本文介绍 SSL 证书相关标准、格式及转换命令。

证书标准

X.509 是密码学中公钥证书的格式标准，主要定义了证书中应该包含哪些内容，如：公钥、身份信息（比如网络主机名，组织的名称或个体名称等）和签名信息（可以是证书签发机构 CA 的签名，也可以是自签名），可以参考 RFC5280。

编码格式

同样的 X.509 证书可能有不同的编码格式，目前有以下两种编码格式：

• PEM：Privacy Enhanced Mail，以 -----BEGIN... 开头、-----END... 结尾的文本格式，内容为 BASE64 编码。Apache 和 Nginx 服务器偏向于使用这种编码格式。
• DER：Distinguished Encoding Rules，二进制格式（不可读），Java 和 Windows 服务器偏向于使用这种编码格式。

证书格式

• PEM
PEM 编码格式证书，通常用于数字证书认证机构（Certificate Authorities，CA）。可保存证书，也可保存私钥，有时也将 PEM 格式的私钥后缀修改为 .key 以区别证书和私钥。
  OpenSSL 查看命令：openssl x509 -in certificate.pem -text -noout

• DER
DER 编码格式证书，所有类型的认证证书和私钥都可以存储为 DER 格式。只保存证书，不保存私钥。
  OpenSSL 查看命令：openssl x509 -in certificate.der -inform der -text -noout

• KEY
  通常用来存放一个公钥或者私钥，并非 X.509 证书，编码可能是 PEM，也可能是 DER。
  OpenSSL 查看命令：openssl rsa -in mykey.key -text -noout
  如果是 DER 格式：openssl rsa -in mykey.key -text -noout -inform der

• CER
  可能是 PEM 编码，也可能是 DER 编码，大多数应该是 DER 编码。常见于Windows系统。

• CRT
  Certificate 的简称，可能是 PEM 编码，也可能是 DER 编码，大多数应该是 PEM 编码。常见于 *NIX 系统。与 DER 相同不保存私钥。

• CSR
  这不是证书，可以简单理解成公钥，生成证书时要把这个提交给权威的证书颁发机构。其核心内容是一个公钥(当然还附带了一些别的信息)，在生成这个申请的时候,同时也会生成一个私钥。
  OpenSSL 查看命令：openssl req -noout -text -in my.csr（如果是 DER 格式需要加上 -inform der）

• PKCS#7/P7B
  (1) 只能存储认证证书或证书路径中的证书（就是存储认证证书链，本级，上级，到根级都存到一个文件中）,不能存储私钥。
  (2) 文件扩展名：.p7b 或 .p7c。
  (3) 内容：以 -----BEGIN PKCS7----- 开头，以 -----END PKCS7----- 结尾，中间内容为 BASE64 编码。
  (4) 使用场景：Windows 或 Tomcat。

• PKCS#12/PFX
  (1) Predecessor of PKCS#12，同时包含证书和私钥，一般有密码保护。
  (2) 内容：二进制格式。
  (3) 使用场景：一般用于 Windows 上的 IIS 服务器。
  (4) OpenSSL 查看命令：openssl pkcs12 -in for-iis.pfx
  参考：Public Key Cryptographic Standards

• JKS
  (1) Java Key Storage，Java 专属格式，同时包含证书和私钥，一般有密码保护。可以使用 keytool 工具进行格式转换。
  (2) 内容：二进制格式。
  (3) 使用场景：一般用于 Tomcat 服务器。

证书生成命令

• PEM：openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem
• PFX：openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
• CSR：openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr

证书转换命令

方法：使用 OpenSSL 命令行工具在不同证书格式之间转换。

• PEM > DER：openssl x509 -outform der -in certificate.pem -out certificate.der
• PEM > P7B：openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
• PEM > PFX：openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
• DER > PEM：openssl x509 -inform der -in certificate.cer -out certificate.pem
• P7B > PEM：openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
• PFX > PEM：openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
  注意：PFX 转 PEM 后 certificate.cer 文件包含认证证书和私钥，需要把它们分开存储才能使用。