做项目时在阿里云上申请的证书，下载Nginx对应的证书时，发现有两个文件一个以.key结尾，一个以.pem结尾，而自定义生成证书时，发现有三种后缀名所以想要弄清楚这几种文件的区别，故搜索了相关资料。

总得来说这些文件都与X.509证书和密钥文件有关，从文件编码上分，只有两大类：

而CRT, CER，KEY这几种证书和密钥文件，在存储为物理文件时，既可以是PEM格式，也可以DER格式。

打个比方：CER，CRT，KEY相当于论文，说明书等，有规定好的行文格式与规范，而PEM和DER相当于txt格式还是word格式。

假设有一个baidu.crt文件， 这个crt文件的实际格式其实是pem, 有一个der格式的文件baidu.der想要看到这两个文件的实际内容，可以使用命令

两者文件的转化，使用命令

我们生成一个RSA的公钥和密钥对

该命令生成了一个 私钥公钥对，也就是说rsa_private.key这个文件同时包含了私钥和公钥，很多文章对这里有误解 我们是可以从该文件中，提取出公钥的

现在我们有公钥和私钥了，怎么加密解密？？？ 先生成一个测试文件：

对该文件进行加密：

既然是非对称加密，那我们尝试下用私钥加密，用公钥解密。 这里需要注意的是，私钥加密在openssl中对应的是-sign这个选项，公钥解密对应的是-verify这个选项，如下：

ok，以上大概介绍了公钥和私钥，那现在有一个问题： 公钥是公开分发的，那当你拿到一个公司（个人）的公钥之后，怎么确定这个公钥就是那个公司（个人）的？？？而不是一个别人篡改之后的公钥？？而且公钥上没有任何的附加信息，标记当前公钥的所属的实体，相关信息等。

为了解决这个问题，人们引入了如下两个概念： （1）证书：公钥信息 + 额外的其他信息（比如所属的实体，采用的加密解密算法等）= 证书。证书文件的扩展名一般为crt。 （2）CA：证书认证中心；拿到一个证书之后，得先去找CA验证下，拿到的证书是否是一个“真”的证书，而不是一个篡改后的证书。如果确认证书没有问题，那么从证书中拿到公钥之后，就可以与对方进行安全的通信了，基于非对称加密机制。CA自身的分发及安全保证，一般是通过一些权威的渠道进行的，比如操作系统会内置一些官方的CA、浏览器也会内置一些CA

ok，那接下来的问题： 我想给自己，给公司、给我的某个服务器申请一个证书，该怎么搞？？？ 公钥私钥对可以在自己的本地通过相关的工具（如openssl、ssh_keygen）产生，那公钥怎么包装成一个证书，并且要在CA那边“注册”一下，不然，别人拿到你的证书之后，去CA那边验证不过，会认为是一个不可信证书。

(1)先生成一个秘钥对

(2)基于该私钥我们生成一个CSR（证书签名请求）

(3)将该CSR文件发给CA，“注册一下”，当然了这个过程是收费的，要钱的。这里，我们把自己当作一个CA，自己给自己注册一下，当然了，产生的证书是没人认可的。

其实这个过程就是自定义生成SSL证书的过程。

1.SSL中，公钥、私钥、证书(pem、crt、cer、key、csr)的后缀名都是些啥 2.关于PEM, DER, CRT, CER，KEY等各类证书与密钥文件后缀的解释 3.证书相关：rsa、crt文件、key文件、csr文件

本文来自博客园，作者：rachel_zh，转载请注明原文链接：https://www.cnblogs.com/rachel-zh/p/16956086.html