ssl - 将 SSL 证书转换为 .pem 格式

Question

大家好，我对所有这些 openSSL 和 PEM 东西有点陌生，所以我想问问你们这里的人。例如，我有一个像这样的文本(X509)格式的证书

Certificate:

Data:

    Version: 3 (0x2)

    Serial Number:

        1f:19:f6:de:35:dd:63:a1:42:91:8a:d5:2c:c0:ab:12

    Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption

    Issuer: "CN=Thawte SGC CA,O=Thawte Consulting (Pty) Ltd.,C=ZA"

    Validity:

        Not Before: Fri Dec 18 00:00:00 2009

        Not After : Sun Dec 18 23:59:59 2011

    Subject: "CN=mail.google.com,O=Google Inc,L=Mountain View,ST=Californ

        ia,C=US"
    ............................................
    ............................................

如何将其转换为 .pem 文件供 openssl 理解，以便我可以验证证书？任何想法/帮助/建议将不胜感激。非常感谢大家。

问候哈里

Answer 1

如果您只有文本形式的证书(希望包含公钥模数和指数以及签名的详细信息)，您将不得不重建 ASN.1 结构及其 DER 格式(PEM表示是 DER 形式的 base-64 编码)。

您还必须重建证书中准确的扩展名列表。我知道的大多数文本形式(例如，openssl x509 -text 的输出或浏览器的显示工具)都会根据规范将扩展的 OID 和值转换为更易于阅读的格式描述这些扩展，如果这些工具的开发者知道的话。

系统地以相反的顺序执行此操作或多或少意味着阅读大量描述潜在扩展的规范，并找出这些工具产生的人类可读文本所代表的内容。 PKIX RFC是这些规范之一，它不会是一件容易阅读的事情，特别是如果您是该领域的新手。

除此之外，您可能无法按照与实际证书中完全相同的顺序形成 ASN.1 结构。如果您希望能够验证证书的签名，则需要能够重建准确的二进制结构。

在一般情况下，我认为不太可能成功。

编辑:考虑到您所说的，您似乎正在使用 LibNSS 的 certutil:

尝试:

certutil -L -r -n "the-cert-nickname" -d . | openssl x509 -inform DER -outform PEM