t Where the issued certs are kept rl dir= Sdir/crl Where the issued crl are kept database= Sdir/index. txt database index file new certs dir= Sdir/new certs default place for new certs certificate=Sdir/CA/OrbiXCA The CA certificate serial= Sdir/serial The current serial number crl= Sdir/crl pem the current crl private key= Sdir/CA/Orbix CA pk The private key RANDFILE- Sdir/.rand private random number file default days=365 #t how long to certify for default crl days= 30 how long before next CRL default md= md5 which message digest to use preserve= no keep passed DN ordering a few different ways of specifying how closely the request should t conform to the details of the ca policy= policy match For the ca policy [policy match country Name= matc state Or Province= match organization Name= match organizationalUnitName= optional ommonName= supplied emailAddress= optional For the anything policy At this point in time, you must list all acceptable object f typ an countryName= optional stateOr Name= optional organization Name= optional organizational UnitName optional olied emailAddress= optional q] default bits 1024 default keyfile= privke distinguished name req distinguished_name attributes req attributes [ req_ distinguished_ name Country Name(2 letter code country name min= 2 untry name max =2 state OrProvince Name= State or Province Name(full name locality Name Locality Name(eg, city) organization Name= Organization Name(eg, company organizationalUnitName Organizational Unit Name(eg, section commonName =Common Name(eg. YOUR name) common Name max=64 emailAddress= Email address emailAddress max= 40 reg attributes challengePassword =A challenge password challengepassword min= 4 challengePassword max=20 unstructuredName= an optional company name 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第4贞·共9页 Rw瑞金科技 X509DER证书转换成为p12证书 31.2微软CA的准备 在我的环境中使用的是基于AD的企业CA,安装于 Windows2008操作系统之上。具体 的安装配置过程略去。 32生成p12证书 321生成RSA密钥对 使用 openssl的如下命令生成RSA密钥对: C: >openssl genrsa-des3-out mykey key 1024 Loading screen' into random state-done Generating RSA private key, 1024 bit long modulus 十十十十十 ………"“1++++ unable to write random state eis65537(0x10001) Enter pass phrase for mykey.key:(输入用于DEs3加密的密码,无击键反馈回显) Verifying- Enter pass phrase for mykey key:(确认密码,无击键反馔冋显) 请牢记密码,后面每次调用该文件都会用到 查看RSA密钥对: C: >openssl rsa-noout-text -in mykey. key Enter pass phrase for mykey. key Private-Key: (1024 bit modulu 00:c5:7d:90:d8:a2:48:aa:e2:bc:2c:3C:4e:4e:49: a0:46:a1:0a:9d:34:ab:ac:a0:日2:ee:50:aa:37:a8 9:09:ca:3a:e0:87:fb:0b:30:b5:b0:83:4d:da:98 20:af:9e:3b:d5:33:9a:e9:f8:46:20:f4:6b:d4:15: 25:b5:dd:90:48:30:91:30:ef:e7:cc:58:cc:ca:fd 52:c6:e7:6d:53:85:e9:51:2a:d8:12:ed:b8:98:a3 a3: fa: 03: c2: aa: 08: da: db: c5: bd: a7: f0: 32: ae: 3f 58:11:c3:70:0c:1f:6b:43:16:65:2f:31:52:91:05: cd:27:04:da:7e:48:d7:a8:7d publicExponent: 65537(0X10001) privateExponent 00:a3:ce:75:d1:2a:32:2a:03:ac.de:e8:1a:6f:57 