莆田网站建设咨询,亚马逊关键词工具哪个最准,wordpress资源类主题,电脑版网页游戏原文同时发布于本人个人博客#xff1a; https://kutank.com/blog/cert-pfx/ 章节目录
PFX 简介PFX 格式解析 2.1 最外层结构 2.2 AuthenticatedSafe 结构 参考 https://tools.ietf.org/html/rfc7292. PFX 简介##
以下引用自维基百科 在密码学中#xff0c;PKCS #12 定义了… 原文同时发布于本人个人博客 https://kutank.com/blog/cert-pfx/ 章节目录
PFX 简介PFX 格式解析 2.1 最外层结构 2.2 AuthenticatedSafe 结构 参考 https://tools.ietf.org/html/rfc7292. PFX 简介##
以下引用自维基百科 在密码学中PKCS #12 定义了一种存档文件格式用于实现存储许多加密对象在一个单独的文件中。通常用它来打包一个私钥及有关的 X.509 证书或者打包信任链的全部项目。 一个 PKCS #12 文件通常是被加密的同时单独存在存档文件格式。其被称作安全包裹的内部存储容器通常同时也被加密及单独存在。一些安全包裹被预先定义用来存储证书私钥以及证书吊销列表。根据不同实现者的选择也可以使用一些安全包裹存储其他任意数据。 PKCS #12 是 RSA 实验室发布的公钥密码学标准之中的一员。 PKCS #12 文件扩展名为 .p12 或者 “.pfx”。 PFX 格式解析##
个人建议在阅读文章时, 配合一个 PFX 文件会更加直观. 使用openssl 生成一个 PFX:
// 生成 RSA Key pair
openssl genrsa 2048 private.pem
// 使用 RSA Key pair 生成的私钥创建一个 X509 证书
openssl req -x509 -new -key private.pem -out public.pem
// 将我们上述两步生成的证书和私钥打包近 PFX 文件中
openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx如果你尝试使用一个普通的文本编辑器打开该文件, 你会发现它的内容是这样的: 建议在线 ASN.1解析器阅读文件内容: https://lapo.it/asn1js/
PFX 文件的内容实际上是 ASN.1 编码的数据. 更准确的说是 DER 编码方式的 ASN.1. 它的整个文件内容就是一个 ASN.1 数据, 下面我们来看看它这个数据格式如何.
最外层结构
PFX 文件中整个 ASN.1 结构是由一层一层 ASN.1 结果嵌套而成, 我们首先看一下最外层结构,然后一步步深入.
RFC 7292 中给出的定义如下:
PFX :: SEQUENCE {version INTEGER {v3(3)}(v3,...),authSafe ContentInfo,macData MacData OPTIONAL
}version: 对于当前版本的 PFX 文件, 该版本号应该为 3(INTEGER). 当然, 随着 PFX 格式的更新, 这个数值会在不同的定义中给出其他可选值.authSafe: 它的类型为 ContentInfo, 该类型定义在 PKCS#7 规范中, 这里我们先不展开介绍. 在此处, 它的作用是用来存储数据或者带有签名的数据. 在 PFX 中, 该 ContentInfo 中会包含一个 AuthenticatedSafe 类型的数据结构. 我们后边再详细介绍.macData: 它是一个可选的字段. 该字段只在第二个字段 authSafe 中数据被使用密码方式进行签名的使用才会出现, 用来存储使用密码进行签名的相关数据: MAC值 (Message Authentication Code), macSalt, iterationCount, 用来对 PFX 文件进行完整性检查.
MacData 的 RFC7292 中给出的定义如下:
MacData :: SEQUENCE {mac DigestInfo,macSalt OCTET STRING,iterations INTEGER DEFAULT 1-- Note: The default is for historical reasons and its-- use is deprecated.
}下面, 我们再深入的解析一下 authSafe 字段的结构.
AuthenticatedSafe 结构
上文中, 我们说 authSafe 字段的类型是 ContentInfo. 这里, 我们先看一下 ContentInfo 的结构. RFC 2315 中给出的定义如下: ContentInfo :: SEQUENCE {contentType ContentType,content[0] EXPLICIT ANY DEFINED BY contentType OPTIONAL }contentType: 用来指明 content 字段中数据的类型. 它是一个 Object Identifier. 它的可选值为: data, signedData, envelopedData, signedAndEnvelopedData, digestedData, encryptedData. 在 PFX 中合法的类型只有两个: data, signedData.content: 用来存储该字段实际保存的数据, 具体数据意义取决于 contentType. 在 PFX 中, 该字段直接或者间接的包含一个 AuthenticatedSafe 结构.
