證書系列:
1:.pfx 證書和 .cer 證書
2:導入pfx證書
通常情況下,作為檔案形式存在的證書一般有三種格式:
第一種:帶有私鑰的證書,由public key cryptography standards #12,pkcs#12标準定義,包含了公鑰和私鑰的二進制格式的證書形式,以.pfx作為證書檔案字尾名。
第二種:der encoded binary (.cer) 二進制編碼的證書,證書中沒有私鑰,der 編碼二進制格式的證書檔案,以.cer作為證書檔案字尾名。
第三種:base64 encoded(.cer),base64編碼的證書,證書中沒有私鑰,base64 編碼格式的證書檔案,也是以.cer作為證書檔案字尾名。
由定義可以看出,隻有pfx格式的數字證書是包含有私鑰的,cer格式的數字證書裡面隻有公鑰沒有私鑰。
cer證書隻包含公鑰資訊,如果用戶端與網站通信時需要用到私鑰(基本所有需要數字證書的網站都會用到私鑰),則cer證書是無法正常通路網站的,網站會提示“該頁要求客戶證書”。由于cer證書隻包含公鑰資訊,一般隻能用于解密使用(解密該公鑰對應的私鑰加密的資料)。在申請證書的機器上存儲了私鑰資訊,是以,可以把cer證書導入為pfx證書,并可以把pfx證書導出,這樣其他機器就可以安裝pfx證書了。
pfx證書既可以導出為pfx證書,也可以導出為cer證書。pfx證書導出時,會提示是否導出私鑰,導出私鑰即pfx證書,不導出私鑰就是cer證書。如果選擇導出私鑰,出于安全性考慮,需要指定一個密碼來保護該私鑰,後續再次導入該pfx證書時,需要提供保護該私鑰密碼,才能在機器上安裝證書。
證書釋出之後,申請者可以看到證書的詳細内容,注意:申請者在下載下傳cer證書之後,需要在申請證書的機器上導入證書,原因是申請證書的機器上包含密鑰。
證書給出了一個黃色的注意事項:您可能正在一個台計機器上下載下傳證書,這台計算機與您請求證書的機器不同。但是,該證書僅在生成請求的機器上起作用。如果需要把證書安裝在另一台伺服器上,請首先将其安裝在最初建立請求的機器上,然後使用其私鑰導出證書。 然後,在需要時,可以把其導入到目标計算機或多台計算機上的本地計算機存儲中。
由于申請證書的機器上存儲私鑰,是以,可以把cer證書導入為pfx證書,并可以把pfx證書導出,這樣其他機器就可以安裝pfx證書了。
注意,第一次導入證書,隻能把證書導入到申請證書的機器上。
step1:下載下傳der encoded binary (.cer)格式的證書
step2:打開microsoft management console
點選“windows + r”,輸入mmc,打開mmc控制台。
step3:添加證書管理單元(snap-ins)
點選mmc的file菜單,選擇“add or remove snap-ins”,選擇certificates,點選“add >”,選擇 computer account,
下一步選擇“local computer: (the computer this consoled is running on)”,點選finish按鈕,
完成之後,在“add or remove snap-ins”對話框上點選ok,傳回到mmc界面。
step4:導入證書
在console root清單種選擇"certificates(local computer)",右擊personal,導航到 all tasks -> import,打開“certificate import wizard”
點選next,進入到“file to import”界面,在file name中打開已下載下傳到本地的der encoded binary (.cer)格式的證書
step5,選擇證書存儲
點選next,進入到“certificate store”界面,選擇place certificates in the following store,把personal作為 certificate store。
通常導入pfx的證書,預設的證書存儲都是在personal下,cer證書隻能導入導other頁籤下,無法導入到personal頁籤下。
step6,檢查證書導入的配置
點選next,檢查證書的配置,點選finish完成證書的第一次導入:
把.cer 證書導入到機器上之後,可以導出.pfx證書。在mmc的certificates清單中,找到剛才導入的證書:
step1,打開"certificate export wizard"
選中導入的證書,右擊彈出快捷菜單,導航 all tasks-> export,打開"certificate export wizard":
step2: 導出私鑰
私鑰是用密碼保護,如果想要把私鑰導出,那麼必須用密碼來保護私鑰。預設是不會導出私鑰,但是如果需要在其他機器上安裝證書,那麼就必須導出私鑰,勾選“yes, export the private key”:
step3:設定導出檔案的格式
把導出檔案的格式設定為.pfx,在“personal information exchange-pkcs #12 (.pfx)”中,勾選“include all certificates in the certification path if possible” 和 “enable certificate privacy”。
step4:安全設定
為了保護私鑰, 可以把私鑰授權給特定的group或user,并使用密碼對私鑰進行加密,使用者隻有同時獲得pfx檔案和密碼,才可以獲得私鑰和證書。
encryption清單中列出了對私鑰進行加密的兩種算法,選擇任意一個加密算法都可以:
如果導出私鑰(pfx)是需要輸入密碼的,這個密碼就是對私鑰再次加密,這樣就保證了私鑰的安全,别人即使拿到了你的證書備份(pfx),如果不知道加密私鑰的密碼,那麼無法導入證書。相反,如果隻是導入/導出cer格式的證書,是不會提示你輸入密碼的。因為公鑰一般來說是對外公開的,不用加密。
step5,設定導出的檔案
把pfx檔案導出到特定的檔案中,需要設定pfx證書儲存的檔案名和路徑:
step6:檢查證書導出向導的設定
檢查無誤後,點選finish,導出pfx證書。