一、支流的 SSL 证书格局
依据不同的服务器以及服务器的版本,咱们须要用到不同的证书格局,就市面上支流的服务器来说,大略有以下格局:
DER、CER,文件是二进制格局,只保留证书,不保留私钥。
PEM,个别是文本格式,可保留证书,可保留私钥。
CRT,能够是二进制格局,能够是文本格式,与 DER 格局雷同,不保留私钥。
PFX P12,二进制格局,同时蕴含证书和私钥,个别有密码保护。
JKS,二进制格局,同时蕴含证书和私钥,个别有密码保护。
二、各服务器平台应用的证书格局
Nginx:pem
Apache:pem
IIS:pfx/pkcs12
Tomcat:jks
三、各证书格局详解
3.1、DER
该格局是二进制文件内容,Java 和 Windows 服务器偏差于应用这种编码格局。
OpenSSL 查看
openssl x509 -in certificate.der -inform der -text -noout
转换为 PEM
openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
3.2、PEM
Privacy Enhanced Mail,个别为文本格式,以 —–BEGIN… 结尾,以 —–END… 结尾。两头的内容是 BASE64 编码。这种格局能够保留证书和私钥,有时咱们也把 PEM 格局的私钥的后缀改为 .key 以区别证书与私钥。具体你能够看文件的内容。
这种格局罕用于 Apache 和 Nginx 服务器。
OpenSSL 查看:
openssl x509 -in certificate.pem -text -noout
转换为 DER
openssl x509 -in cert.crt -outform der -out cert.der
3.3、CRT
Certificate 的简称,有可能是 PEM 编码格局,也有可能是 DER 编码格局。如何查看请参考前两种格局。
3.4、PFX
Predecessor of PKCS#12,这种格局是二进制格局,且证书和私钥存在一个 PFX 文件中。个别用于 Windows 上的 IIS 服务器。改格局的文件个别会有一个明码用于保障私钥的平安。
OpenSSL 查看:
openssl pkcs12 -in for-iis.pfx
转换为 PEM
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
3.4、JKS
Java Key Storage,很容易晓得这是 JAVA 的专属格局,利用 JAVA 的一个叫 keytool 的工具能够进行格局转换。个别用于 Tomcat 服务器。
参考链接:
https://sslhow.com/openssl-pk…