HTTP详解（十一）：数字证书那些事

HTTP（十一）：数字证书那些事

其实这一段时间一直在酝酿这写一些关于数字证书的知识。但是这一块的知识真的是比较杂，因为现在互联网上的证书种类非常的多，压根就没有一个统一的标准。真是公说公有理，婆说婆有理！

在写这一块之前，咱们先回顾一下前面说的知识。数字证书的存在，主要是用于验证服务器或者客户端。

SSL主要支持单向认证和双向认证这两种验证方式。

那么，证书认证主要是认证哪些东西嘞？

说到这里，咱们得回顾一下证书的内容格式了。前面我说过，证书的种类非常多，非常杂。但是大部分证书的内容格式都遵循一种证书格式-X.509 V3,这也算是一种好消息了。

那好，我们来看一下X.509证书的内容格式

其实，说白了就是证书包含：个人身份信息以及公钥。

---

说完了证书的内容格式，我们来说一下证书的分类。证书的分类按照不同的角度可以划分成不同的分类。

按照证书的技术角度去分类：可以分为SSL证书和SET证书。SSL证书主要是服务于银行和企业间对接或者企业和企业之间对接。

SET证书服务于网上购物的。

按照申请分类：个人身份证书、企业或者机构身份证书、支付网关证书、服务器证书、企业或机构代码签名证书、安全电子邮件证书

、个人代码签名证书

---

数字证书的文件格式主要有以下几种：

PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL、OCSP、SCEP、P12等。

在这里，我们重点介绍一下以下几种证书：

CER证书/CRT证书/PEM证书/KEY证书：

这一类证书为Base64编码的格式。内容格式如下：

使用PEM格式存储的证书：

—–BEGIN CERTIFICATE—–

—–END CERTIFICATE—–

使用PEM格式存储的私钥：

—–BEGIN RSA PRIVATE KEY—–

—–END RSA PRIVATE KEY—–

使用PEM格式存储的证书请求文件：

—–BEGIN CERTIFICATE REQUEST—–

—–END CERTIFICATE REQUEST—–

上图！

DER证书：文件后缀名.der,它和CER证书的不同在于编码格式的不同。

PFX证书/P12证书：它们是一种公钥加密标准#12（PKCS#12）证书，它可以包含公钥、私钥和证书。它是一种加密文件。你可以把它们理解成一个仓库，仓库里面放了公钥、私钥和证书，但是这个仓库是个上了锁的。你要想查看证书，必须先有这个仓库的钥匙才能打开这个仓库。

JKS证书：它是一种Java Key Store文件，主要是针对于Java API操作的一种文件。它和P12文件一样，也是一种加密文件。可以理解成“KEY+CRT文件格式”。

---

我觉得有必要和大家说一说上面几种证书的特点：

*.DER *.CER:这种证书文件是二进制格式的，只含有证书文件和公钥。

*.CRT:这种证书文件可以是二进制格式的，也可以是文本格式的，功能和*.DER *.CER相同。

*.PEM :可以放证书、私钥和公钥。

*.PFX *.P12 是二进制格式，同时含证书和私钥，一般有密码保护。