24:68:d0:f4:b3:d6:57:3a:f5:ab:a4:ce:25:91:cb 2c:52:b1:79:ca:79:1f:a2:75:81:8e:6a:2a:ae:50 96:73:f4:44:5e:9f:d2:33:94:e9:de:35:be:26:88 :e1:fc:67:c9:f3:b4:42:28:b6:58 aa:62:20:e2:e5:b8:99:0a:10:29:1e:67:5a:ff:d9 bf:95:55:ed:33:d4:76:5c:a8:b8:2e:8f:cb:76:55 e5:db:8b:26:69:3b:1d:ac:ff:3b:e1:17:fb:1e:9c: bb:93:d4:63:44:ff:97:79:81 prime 00:e9:51:7b:b0:37:1c:b8:33:11:a4:71:72:55:2c: 40:f9:20:1a:d3:5c:3f:93:b2:1f:33:9f:e3:0e:fe ba:72:45:ae:05:21:a2:eb:1d:ce:65:79:8d:77:74: 70:c1:b6:07:e2:c1:ed:09:6c:22:5c:25:b5:da:b5: 9f:05:2f:0e:61 prime 00:d8:b0:729e:b0:f1:13:65:91:2e:61:d6:6c:56 a3:88:3c:e0:a4:ac:d5:80:6b:5d:11:b2:b9:73:e1 3c:02:7e:66:0c:6d:66:4d:7d:2b:3b:b4:ec:fb:94 34:6f:29:59:ef:25:d1:03:2d:ff:ab:e8:b3:e4:89: c5:17:05:37:9d 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第5页·共9页 Rw瑞金科技 X509DER证书转换成为p12证书 exponent: 0e:60:2c:e4:d0:a0:7e:60:f7:27:50:ae:20:bd:57 4b:82:44:e4:dc:fc:35:d7:75:c0:b2:8b:44:f3:40 fd:a5:79:71:6b:7f:24:49:73:dc:20:bf:2c:ab:09 ff:85:7d:ba:e5:03:fb:de:a3:c7:55:b3:7c:c4:50 05:fb:be:41 exponent 0:c1:31:b8:4f:d2:54:6e:45:cd:06:3c:86:cf:bb 03:3c:91:82:7c:6f:f8:3e:f1:fa:5d:b0:2a:76:ad 7:32:55:fd:a8:30:d5:d8:5a:b3:f4:1c:e0:79:81 6e:aa:79:84:cc:9a:bb:da:88:e5:7e:21:10:5a:bf 96:b0:6a:9f:65 coefficient 2f:9e:93:f7:89:d5:70:31:78:94:d1:b2.66:50:ee a1:e4:d6:5e:b2:fb:e9:04:97:a5:35:b3:af:2c:ee 4f:66:e6:45:22:d9:58:88:01:d9:5d:7c:60:88:67 25:66:7d:cd:63:9a:bc:96:da:e1:f2:ec:1f:39:89: 9b:b0:20:03 322生成CSR证书请求 使用以下命令产生CSR证书请求: C:\ >openssl reg -new-key mykey key -out mycsr csr-config openss/. cnf Enter pass phrase for mykey. key:(输入密码,无击键反馈冋显) Loading screen' into random state-done You are about to be asked to enter information that will be incorporated into your certificate request What you are about to enter is what is called a distinguished Name or a dN. There are quite a few fields but you can leave some blank For some fields there will be a default value If you enter . the field will be left blank Country Name(2 letter code)[: CN State or Province Name(full name)[: SN Loca lity Name( eg, city)[: XIAN Organization Name(eg, company)d Organizational Unit Name(eg, section)[ Common name(eg. YOUR name)U:Sams(必填项 Email Address [ Please enter the following extra'attributes to be sent with your certificate request a challenge password l An optional company name 查看CSR内容 C:\>openssl req-noout-text-in mycsrcsr-config openssl cnf Certificate Request Data Version: 0(0xO Subject: C=CN, ST=SN, L=XIAN, CN=Sams Subject Public Key Info Public Key algorithm: rsa Encryption RSA Public Key: (1024 bit Modulus (1024 bit 00:c5:7d:90:d8:a2:48:aa:e2:bc:2c:3c:4e:4e:49: a0:46:a1:0a:9d:34:ab:ac:a0:e2:ee:50:aa:37:a8: d9:09:ca:3a:e0:87:fb:0b:30b5:b0:83:4d:da:98: 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第6贞·共9页 RAnkin m瑞金科技 X509DER证书转换成为p12证书 20:af:9e:3b:d5:33:9a:e9:f8:46:20:f4:6b:d4:15 25:b5:dd:9048:3091:30:ef:ez:Cc:58:cc:ca:fd 