今天做这么一个事， centos服务器，tomcat8+nginx1.6，现在要在上面运行cas4.0。 所以需要配ssl， 然后找教程，了解到，需要把tomcat和nginx的ssl都配置好。 到这里就晕了，tomcat配ssl需要一个.keystore文件，nginx则需要配一个.crt和一个.key的文件。 按照教程使用keytool生成了.keystore文件， 然后我需要通过.keystore导出一个.crt文件，但是找了好多教程只是导出.cer文件。 找来找去发现.crt和.cer是一个东西。 后来又找到了一个.pem的东西，好像和.crt,.cer也是一个东西。 然后我就凌乱了。 希望有高手能指点一下，SSL的公钥、私钥、证书都有些啥后缀？ 若能再指点一下tomcat8+nginx1.6上安装cas4.0，那就更好了。

证书(Certificate) - *.cer *.crt 私钥(Private Key) - *.key 证书签名请求(Certificate signing request) - *.csr

证书吊销列表(Certificate Revocation List) - *.crl

至于pem和der，是编码方式，以上三类均可以使用这两种编码方式， 因此*.pem和*.der(少见)不一定是以上三种(Cert,Key,CSR)中的某一种

*.pem - base64编码

*.der - 二进制编码

我把SSL系统比喻为工商局系统。

首先有SSL就有CA，certificate authority。证书局，用于制作、认证证书的第三方机构，我们假设营业执照非常难制作，就像身份证一样，需要有制证公司来提供，并且提供技术帮助工商局验证执照的真伪。

然后CA是可以有多个的，也就是可以有多个制证公司，但工商局就只有一个，它来说那个制证公司是可信的，那些是假的，需要打击。在SSL的世界中，微软、Google和Mozilla扮演了一部分这个角色。也就是说，IE、Chrome、Firefox中内置有一些CA，经过这些CA颁发，验证过的证书都是可以信的，否则就会提示你不安全。

这也是为什么前几天Chrome决定屏蔽CNNIC的CA时，CNNIC那么遗憾了。

也因为内置的CA是相对固定的，所以当你决定要新建网站时，就需要购买这些内置CA颁发的证书来让用户看到你的域名前面是绿色的，而不是红色。而这个最大的卖证书的公司就是VeriSign如果你听说过的话，当然它被卖给了Symantec，这家伙不只出Ghost，还是个卖证书的公司。

cer（windows中的叫法）

crt（linux中的叫法）

要开店的老板去申请营业执照的时候是需要交他的身份证的，然后办出来的营业执照上也会有他的照片和名字。身份证相当于私钥，营业执照就是证书【Ceritficate】，即 .cer文件（或.crt文件）。

然后关于私钥和公钥如何解释我没想好，而它们在数据加密层面，数据的流向是这样的：

公钥是可以随便扔给谁的，他把消息加了密传给我。 可以这样理解，我有一个箱子，一把锁和一把钥匙，我把箱子和开着的锁给别人，他写了信放箱子里，锁上，然后传递回我手上的途中谁都是打不开箱子的，只有我可以用原来的钥匙打开，这就是SSL，公钥，私钥传递加密消息的方式。这里的密钥就是key文件。于是我们就有了.cer和.key文件。（证书即公钥）

不同的语言、工具序列SSL相关文件的格式和扩展名是不一样的。

其中Java系喜欢用keystore、truststore来干活。 你看它的名字，Store，仓库，它里面存放着key和信任的CA，key和CA可以有多个。

这里的truststore就像你自己电脑的证书管理器一样，如果你打开Chrome的设置，找到HTTP SSL，就可以看到里面有很多CA，truststore就是干这个活儿的，它也里面也是存一个或多个CA让Tomcat或Java程序来调用。

而keystore就是用来存密钥文件key的，可以存放多个。

然后是PEM，它是由RFC1421至1424定义的一种数据格式。其实前面的.cert和.key文件都是PEM格式的，只不过在有些系统中（比如Windows）会根据扩展名不同而做不同的事。

所以当你看到.pem文件时，它里面的内容可能是Ceritficate也可能是key，也可能两个都有，要看具体情况。可以通过openssl查看。

参考自：SSL中，公钥、私钥、证书的后缀名都是些啥？ - 知乎