将.pem转换为.crt和.key

Question

谁能告诉我从.crt文件中提取/转换证书.key和私钥.pem文件的正确方法/命令？我刚读过它们是可以互换的，但不是如何。

C.B. · Accepted Answer

我能够使用这个将pem转换为crt：

openssl x509 -outform der -in your-cert.pem -out your-cert.crt

evergreen · Answer

使用OpenSSL转换

这些命令允许您将证书和密钥转换为不同的格式，以使它们与特定类型的服务器或软件兼容。

将DER文件（.crt .cer .der）转换为PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

将PEM文件转换为DER

openssl x509 -outform der -in certificate.pem -out certificate.der

将包含私钥和证书的PKCS＃12文件（.pfx .p12）转换为PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes You can add -nocerts to only output the private key or add -nokeys to only output the certificates.

将PEM证书文件和私钥转换为PKCS＃12（.pfx .p12）

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

将PEM转换为CRT（.CRT文件）

openssl x509 -outform der -in certificate.pem -out certificate.crt

OpenSSL转换PEM

将PEM转换为DER

openssl x509 -outform der -in certificate.pem -out certificate.der

将PEM转换为P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

将PEM转换为PFX

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

OpenSSL转换DER

将DER转换为PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

OpenSSL转换P7B

将P7B转换为PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

将P7B转换为PFX

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

OpenSSL转换PFX

将PFX转换为PEM

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

通过OpenSSL生成rsa密钥

在命令行上使用OpenSSL首先需要生成公钥和私钥，您应该使用-passout参数对此文件进行密码保护，此参数可以采用许多不同的形式，因此请参阅OpenSSL文档。
```
openssl genrsa -out private.pem 1024 
```
这将创建一个名为private.pem的密钥文件，该文件使用1024位。该文件实际上同时具有私钥和公钥，因此您应该从此文件中提取公共密钥：
```
openssl rsa -in private.pem -out public.pem -outform PEM -pubout or openssl rsa -in private.pem -pubout > public.pem or openssl rsa -in private.pem -pubout -out public.pem 
```
您现在将public.pem只包含您的公钥，您可以与第三方自由分享。您可以通过使用您的公钥自己加密某些内容然后使用您的私钥解密来测试所有内容，首先我们需要一些数据来加密：
示例文件：
```
echo 'too many secrets' > file.txt 
```
您现在在file.txt中有一些数据，让我们使用OpenSSL和公钥对其进行加密：
```
openssl rsautl -encrypt -inkey public.pem -pubin -in file.txt -out file.ssl 
```
这会创建一个加密版本的file.txt，称之为file.ssl，如果你看这个文件它只是二进制垃圾，对任何人都没什么用。现在您可以使用私钥解密它：
```
openssl rsautl -decrypt -inkey private.pem -in file.ssl -out decrypted.txt 
```
您现在将在decrypted.txt中有一个未加密的文件：
```
cat decrypted.txt |output -> too many secrets 
```

OpenSSL中的RSA TOOLS选项

名称

rsa - RSA密钥处理工具
_简介_

openssl rsa [-help] [-inform PEM | NET | DER] [-outform PEM | NET | DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-aes128] [ - aes192] [-aes256] [-camellia128] [-camellia192] [-camellia256] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-RSAPublicKey_in] [-RSAPublicKey_out] [-engine id]
_ description _

