SSL證書格式主要是公鑰證書格式標(biāo)準(zhǔn)X.PEM和DER定義在509中、PKCS中定義PKCS#7和PKCS#12、Tomcat專用JKS。SSL證書的常見格式及轉(zhuǎn)化方法如下：

常見的SSL證書格式

DER：DistinguishedencodingRules縮寫，二進(jìn)制編碼的證書格式，相當(dāng)于PEM格式的二進(jìn)制版本，證書后綴有：.DER.CER.CRT，Java平臺(tái)主要用于Java平臺(tái)

PEM:PrivacyEnhancedMail的縮寫，Base64編碼的證書格式，是將Base64二進(jìn)制版本編碼后，以“—–BEGIN開頭，“……”—–END結(jié)尾。證書的后綴有：.PEM.CER.CRT，主要用于Apache和Nginx。

PKCS#7:PKCS（Public-KeyCryptographyStandards）PKCS標(biāo)準(zhǔn)中的PKCS#7（CryptographicMessageSyntaxStandard）。它不包含私鑰，單獨(dú)存儲(chǔ)證書鏈和用戶證書。證書后綴如下：.P7B.P7C.SPC，主要用于Tomcat和Windowsserver。

PKCS#12：PKCS（Public-KeyCryptographyStandards）PKCS#12標(biāo)準(zhǔn)PKCS#（PersonalInformationExchangeSyntaxStandard）。它包含私鑰、證書鏈、用戶證書和密碼。證書后綴有：.P12.PFX，主要用于Windowsserver。

JKS:JavaKeyStore縮寫，包含私鑰、證書鏈、用戶證書，并設(shè)置密碼。證書后綴為.jks。主要用于Tomcat。

SSL證書格式轉(zhuǎn)換方法

Webtrust認(rèn)證的CA機(jī)構(gòu)頒發(fā)的證書通常只提供PEM格式或PKCS#7格式。如果需要其他證書格式，可以使用以下常用方法進(jìn)行格式轉(zhuǎn)換。

使用OpenSSL、Keytool轉(zhuǎn)化

1．pem轉(zhuǎn)換pfx

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

2．pem轉(zhuǎn)換jks

openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

3．pfx轉(zhuǎn)換pem

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

4．pfx轉(zhuǎn)換jks

keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456

5．jks轉(zhuǎn)換pem

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456

openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes

6．jks轉(zhuǎn)化pfx

keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456SSL