向Trust Asia等SSL证书颁发机构申请得到证书后,从其下载得到的证书文件一般包含如下四个:
-
xxx_bundle.pem
-
xxx_bundle.crt
-
xxx.key
-
xxx.csr
首先看一下CA颁发证书的过程。
CA颁发证书过程
- 申请者使用自己的身份与公钥生成CSR文件(certificate signing request),请求CA给自己颁发用CA私钥签名过的证书;
- CA验证申请者身份;
- CA使用自己的私钥,对申请者的身份、公钥做摘要,并对摘要进行签名,附在身份、公钥之后,生成证书;
- 其他用户在与SSL证书拥有者通信时,使用CA的公钥验证证书上的签名是CA私钥签的,从而确定身份与公钥是发送者本人的,而非经过第三方修改。(中间人攻击)
pem文件
pem只是一种编码方式,在此xxx_bundle.pem是使用pem编码的证书文件,可使用file命令查看:
file xxx_bundle.pem
输出:
xxx_bundle.pem: PEM certificate
代表其是证书文件
crt文件
证书文件,此处其使用了pem格式,与_bundle.pem等效,file命令输出:
xxx_bundle.crt: PEM certificate
csr文件
如CA颁发证书过程 中描述,csr包含ssl证书拥有者身份与公钥等信息,用以向CA申请SSL证书。file命令输出:
xxx.csr: PEM certificate request
key文件
.key文件即可能是公钥也可能是私钥,公钥一般文件名中会有pub字样,此处为私钥:
file xxx.key
输出:
xxx.key: PEM RSA private key