将.der证书合并到.p12证书的方法步骤

        在介绍这个合并方式前我先说下这个业务场景，因为公司有一个跟IBM合作的项目，然而IBM那边是使用der类型的证书，我们公司是使用p12证书，所以就有了这样的一个需求。

PEM -Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头,"-----END..."结尾,内容是BASE64编码.

查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout

Apache和*NIX服务器偏向于使用这种编码格式.

 

DER -Distinguished Encoding Rules,打开看是二进制格式,不可读.

查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout

Java和Windows服务器偏向于使用这种编码格式.

PFX/P12 -predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码？

openssl pkcs12 -infor-iis.pfx -out for-iis.pem -nodes

这个时候会提示你输入提取代码.for-iis.pem就是可读的文本.

生成pfx的命令类似这样:openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key-in certificate.crt -certfile CACert.crt

其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库。

操作步骤如下：

1.  先将der证书换成pem证书

openssl x509 -in LongsysElectronics_2048_20221212.der -inform DER -out LongsysElectronics_2048_20221212.pem -outform PEM

 

2.  合并pem证书

cat LONGSYS.pem LongsysElectronics_2048_20221212.pem > TEST_LONGSYS_IBM.pem

 

3.  用合并之后的pem证书重新导出p12证书

openssl pkcs12 -export -out LONGSYS.p12 -passout pass:passw0rd -in TEST_LONGSYS_IBM.pem -passin pass:passw0rd -name "LONGSYS"

 

经过三个步骤之后就可以获取新的p12证书了。

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1.将der证书转成pem类型

openssl x509 -in LongsysElectronics_2048_20221212.der -inform der -out PEM_IBM.pem

2.将p12证书转成pem类型

openssl pkcs12 -in LONGSYS.p12 -out PEM_LONGSYS.pem -nodes

3.将pem证书转成p12证书

openssl pkcs12 -export -out LONGSYS.p12 -passout pass:123456 -in PEM_LONGSYS.pem -passin pass:123456 -name "LONGSYS" -certfile PEM_IBM.pem -caname "IBM"