SSL 证书格式详解与转换

一般来说，主流的 Web 服务软件，通常都基于 OpenSSL 和 Java 两种基础密码库。

Tomcat、Weblogic、JBoss 等 Web 服务软件，一般使用 Java 提供的密码库。通过 Java Development Kit （JDK）工具包中的 Keytool 工具，生成 Java Keystore（JKS）格式的证书文件。
Apache、Nginx 等 Web 服务软件，一般使用 OpenSSL 工具提供的密码库，生成 PEM、KEY、CRT 等格式的证书文件。
IBM 的 Web 服务产品，如 Websphere、IBM Http Server（IHS）等，一般使用 IBM 产品自带的 iKeyman 工具，生成 KDB 格式的证书文件。
微软 Windows Server 中的 Internet Information Services（IIS）服务，使用 Windows 自带的证书库生成 PFX 格式的证书文件。

判断证书文件是文本格式还是二进制格式

*.DER 或 *.CER 文件：这样的证书文件是二进制格式，只含有证书信息，不包含私钥。
*.CRT 文件：这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与 *.DER 及 *.CER 证书文件相同。
*.PEM 文件：这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。 *.PEM 文件如果只包含私钥，一般用 *.KEY 文件代替。
*.PFX 或 *.P12 文件：这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。

也可以使用记事本直接打开证书文件。如果显示的是规则的数字字母，例如：

—–BEGIN CERTIFICATE—–
MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......
—–END CERTIFICATE—–

那么，该证书文件是文本格式的。

如果存在——BEGIN CERTIFICATE——，则说明这是一个证书文件。
如果存在—–BEGIN RSA PRIVATE KEY—–，则说明这是一个私钥文件。

证书格式转换

以下证书格式之间是可以互相转换的。

可使用以下方式实现证书格式之间的转换：

1. 将 JKS 格式证书转换成 PFX 格式

使用 JDK 中自带的 Keytool 工具，将 JKS 格式证书文件转换成 PFX 格式。

例如，可以执行以下命令将 server.jks 证书文件转换成 server.pfx 证书文件：

keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12

2. 将 PFX 格式证书转换为 JKS 格式

使用 JDK 中自带的 Keytool 工具，将 PFX 格式证书文件转换成 JKS 格式。

例如，可以执行以下命令将 server.pfx 证书文件转换成 server.jks 证书文件：

keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS

3. 将 PEM/KEY/CRT 格式证书转换为 PFX 格式

可以使用 OpenSSL 工具，将 KEY 格式密钥文件和 CRT 格式公钥文件转换成 PFX 格式证书文件。

例如，将 KEY 格式密钥文件 server.key 和 CRT 格式公钥文件 server.crt 拷贝至 OpenSSL 工具安装目录，使用 OpenSSL 工具执行以下命令将证书转换成 server.pfx 证书文件：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

4. 将 PFX 转换为 PEM/KEY/CRT

可以使用 OpenSSL 工具，将 PFX 格式证书文件转化为 KEY 格式密钥文件和 CRT 格式公钥文件。

例如，将 PFX 格式证书文件拷贝至 OpenSSL 安装目录，使用 OpenSSL 工具执行以下命令将证书转换成 server.pem 证书文件、KEY 格式密钥文件 server.key 和 CRT 格式公钥文件 server.crt

openssl pkcs12 -in server.pfx -nodes -out server.pem
openssl rsa -in server.pem -out server.key
openssl x509 -in server.pem -out server.crt

此转换步骤是专用于通过 Keytool 工具生成私钥和 CSR 申请证书文件的，并且通过此方法可以在获取到 PEM 格式证书公钥的情况下分离私钥。在实际部署数字证书时，请使用通过此转换步骤分离出来的私钥和申请得到的公钥证书匹配进行部署。

5. 将 CRT 转换为 JKS,Tomcat 用

openssl pkcs12 -export -out tomcat.jks -in xxx.crt -inkey xxx.key

6. 将 CRT 转换为 PEM

openssl x509 -in pve-ssl.crt -out pve-ssl.pem -outform PEM

参考文章 http://www.ttlsa.com/safe/ssl-certificate-format-and-conversion/

白话 HTTPS

最近研究了一番 https 的知识，总结如下，为了更好的让零基础用户理解，下面用最直白的话描述，可能不够严谨，但能帮助理解。水平有限，不足之处，还请高手多多指点！在早期，客户端（这里指浏览器）和服务器之间（这里指 http 服务器）传输数据是明文传输的，这就是 http 协议。这有个缺点，任何人都可以通过抓包拦截网 ..

nginx 配置 https 重定向

配置 HTTPS 重定向我们建议您安装从 HTTP 到 HTTPS 的重定向。这样，您的网站访问者将只能访问您网站的安全版本。为此，您需要在配置文件中添加一行，其中包含端口 80 的服务器块。尖端： *您可以使用以下命令之一来查找现在启用的配置文件： sudo nginx -T | grep -iw 'confi ..

Pipe 通过 Frp 暴露公网，并开启 https

[图片] 前言因为家里移动宽带，所以之前 pipe 一直在内网玩，公司通过 zerotier 组网远程访问，后来有时候要将文章分享给朋友，就各种麻烦，想想还是弄一下其他的穿透吧，这里就分享下我的 frp 穿透方案。博客地址： https://blog.itfun.top 大体思路 http 方式的话，还是蛮简单的， ..

openssl 生成 https 证书

PEM 证书是一种常见的数字证书格式，常用于 Web 服务器和其他网络应用程序中。它是基于 Base64 编码的 ASCII 文本格式，包含公钥、私钥、证书链等信息，并通常以 .pem 扩展名保存。要在 Ubuntu 上创建 PEM 证书，您可以使用 OpenSSL 工具。以下是创建 PEM 证书的步骤： 1. 创建 ..

HTTPS 详解

hello，大家好，欢迎来到银之庭。我是 Z，一个普通的程序员。今天我们来聊聊 HTTPS 协议。 1.HTTPS 简介任何一种技术都是为了解决某些问题存在的，HTTPS 也一样，它是为了解决 HTTP 协议的一些问题而被创造出来的，我们先来看看 HTTP 存在的问题。 1.1 HTTP 协议的问题内容明文传输，容 ..

关于 SiYuan v3.1.12 后默认自动清理超过 180 天快照的调查

目前思源加入了自动的快照清理功能，触发时机如下：手动触发同步每 24 小时执行一次默认的配置是保留 180 天内的快照，每天保留两份。在启动、退出时的同步不会触发，但是 30s 的自动同步会触发。我个人不喜欢这个设计，因此以下的描述可能会有偏颇。不喜欢的原因如下：清理功能是自动的且没有开关默认开启，这导致假 ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于