基本介紹
介紹,與PFX檔案格式的關係,通常用法,
介紹
在密碼學中,PKCS #12定義了一種存檔檔案格式,用於實現存儲許多加密對象在一個單獨的檔案中。通常用它來打包一個私鑰及有關的 X.509 證書,或者打包信任鏈的全部項目。
一個 PKCS #12 檔案通常是被加密的,同時單獨存在(存檔檔案格式)。其被稱作"安全包裹"的內部存儲容器通常同時也被加密及單獨存在。一些安全包裹被預先定義用來存儲證書,私鑰以及證書吊銷列表。根據不同實現者的選擇,也可以使用一些安全包裹存儲其他任意數據。
PKCS #12 是 RSA 實驗室發布的公鑰密碼學標準之中的一員。
PKCS #12檔案擴展名為 ".p12 "或者 ".pfx"。
這些檔案可以通過使用OpenSSLpkcs12命令被創建、解析並讀出。
與PFX檔案格式的關係
PKCS #12 是微軟 PFX 檔案的替代者;然而,"PKCS #12 檔案" 和 "PFX 檔案" 這兩個詞有時被相互替代使用。
微軟的 "PFX" 因作為最複雜的密碼學協定之一而受到大量批評。
通常用法
完整的 PKCS #12 標準非常複雜。它使得大量的複雜對象(例如PKCS #8)可以深層次地嵌套。但在實際套用中通常只用來存儲一個私鑰以及與之有關的證書鏈。
PKCS #12 檔案通常使用OpenSSL來創建,OpenSSL 只支持在命令行界面使用單個私鑰。在 Java 8 之後,可以使用 Java 密鑰工具創建多個條目,但這很有可能不被其他系統所兼容。下一代的KMIP也將可以直接用來創建 PKCS #12 檔案。
對於 PKCS #12 來說,一個更簡單的替代方案是使用 PEM 格式,它僅僅列出證書,可能還有與之有關的私鑰,以Base 64字元串的形式存儲於一個純文本檔案中。
也可以使用GnuTLS證書工具(參數--to-pk12)來創建包含證書、密鑰、CA認證證書的 PKCS #12 檔案。然而,要注意與其他軟體的可交換性。如果源是通過 Base 64 處理過的字元串,則輸出也同樣應該使用 Base 64。