52:c6:e7:6d:53:85:e9:51:2a:d8:12:ed:b8:98:a3 a3: fa: 03: c2: aa: 08: da: db: c5: bd: a7: f0: 32: ae: 3f 58:11:c3:70:0c:1f:6b:43:1e:65:2f:31:52:91:05 cd:27:04:da:7e:48:d7:a8:7d Exponent: 65537(0x10001 Attribute 0:00 Signature Algorithm: sha 1 WithRSAEncryption a2:40:f1:e5:43:c4;2a:d1:6a:f4:ae:be:0c:d4:37:a3:52:95 56:57:0f:5c:b8:bc:ae:08:e3:94:ca:0a:0b:32:0a:7b:cf:19 3542:c2:2c:4b:c3:e4-b6:cb:96:46:d5:45:9b;4a:d2:0b:75 54:f8:d5:2a:ac:98:22:93:f7:ef;fb:67:dd:f9:20:e8:5c:ba 1982:a6:1f:e4:f0:0b:a5:83:6799:9e:d0:19:ca:b3:C75f ac:9a:90:b4:89:c2:6e:47:20:85:c6:22:c9:7b:ac:69:c8:2a 6b:85:d2:2:4e:ea:22:99:1b:ee:63:31:65:a8:12:b2:f5:d7: C/:C 323向微软CA申请证书 首先登陆微软CA的证书服务页面,选择申请证书: ②正书日+× 收醇其已·同试 试收实e[·君设道 mrw! euwe Dretary证书分 生··=-页面0·黄全的-工具们· 欢四使用 丰请个证书 用比网站为您的web浏览器、电了邮件客广端或其他程序申青证书,通过使用过书,您可以向通过Web‖择一个证书类型 进行通倍的用户确认您的身份、签名并加密邮件,并根运您申涛的证书类型执行其他安仝任务 白证书 您也可以使用此网站下数证书发机构A证书、证书链,或证书转CRL,或者直看注起申请的状 式老,交一个高级证书由请, 有关 Active Directory证书傲务的细信息,请参阅 Actve Rectory任书厦文档 击挂起的证韦申请的状态 下载CA证书,证书链或C烈 隔A本旭[nrue 5本地1art保护吸式早用·(120 点击“高级证书申请” Jx」 1=/A2:坚证书错误回×阿 灌夹建·网快讯犀 ary证书服务 合··四·页面)·安全G·工且0)· 高级证书中请 CA的策略决定您可以申请的证书类別。单击下列选项之一来 创建并回此CA提交一个请。 使出b3se61妈的CM亟RCS#10文件蔟交一个让书甲请或 base64 49B7 PKCS非/文件 续订证书申请, 选择“使用base64编码的CMC或者PKCS#10文件提交一个证书中请,或者使用base64 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第7贞·共9页 Rw瑞金科技 X509DER证书转换成为p12证书 编码的PKCS#7文件续订证书申请。” 至 t tire D 同13h9证误国中同B 收藏夹建网达,网面快讯定 合·,□·页面),安全)·工月们·留 提交一个i 雯提交一个保存的申请到CA,在“保存的申请”程中粘贴一个由外部源(Web服务生成的ba5e-64编码的CMC或PKCS#10证书审请 或PKCS#7续订由语 Ea一篇的 FNCS #1) 证书模板 □匚口匚能本地 Intranet「保护褸式:禁用盘·气75% 使用记事本打开前血生成的证书请求文件: 文件〕编辑)格式⑩)查看)帮助 -BEGIN CERTIFICATE REQUEST MIIBdzCB4QIBADA4MQswCQYDVQQGEw JDT jELMAkGAlUECBMCU04xDTALB NVBACT BFhJQUAxDTALBENVBAMTBFNhbXMvrgZ8wDQY JKoZIhvcNAQEBBQADgYOAM IGJAoGBAMV9kNii SKrivCw8Tk5JoEahCp00q6yg4u5Qqjeo20nkOuCH +wswtbCDTdqYIK+e O9UzmnRiDOa9QVJbXdkEgwkTDv58xYzMr 9UsbnbVOF6VEq2BLtuJi jo 2tvFvafwMq4/WBHDcAwfaOMeZS8xUpEFzScE2n5116h9AgMBAAGEADAN gkqhkiG 9wOBAQUFAAOBgQCiQPH1Q8Qq0WrOrr4M1DejUpVWVw9cuLyuCOOUygoLM gp7zxk1QsIsS8PktsuWRtVFnOrSCSVU+NUqrJgik/fv+2fd SDoXLozgqY f5PALpYNnmZ7Q Gcqzx1tsmpCOicJuRy CFxiLJe 6xpyCprhdIvluoimRvuYzFlqBKy9dfHw g==-----END CERTIFICATE REQUEST 请文件中的内容全部选中,复制,然后粘贴到证书申请面的PKCS#10申请Ⅸ域中 crolptt Active directory证书服务- odors Internet Explorer ②书是回+×阿B 收夹建的网站,阿快讯 n ;,An;wn 相-0ubp|个,,=,页面0),卖全,工具0, 操交一个证书申请或订申请 要提交一个保存的申请到CA,在“保存的申”框中粘贴一个彐外部源洳Web服务器)生成的bas-64的CM或pCs#10证书申请 成PKCs#7续订申请 佩存的申请 2twE7aEw a4/NE2Deata0MezsExUpEEzsc22n5 附加网佳 「「「本塊Intrωs保护頓式禁用·+8 地址:陕西·西安市高新区丈八一路1号汇鑫BC大厦B座708邮缤710065 电话:029-82221090传真:02982222250 第8贞·共9页

...展开详情
试读 12P cer 转成p12方法
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    一个资源只可评论一次,评论内容不能少于5个字
    gtkrockets 可以用是可用,但是时不时太贵了???
    2015-02-02
    回复
    img
    vinilla2009

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    cer 转成p12方法 50积分/C币 立即下载
    1/12
    cer 转成p12方法第1页
    cer 转成p12方法第2页
    cer 转成p12方法第3页
    cer 转成p12方法第4页

    试读已结束,剩余8页未读...

    50积分/C币 立即下载 >