下面我们看一下 AuthenticatedSafe 结构. RFC7292 给出的定义如下:
AuthenticatedSafe :: SEQUENCE OF ContentInfo-- Data if unencrypted-- EncryptedData if password-encrypted-- EnvelopedData if public key-encryptedAuthenticatedSafe 字段会包含一系列 ContentInfo 结构. 这些 ContentInfo 的 content 字段又会包含明文或者加密的 SafeContents 结构. 而 SafeContents 结构中由一系列 SafeBag 结构构成. SafeBag 存储了数据信息,如 Key, Certificate, CRL 等. 而具体存储哪种信息, 由 SafeBag 的 bagId 指明.
SafeContents :: SEQUENCE OF SafeBagSafeBag :: SEQUENCE {bagId BAG-TYPE.id ({PKCS12BagSet})bagValue [0] EXPLICIT BAG-TYPE.Type({PKCS12BagSet}{bagId}),bagAttributes SET OF PKCS12Attribute OPTIONAL
}PKCS12BagSet BAG-TYPE :: {keyBag |pkcs8ShroudedKeyBag |certBag |crlBag |secretBag |safeContentsBag,... -- For future extensions
}// 对于可选字段 bagAttributes, 这里不展开介绍, 感兴趣的同学可以参考 RFC.RFC7292 中规定了六中可选的 SafeBag 类型:
bagtypes OBJECT IDENTIFIER :: {pkcs-12 10 1}BAG-TYPE :: TYPE-IDENTIFIERkeyBag BAG-TYPE ::{KeyBag IDENTIFIED BY {bagtypes 1}}
pkcs8ShroudedKeyBag BAG-TYPE ::{PKCS8ShroudedKeyBag IDENTIFIED BY {bagtypes 2}}
certBag BAG-TYPE ::{CertBag IDENTIFIED BY {bagtypes 3}}
crlBag BAG-TYPE ::{CRLBag IDENTIFIED BY {bagtypes 4}}
secretBag BAG-TYPE ::{SecretBag IDENTIFIED BY {bagtypes 5}}
safeContentsBag BAG-TYPE ::{SafeContents IDENTIFIED BY {bagtypes 6}}下面我们再深入的看一下这六中 SafeBag.
KeyBag: 该类型中包含一个私钥. KeyBag :: PrivateKeyInfoPKCS8ShroudedKeyBag: 该类型中包含一个 PKCS#8 格式的私钥. PKCS8ShroudedKeyBag :: EncryptedPrivateKeyInfoCertBag: 该类型包含一个特定类型的证书.CertBag :: SEQUENCE {certId BAG-TYPE.id ({CertTypes}),certValue [0] EXPLICIT BAG-TYPE.Type ({CertTypes}{certId})
}x509Certificate BAG-TYPE ::{OCTET STRING IDENTIFIED BY {certTypes 1}}-- DER-encoded X.509 certificate stored in OCTET STRINGsdsiCertificate BAG-TYPE ::{IA5String IDENTIFIED BY {certTypes 2}}-- Base64-encoded SDSI certificate stored in IA5StringCertTypes BAG-TYPE :: {x509Certificate |sdsiCertificate,... -- For future extensions
}CRLBag: 该类型包含了一个特定类型的 CRL(Certificate Revocation List).CRLBag :: SEQUENCE {crlId BAG-TYPE.id ({CRLTypes}),crlValue [0] EXPLICIT BAG-TYPE.Type ({CRLTypes}{crlId})
}x509CRL BAG-TYPE ::{OCTET STRING IDENTIFIED BY {crlTypes 1}}-- DER-encoded X.509 CRL stored in OCTET STRINGCRLTypes BAG-TYPE :: {x509CRL,... -- For future extensions
}SecretBag: 该类型包含了一个用户个人的密钥(secret), 具体密钥的意义取决于 secretTypeId 字段的值.SecretBag :: SEQUENCE {secretTypeId BAG-TYPE.id ({SecretTypes}),secretValue [0] EXPLICIT BAG-TYPE.Type ({SecretTypes}{secretTypeId})
}SecretTypes BAG-TYPE :: {... -- For future extensions
}SafeContents: 该类型中可以包含任一上述的五种类型. 由此类型可以递归嵌套 SafeContents.
至此, 一个PFX文件的结构就大体明了了.
