CA证书后缀文件的说明和使用p12生成pem证书

一、CA证书的几种文件扩展名说明

对于 X.509 标准的证书有两种不同编码格式,一般采用 PEM 编码就以 .pem 作为文件扩展名,若采用 DER 编码，就应以 .der 作为扩展名。但常见的证书扩展名还包括 .crt、.cer、.p12 等，他们采用的编码格式可能不同，内容也有所差别，但大多数都能互相转换，总结如下：

.pem: 采用 PEM 编码格式的 X.509 证书的文件扩展名；

.der : 采用 DER 编码格式的 X.509 证书的文件扩展名；

.crt : 即 certificate 的缩写，常见于类 UNIX 系统，有可能是 PEM 编码，也有可能是 DER 编码，但绝大多数情况下此格式证书都是采用 PEM 编码；

.cer: 也是 certificate 的缩写，常见于 Windows 系统，同样地，可能是 PEM 编码，也可能是 DER 编码，但绝大多数情况下此格式证书都是采用 DER 编码

.p12: 也写作 .pfx，全称：PKCS #12，是公钥加密标准（Public Key Cryptography Standards，PKCS）系列的一种，它定义了描述个人信息交换语法（Personal Information Exchange Syntax）的标准，可以用来将包含了公钥的 X.509 证书和证书对应的私钥以及其他相关信息打包，进行交换。简单理解：一份.p12文件 =  X.509证书 + 私钥；

.csr: Certificate Signing Request 的缩写，即证书签名请求，它并不是证书的格式，而是用于向权威证书颁发机构（Certificate Authority, CA）获得签名证书的申请，其核心内容包含一个 RSA 公钥和其他附带信息，在生成这个 .csr 申请的时候，同时也会生成一个配对 RSA 私钥，私钥通常需要严格保存于服务端，不能外泄。

.key: 通常用来存放一个 RSA 公钥或者私钥，它并非 X.509 证书格式，编码同样可能是 PEM，也可能是 DER，查看方式如下：

PEM 编码格式：openssl rsa -in xxx.key -text -noout

DER 编码格式：openssl rsa -in xxx.key -text -noout -inform der

二、证书生成与转换

打开终端，敲入命令即可转换

1、p12生成证书

    openssl pkcs12 -clcerts -nokeys -out apple_cert.pem -in apple_cert.p12

2、将p12格式证书文件转换成.pem格式证书文件

    openssl pkcs12  -in  xxx.p12  -out  xxx.pem  -nodes

3、p12导出key，这时需要输入p12的导出密码

    openssl pkcs12 -nocerts -nodes -out apple.key -in apple_cert.p12

    利用key导出公私钥（存在rsa和ecc算法两种）：

        导出rsa公私钥

        openssl rsa -in apple.key -out apple_rsa_pri.pem

        openssl rsa -in apple.key -pubout -out apple_rsa_pub.pem

        导出ecc公私钥

        openssl ec -in apple.key -out apple_ec_pri.pem

        openssl ec -in apple.key -pubout -out apple_ec_pub.pem

    一般服务端只需要证书和私钥，所以拼接即可：

    cat apple_cert.pem apple_rsa_pri.pem >magic-dev.pem

    或者

    cat apple_cert.pem apple_ec_pri.pem >magic-dev.pem

参考链接：

https://blog.csdn.net/ququ_123/article/details/79863800

https://www.jianshu.com/p/ef06507269c0