根據不同的服務器以及服務器的版本,我們需要用到不同的證書格式,就市面上主流的服務器來說,大概有以下格式:
- .DER .CER,文件是二進制格式,只保存證書,不保存私鑰。
- .PEM,一般是文本格式,可保存證書,可保存私鑰。
- .CRT,可以是二進制格式,可以是文本格式,與 .DER 格式相同,不保存私鑰。
- .PFX .P12,二進制格式,同時包含證書和私鑰,一般有密碼保護。
- .JKS,二進制格式,同時包含證書和私鑰,一般有密碼保護。
DER
該格式是二進制文件內容,Java 和 Windows 服務器偏向於使用這種編碼格式。
OpenSSL 查看:
openssl x509 -in certificate.der -inform der -text -noout
轉換爲 PEM:
openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
PEM
Privacy Enhanced Mail,一般爲文本格式,以 -----BEGIN... 開頭,以 -----END... 結尾。中間的內容是 BASE64 編碼。這種格式可以保存證書和私鑰,有時我們也把PEM 格式的私鑰的後綴改爲 .key 以區別證書與私鑰。具體你可以看文件的內容。
這種格式常用於 Apache 和 Nginx 服務器。
OpenSSL 查看:
openssl x509 -in certificate.pem -text -noout
轉換爲 DER:
openssl x509 -in cert.crt -outform der -out cert.der
CRT
Certificate 的簡稱,有可能是 PEM 編碼格式,也有可能是 DER 編碼格式。如何查看請參考前兩種格式。
PFX
Predecessor of PKCS#12,這種格式是二進制格式,且證書和私鑰存在一個 PFX 文件中。一般用於 Windows 上的 IIS 服務器。改格式的文件一般會有一個密碼用於保證私鑰的安全。
OpenSSL 查看:
openssl pkcs12 -in for-iis.pfx
轉換爲 PEM:
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
JKS
Java Key Storage,很容易知道這是 JAVA 的專屬格式,利用 JAVA 的一個叫 keytool的工具可以進行格式轉換。一般用於 Tomcat 服務器。
你可以到這裏進行格式轉換:https://myssl.com/cert_convert.html
Refer to :https://blog.freessl.cn/