編碼格式轉(zhuǎn)換

• PKCS#8 標(biāo)準(zhǔn)和指令
• Netscape 標(biāo)準(zhǔn)和指令

OpenSSL 有繁多復(fù)雜的文件編碼格式、證書格式和密鑰格式，要弄清楚 OpenSSL，了解眾多的編碼格式至關(guān)重要。

PKCS#8 標(biāo)準(zhǔn)和指令

PKCS#8 用于封裝私鑰和其它相關(guān)屬性信息。一般來(lái)說(shuō) PKCS#8 格式的私鑰都是被加密的（也可不加密），支持 PKCS #5 和 PKCS#12 定義的算法.。
PKCS#8 標(biāo)準(zhǔn)文件格式（加密的和非加密的）：

The encrypted form of a PEM encode PKCS#8 files uses the following headers and footers:-----BEGIN ENCRYPTED PRIVATE KEY----------END ENCRYPTED PRIVATE KEY-----The unencrypted form uses:-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----

這些標(biāo)識(shí)符中間就是 PEM 編碼的 PKCS#8 文件內(nèi)容。
pkcs8 指令格式如下：

OpenSSL> pkcs8 -help Usage: pkcs8 [options] Valid options are:-help Display this summary-inform PEM|DER Input format (DER or PEM)-outform PEM|DER Output format (DER or PEM)-in infile Input file-out outfile Output file-topk8 Output PKCS8 file將輸入的普通格式密鑰轉(zhuǎn)換為 PKCS#8 標(biāo)準(zhǔn)封裝的密鑰并輸出-noiter Use 1 as iteration count-nocrypt Use or expect unencrypted private key告訴指令其輸入和產(chǎn)生的私鑰將是不經(jīng)加密的私鑰信息結(jié)構(gòu)-rand val Load the file(s) into the random number generator-writerand outfile Write random data to the specified file-v2 val Use PKCS#5 v2.0 and cipher用于選擇 PKCS#5 v2.0 中的所有算法-v1 val Use PKCS#5 v1.5 and cipher用于選擇 PKCS#5 v1.5 或 PKCS#12 中的所有算法-v2prf val Set the PRF algorithm to use with PKCS#5 v2.0-iter +int Specify the iteration count-passin val Input file pass phrase source-passout val Output file pass phrase source-traditional use traditional format private key-engine val Use engine, possibly a hardware device-scrypt Use scrypt algorithm-scrypt_N val Set scrypt N parameter-scrypt_r val Set scrypt r parameter-scrypt_p val Set scrypt p parameter

一些例子：

# 將一個(gè)普通私鑰轉(zhuǎn)換為 PKCS#8 格式的密鑰 OpenSSL> pkcs8 -in key.pem -topk8 -out enkey.pem # 使用 PKCS#12 提供的算法進(jìn)行密鑰格式轉(zhuǎn)換（DES3 加密算法） OpenSSL> pkcs8 -in key.pem -topk8 -out enkey.pem -v1 PBE-SHA1-3DES # 將一個(gè) DER 格式的未加密的 PKCS#8 結(jié)構(gòu)的私鑰轉(zhuǎn)換成普通格式 OpenSSL> pkcs8 inform DER -nocrypt -in key.der -out key.pem

Netscape 標(biāo)準(zhǔn)和指令

為了方便一次性下載或傳輸多個(gè)數(shù)字證書，Netscape 提供了一種名為 Netscape 證書序列（Netscape Certificate Sequence）來(lái)封裝一系列證書（實(shí)際上，內(nèi)部以 PKCS#7 格式來(lái)封裝證書）。
nseq 指令的任務(wù)就是將普通的 X.509 證書封裝成 Netscape 證書序列，或者將 Netscape 證書序列轉(zhuǎn)換為 X.509 證書。
nseq 指令格式：

OpenSSL> nseq -help Usage: nseq [options] Valid options are:-help Display this summary-toseq Output NS Sequence file將一個(gè)或多個(gè) X.509 證書轉(zhuǎn)換為一個(gè) Netscape 證書序列-in infile Input file-out outfile Output file

示例：

# 從一個(gè) Netscape 證書序列得到普通證書 OpenSSL> nseq -in nseq.pem -out certs.pem # 從普通證書創(chuàng)建一個(gè) Netscape 證書序列 OpenSSL> nseq -in certs.pem -toseq -out nseq.pem

總結(jié)

以上是生活随笔為你收集整理的OpenSSL之十四：PKCS#8 和 Netscape的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。