PKCS

KCS#12证书

PKCS#12 证书不同于X.509证书,它可以包含一个或多个证书,并且还可以包含证书对应的私钥。PKCS#12的私钥是经过加密的,密钥由用户提供的口令产生。所以,无论在使用PKCS#12证书的时候一般会要用用户输入密钥口令。

PKCS#12证书文件在Windwos平台和Mozzila中支持的后缀名是p12或者pfx,如果要在IE或者Mozzila 中正确使用自己的证书,那么一般来说都要求转换成包含公钥和私钥的PKCS#12证书忖入到相关软件中。

PKCS#7

PKCS#7可以封装一个或多个X.509证书或者PKCS#6证书(PKCS#6是一种证书格式,但是并不经常使用)、相关证书链上的CA证书,并且可以包含CRL信息。PKCS#7不包含私钥信息。PKCS#7可以将验证证书需要的整个证书上的证书都包含进来,从而方便证书的发布和正确使用。这样就可以直接把PKCS#7证书发给验证方验证,免去了把以上的验证内容一个一个发给接书方的烦琐了。

PKCS#7文件在Windows平台的合法后缀名是p7b。

PKCS#8

PKCS#8标准是一个非常简单的标准,它主要用于封装私钥和其他相关的属性信息。一般来说,PKCS#8格式的私钥都是被加密的,支持PKCS#5和PKCS#12标准定义的算法,当然,私钥也可以不加密。PKCS#8标准一方面可以增强私钥的安全性,另一方面也为用户提供了一种简单的确立信任关系的方式,这主要是基于私钥特别名称和最高层可信者的权威公钥等属性信息。

OpenSSL提供的经过PEM编码的PKCS#8标准的文件,分为加密和非加密的两种方式。加密的PKCS#8密钥标识如下:

    ——BEGIN ENCRYPTED PRIVATE KEY——
    ——END ENCRYPTED PRIVATE KEY——
    非加密的PKCS#8密钥标识如下:
    ——BEGIN PRIVATE KEY——
    ——END PRIVATE KEY——