Rsa命令处理RSA密钥。它们可以在各种形式之间进行转换，并打印出它们的组件。请注意，此命令使用传统的SSLeay兼容格式进行私钥加密：较新的应用程序应使用pkcs8实用程序使用更安全的PKCS＃8格式。
命令选项
```
-help 
```
打印出使用信息。
```
-inform DER|NET|PEM 
```
这指定了输入格式。 DER选项使用与PKCS＃1 RSAPrivateKey或SubjectPublicKeyInfo格式兼容的ASN1 DER编码形式。 PEM表单是默认格式：它由DER格式base64编码，带有额外的页眉和页脚行。在输入PKCS＃8格式的私钥也被接受。 NET表单是一种格式，在NOTES部分中描述。
```
-outform DER|NET|PEM 
```
这指定了输出格式，这些选项与-inform选项具有相同的含义。
```
-in filename 
```
如果未指定此选项，则指定从标准输入读取键的输入文件名。如果密钥已加密，将提示密码短语。
```
-passin arg 
```
输入文件密码源。有关arg格式的更多信息，请参阅openssl中的PASS PHRASE ARGUMENTS部分。
```
-out filename 
```
如果未指定此选项，则指定要将密钥写入标准输出的输出文件名。如果设置了任何加密选项，则会提示输入密码短语。输出文件名不应与输入文件名相同。
```
-passout password 
```
输出文件密码源。有关arg格式的更多信息，请参阅openssl中的PASS PHRASE ARGUMENTS部分。
```
-aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea 
```
这些选项在输出之前使用指定的密码加密私钥。提示输入短语。如果未指定这些选项，则密钥将以纯文本格式写入。这意味着使用rsa实用程序读入没有加密选项的加密密钥可用于从密钥中删除密码短语，或者通过设置可用于添加或更改密码短语的加密选项。这些选项只能与PEM格式输出文件一起使用。
```
-text 
```
除了编码版本之外，还以纯文本打印出各种公钥或私钥组件。
```
-noout 
```
此选项可防止输出密钥的编码版本。
```
-modulus 
```
此选项打印出键的模数值。
```
-check 
```
此选项检查RSA私钥的一致性。
```
-pubin 
```
默认情况下，从输入文件中读取私钥：使用此选项可以读取公钥。
```
-pubout 
```
默认情况下输出私钥：使用此选项将输出公钥。如果输入是公钥，则会自动设置此选项。
```
-RSAPublicKey_in, -RSAPublicKey_out 
```
比如-pubin和-pubout，除了使用RSAPublicKey格式。
```
-engine id 
```
指定引擎（通过其唯一的id字符串）将导致rsa尝试获取指定引擎的功能引用，从而在需要时初始化它。然后将引擎设置为所有可用算法的默认值。
_ notes _

PEM私钥格式使用页眉和页脚行：
```
-----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- 
```
PEM公钥格式使用页眉和页脚行：
```
-----BEGIN PUBLIC KEY----- -----END PUBLIC KEY----- 
```
PEM RSAPublicKey格式使用页眉和页脚行：
```
-----BEGIN RSA PUBLIC KEY----- -----END RSA PUBLIC KEY----- 
```
NET表单是与旧的Netscape服务器和Microsoft IIS .key文件兼容的格式，它使用未加密的RC4进行加密。它不是很安全，因此只应在必要时使用。

某些较新版本的IIS在导出的.key文件中有其他数据。要在实用程序中使用它们，请使用二进制编辑器查看文件并查找字符串“private-key”，然后追溯到字节序列0x30,0x82（这是ASN1 SEQUENCE）。将此点上的所有数据复制到另一个文件，并使用-inform NET选项将其用作rsa实用程序的输入。

例子

要删除RSA私钥上的密码短语：
```
 openssl rsa -in key.pem -out keyout.pem 
```
使用三重DES加密私钥：
```
 openssl rsa -in key.pem -des3 -out keyout.pem 
```
要将私钥从PEM转换为DER格式：
```
 openssl rsa -in key.pem -outform DER -out keyout.der 
```
要将私钥的组件打印到标准输出：
```
 openssl rsa -in key.pem -text -noout 
```
要输出私钥的公共部分：
```
 openssl rsa -in key.pem -pubout -out pubkey.pem 
```
以RSAPublicKey格式输出私钥的公共部分：
```
 openssl rsa -in key.pem -RSAPublicKey_out -out pubkey.pem 
```

Highway of Life · Answer

要从pem文件中提取密钥和证书：

提取密钥

openssl pkey -in foo.pem -out foo.key

另一种提取密钥的方法......

openssl rsa -in foo.pem -out foo.key

提取所有证书，包括CA Chain

openssl crl2pkcs7 -nocrl -certfile foo.pem | openssl pkcs7 -print_certs -out foo.cert

将文本第一个证书提取为DER

openssl x509 -in foo.pem -outform DER -out first-cert.der