https://blog.csdn.net/luo15242208310/article/details/108195803

参考链接：der pem cer crt key pfx等概念及区别参考连接：Java 证书管理(keytool实例),jks\crt\cet\ketstore

编码格式X.509 - 当前最流行的证书标准，有以下两种编码格式.

PEM DER全称 Privacy Enhanced Mail Distinguished Encoding Rules存储方式 base64编码-----BEGIN XXX-----BhMCY24x…-----END XXX----- 二进制格式是否可读 可读 不可读存储内容 包括所有私钥（RSA 和 DSA）、公钥（RSA 和 DSA）和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据，用 ascii 报头包围，因此适合系统之间的文本模式传输 包含所有私钥、公钥和证书。它是大多数浏览器的缺省格式，并按 ASN1 DER 格式存储。它是无报头的，PEM 是用文本报头包围的 DER适用方向 Apache、Nginx Java、Windows服务器证书编码的转换

# PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der# DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

注：要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req…

证书相关的文件类型常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

类型 内容 编码crt 证书（不包括私钥） pem | dercer 证书（不包括私钥） pem | derkey 公钥或者私钥,并非X.509证书 pem | dercsr 证书签名请求（包含公钥） pem | derpfx/p12 PKCS#12,包含公钥和私钥的二进制格式证书PFX通常会有一个"提取密码" derp7b 以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥 jks Java Key Storage利用Java的keytool工具keypass: 指定别名条目的密码(私钥的密码)storepass: 指定密钥库的密码(获取keystore信息所需的密码) 证书格式转换一般来说，主流的Web服务软件，通常都基于OpenSSL和Java两种基础密码库。

格式 工具 平台KEY&CRT opensslxca（UI工具） Apache、Nginx等PFX opensslxcawindows自带证书库 微软Windows Server中的Internet Information Services（IIS）服务，使用Windows自带的证书库生成PFX格式的证书文件JKS keytoolkse(UI工具) Tomcat、Weblogic、JBoss等一般使用Java提供的密钥库，通过Keytool工具，生成Java Keystore（JKS）格式的证书文件KDB iKeyman IBM的Web服务产品，如：Websphere、IBM Http Server（IHS）等一般使用IBM产品自带的iKeyman工具，生成KDB格式的证书文件证书格式之间的转换如下图：

转换cert+key为pfx

openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx

pfx转换jks

keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS

转换jks为pfx

keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12

将pfx转换为pem/key/crt

# 提示你输入提取代码，server.pem就是可读的文本openssl pkcs12 -in server.pfx -nodes -out server.pemopenssl rsa -in server.pem -out server.keyopenssl x509 -in server.pem -out server.crt

转换key为pk8注：用于Netty SslContextBuilder中指定key文件（非加密）

openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt