工作中我相信你一定會遇到處理數字證書的時候。各種平臺，各種語言，它們採用的證書格式與標準都不相同，多多少少存在一些差異。實際上證書仍然是那個證書，只是格式發生了變化。

1. 公私鑰 分開儲存
2. 公私鑰合併為一個檔案
3. 有些採用二進位制檔案
4. 有些事二進位制檔案做了BASE64編碼
5. 有些證書做了簽名
6. 有些證書加入了密碼
7. 不同組織有不同的編碼。例如微軟喜歡使用 x509

下面內容節節選自《Netkiller Cryptography 手札》 接下來幾天我們將討論金鑰證書相關話題。

文章出處: http://www.netkiller.cn/cryptography/index.html

7.7. 證書轉換

PKCS 全稱是 Public-Key Cryptography Standards ，是由 RSA 實驗室與其它安全系統開發商為促進公鑰密碼的發展而制訂的一系列標準，PKCS 目前共釋出過 15 個標準。 常用的有： PKCS#7 Cryptographic Message Syntax Standard PKCS#10 Certification Request Standard PKCS#12 Personal Information Exchange Syntax Standard X.509是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際標準。 PKCS#7 常用的字尾是： .P7B .P7C .SPC PKCS#12 常用的字尾有： .P12 .PFX X.509 DER 編碼(ASCII)的字尾是： .DER .CER .CRT X.509 PAM 編碼(Base64)的字尾是： .PEM .CER .CRT .cer/.crt是用於存放證書，它是2進位制形式存放的，不含私鑰。 .pem跟crt/cer的區別是它以Ascii來表示。 pfx/p12用於存放個人證書/私鑰，他通常包含保護密碼，2進位制方式 p10是證書請求 p7r是CA對證書請求的回覆，只用於匯入 p7b以樹狀展示證書鏈(certificate chain)，同時也支援單個證書，不含私鑰。

7.7.1. CA證書

用openssl建立CA證書的RSA金鑰(PEM格式)：

openssl genrsa -des3 -out ca.key 1024			

7.7.2. 建立CA證書有效期為一年

用openssl建立CA證書(PEM格式,假如有效期為一年)：

openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf			

openssl是可以生成DER格式的CA證書的，最好用IE將PEM格式的CA證書轉換成DER格式的CA證書。

7.7.3. x509轉換為pfx

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt			
 

7.7.4. PEM格式的ca.key轉換為Microsoft可以識別的pvk格式

pvk -in ca.key -out ca.pvk -nocrypt -topvk			

7.7.5. PKCS#12 到 PEM 的轉換

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
驗證
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem			

7.7.6. 從 PFX 格式檔案中提取私鑰格式檔案 (.key)

openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key			
 

7.7.7. 轉換 pem 到到 spc

openssl crl2pkcs7 -nocrl -certfile venus.pem  -outform DER -out venus.spc			

用 -outform -inform 指定 DER 還是 PAM 格式。例如：

openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER			

7.7.8. PEM 到 PKCS#12 的轉換

openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem			

IIS 證書

cd c:openssl
set OPENSSL_CONF=openssl.cnf
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt			

server.key和server.crt檔案是Apache的證書檔案，生成的server.pfx用於匯入IIS

7.7.9. How to Convert PFX Certificate to PEM Format for SOAP

$ openssl pkcs12 -in test.pfx -out client.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:			

7.7.10. DER檔案（.crt .cer .der）轉為PEM格式檔案

轉換DER檔案(一般字尾名是.crt .cer .der的檔案)到PEM檔案
openssl x509 -inform der -in certificate.cer -out certificate.pem
轉換PEM檔案到DER檔案
openssl x509 -outform der -in certificate.pem -out certificate.der