SSL证书笔记

文章目录

• • X509证书结构
  • 数字证书中主题(Subject)中字段的含义
  • 证书链
  • openssl生成多级证书
  • 其他网站ssl证书--导出，转换
  • 获取证书的指纹

X509证书结构

数字证书中主题(Subject)中字段的含义

转载：https://blog.csdn.net/baidu_36649389/article/details/78115638

一般的数字证书产品的主题通常含有如下字段：
公用名称 (Common Name) 简称：CN 字段，对于 SSL 证书，一般为网站域名或IP地址；而对于代码签名证书则为申请单位名称；而对于客户端证书则为证书申请者的姓名；
单位名称 (Organization Name) ：简称：O 字段，对于 SSL 证书，一般为网站域名；而对于代码签名证书则为申请单位名称；而对于客户端单位证书则为证书申请者所在单位名称；
证书申请单位所在地：
所在城市 (Locality) 简称：L 字段
所在省份 (State/Provice) 简称：S 字段
所在国家 (Country) 简称：C 字段，只能是国家字母缩写，如中国：CN
其他一些字段：
电子邮件 (Email) 简称：E 字段
多个姓名字段 简称：G 字段
介绍：Description 字段
电话号码：Phone 字段，格式要求 + 国家区号 城市区号 电话号码，如： +86 732 88888888
地址：STREET 字段
邮政编码：PostalCode 字段
显示其他内容 简称：OU 字段

证书链

转载：https://www.freebuf.com/column/207777.html

下面是我自己导出的百度的证书链pem文件头之前的内容

百度三级证书

ubject=C = CN, ST = beijing, L = beijing, OU = service operation department, O = "Beijing Baidu Netcom Science Technology Co., Ltd", CN = baidu.com

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign Organization Validation CA - SHA256 - G2

百度二级证书

subject=C = BE, O = GlobalSign nv-sa, CN = GlobalSign Organization Validation CA - SHA256 - G2

issuer=C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

百度根证书

subject=C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

issuer=C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

bat貌似都是用的GlobalSign CA

openssl生成多级证书

转载：https://www.cnblogs.com/lzpong/p/10450293.html

其他网站ssl证书–导出，转换

从浏览器设置-高级-管理证书 进去可看到证书信息，然后导出证书。
但是从这里打开的证书不是根证书，从url栏点击锁图标查看证书这个看到的才是证书链，点复制文件导出证书。
导出时，不导出私钥

p7b转pem格式

OpenSSL> pkcs7 -inform der -in alibaba.p7b -out alibaba_read.p7b
OpenSSL> pkcs7 -print_certs -in alibaba_read.p7b -out alibaba_readable.cer

Pem转crt

openssl x509 -outform der -in full_chain.pem -out your-cert.crt

Pem转cer

openssl x509 -outform der -in xxx.pem -out yyy.cer

获取证书的指纹

转载：https://blog.51cto.com/dashdotdash/1963485

openssl x509 -fingerprint -in cerfile.crt

若是报无法读取文件，那么极有可能是未指定格式，可尝试如下

openssl x509 -fingerprint -in cerfile.crt -inform PEM
openssl x509 -fingerprint -in cerfile.crt -inform DER

若是需要指定显示SHA1或者SHA256算法编码的指纹信息，则追加参数

openssl x509 -fingerprint -sha1 -in cerfile.crt
openssl x509 -fingerprint -sha256 -in cerfile.crt