数字证书格式.doc

数字证书格式 常见的数字证书格式　　　　cer后缀的证书文件有两种编码--DER二进制编码或者BASE64编码(也就是.pem) p7b一般是证书链，里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。在Security编程中，有几种典型的密码交换信息文件格式:　　DER-encoded certificate: .cer, .crt 　　PEM-encoded message: .pem 　　PKCS#12 Personal Information Exchange: .pfx, .p12 　　PKCS#10 Certification Request: .p10 　　PKCS#7 cert request response: .p7r 　　PKCS#7 binary message: .p7b 　　.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。 　　.pem跟crt/cer的区别是它以Ascii来表示。 　　pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式 　　p10是证书请求 　　p7r是CA对证书请求的回复，只用于导入 　　p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。其中，我介绍如何从p12/pfx文件中提取密钥对及其长度: 　　1，首先，读取pfx/p12文件（需要提供保护密码） 　　2，通过别名(Alias,注意，所有证书中的信息项都是通过Alias来提取的)提取你想要分析的证书链 　　3，再将其转换为一个以X509证书结构体 　　4，提取里面的项，如果那你的证书项放在第一位（单一证书），直接读取 x509Certs[0]（见下面的代码）这个X509Certificate对象 　　5，X509Certificate对象有很多方法，tain198127网友希望读取RSA密钥（公私钥）及其长度（见　/thread.shtml?topicId=43786forumId=55#reply），那真是太Easy了， 　　 X509Certificate keyPairCert = x509Certs[0]; 　　 int iKeySize = X509CertUtil.getCertificateKeyLength(keyPairCert);　　 System.out.println(证书密钥算法=+keyPairCert.getPublicKey().getAlgorithm()); 　　 System.out.println(证书密钥长度=+iKeySize); 　　提取了他所需要的信息。 X.509定义了两种证书：公钥证书和属性证书 　　 PKCS#7和PKCS#12使用的都是公钥证书 　　 PKCS＃7的SignedData的一种退化形式可以分发公钥证书和CRL 　　 一个SignedData可以包含多张公钥证书 　　 PKCS＃12可以包含公钥证书及其私钥，也可包含整个证书链 　　　　　　　　简介 　　Java自带的keytool工具是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥（以证书形式）。keytool 将密钥和证书储存在一个所谓的密钥仓库（keystore）中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。 Java KeyStore的类型 　　JKS和JCEKS是Java密钥库(KeyStore)的两种比较常见类型(我所知道的共有5种，JKS, JCEKS, PKCS12, BKS，UBER)。　　JKS的Provider是SUN，在每个版本的JDK中都有，JCEKS的Provider是SUNJCE，1.4后我们都能够直接使用它。 JCEKS在安全级别上要比JKS强，使用的Provider是JCEKS(推荐)，尤其在保护KeyStore中的私钥上（使用TripleDes）。 　　PKCS#12是公钥加密标准，它规定了可包含所有私钥、公钥和证书。其以二进制格式存储，也称为 PFX 文件，在　　windows中可以直接导入到密钥区，注意，PKCS#12的密钥库保护密码同时也用于保护Key。 　　BKS 来自BouncyCastle Provider，它使用的也是TripleDES来保护密钥库中的Key，它能够防止证书库被不小心修改（Keystore的keyentry改掉1个 bit都会产生错误），BKS能够跟JKS互操作，读者可以用Keytool去TryTry。U