想换个ssl证书格式如何操作？

了解认识SSL证书文件，才能更好的去安装SSL证书，对于初次配置SSL证书的朋友可能有疑问，SSL证书文件里的几个文件有什么含义，SSL证书格式又是什么，如何去区别呢？

如何判断证书文件是文本格式还是二进制格式？您可以使用以下方法简单区分带有后缀扩展名的证书文件：

*.DER或*.CER文件： 这样的证书文件是二进制格式，只含有证书信息，不包含私钥。

*.CRT文件： 这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与 *.DER及*.CER证书文件相同。

*.PEM文件： 这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。 *.PEM 文件如果只包含私钥，一般用*.KEY文件代替。

*.PFX或*.P12文件： 这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。

您也可以使用记事本直接打开证书文件。如果显示的是规则的数字字母，例如：

—–BEGIN CERTIFICATE—– MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh…… —–END CERTIFICATE—–

那么，该证书文件是文本格式的。

如果存在——BEGIN CERTIFICATE——，则说明这是一个证书文件。

如果存在—–BEGIN RSA PRIVATE KEY—–，则说明这是一个私钥文件。

证书格式转换，常用的SSL证书格式如下几种：

在SSL证书源文件中你会发现有很多格式。不同的web服务器对于证书的格式是有要求的，接下来也带大家了解下不同格式的证书文件。

PEM：- Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.上述一般证书文件 ，中间证书和根证书，证书文件很多都是pem格式的。Apache和NIgnix服务器偏向于使用这种编码格式.

DER：这种格式也是常见的证书格式，跟pem类似，中间证书和根证书，证书文件很多都是DER的，Java和Windows服务器偏向于使用这种编码格式。

JKS ：jks是Java密钥库(KeyStore)比较常见的一种格式。一般可用通过cer或者pem格式的证书以及私钥的进行转化为jks格式，有密码保护。所以它是带有私钥的证书文件，一般用户tomcat环境的安装。

PFX：pfx格式的证书也是由cer或者pem格式的证书文件以及私钥转化而来，所以该证书文件也是带有私钥的证书文件，一般用于iis环境的证书安装。

您可使用以下方式实现证书格式之间的转换：

将JKS格式证书转换成PFX格式您可以使用JDK中自带的Keytool工具，将JKS格式证书文件转换成PFX格式。例如，您可以执行以下命令将server.jks证书文件转换成server.pfx证书文件：

keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12

将PFX格式证书转换为JKS格式您可以使用JDK中自带的Keytool工具，将PFX格式证书文件转换成JKS格式。例如，您可以执行以下命令将server.pfx证书文件转换成server.jks证书文件：

keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS

将PEM/KEY/CRT格式证书转换为PFX格式您可以使用OpenSSL工具，将KEY格式密钥文件和CRT格式公钥文件转换成PFX格式证书文件。例如，将您的KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）拷贝至OpenSSL工具安装目录，使用OpenSSL工具执行以下命令将证书转换成server.pfx证书文件：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

将PFX转换为PEM/KEY/CRT

您可以使用OpenSSL工具，将PFX格式证书文件转化为KEY格式密钥文件和CRT格式公钥文件。例如，将您的PFX格式证书文件拷贝至OpenSSL安装目录，使用OpenSSL工具执行以下命令将证书转换成server.pem证书文件KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）：

openssl pkcs12 -in server.pfx -nodes -out server.pem

openssl rsa -in server.pem -out server.key

openssl x509 -in server.pem -out server.crt

【说明】此转换步骤是专用于通过Keytool工具生成私钥和CSR申请证书文件的，并且通过此方法您可以在获取到PEM格式证书公钥的情况下分离私钥。在您实际部署数字证书时，请使用通过此转换步骤分离出来的私钥和您申请得到的公钥证书匹配进行部署。