作為文件形式存在的證書一般有這幾種格式:
1.帶有私鑰的證書
由Public Key Cryptography Standards #12,PKCS#12標准定義,包含了公鑰和私鑰的二進制格式的證書形式,以pfx作為證書文件后綴名。
2.二進制編碼的證書
證書中沒有私鑰,DER 編碼二進制格式的證書文件,以cer作為證書文件后綴名。
3.Base64編碼的證書
證書中沒有私鑰,BASE64 編碼格式的證書文件,也是以cer作為證書文件后綴名。
由定義可以看出,只有pfx格式的數字證書是包含有私鑰的,cer格式的數字證書里面只有公鑰沒有私鑰。
在pfx證書的導入過程中有一項是“標志此密鑰是可導出的。這將您在稍候備份或傳輸密鑰”。一般是不選中的,如果選中,別人就有機會備份你的密鑰了。如果是不選中,其實密鑰也導入了,只是不能再次被導出。這就保證了密鑰的安全。
如果導入過程中沒有選中這一項,做證書備份時“導出私鑰”這一項是灰色的,不能選。只能導出cer格式的公鑰。如果導入時選中該項,則在導出時“導出私鑰”這一項就是可選的。
如果要導出私鑰(pfx),是需要輸入密碼的,這個密碼就是對私鑰再次加密,這樣就保證了私鑰的安全,別人即使拿到了你的證書備份(pfx),不知道加密私鑰的密碼,也是無法導入證書的。相反,如果只是導入導出cer格式的證書,是不會提示你輸入密碼的。因為公鑰一般來說是對外公開的,不用加密
注:在linux系統 ,可以用這樣的命令
openssl pkcs12 -export -in my.cer -inkey my.key -out mycert.pfx
將cer文件和對應的私鑰 轉換為pfx 文件,但問題是,哪里得到my.key 文件
----------------------------------------------------
為什么要轉換為pfx,因為想用soapUI 測試某web service 是否可用,soapUI 需要pfx格式的文件
----------------------------------------------------
my.cer文件是從哪里來的? 是用https訪問某網站時 ,安裝的證書 。導出方法是:
備份瀏覽器證書打開IE瀏覽器的“工具”,選擇“Internet選項”,選擇“內容”選項卡,點擊“證書”按鈕。
打開證書管理器窗口,
在證書列表中,根據您的客戶號找到對應的證書。例如,我的客戶號是“06000000058”,
在列表中找到自己的證書,號碼是“06000000058.0000.0000”。選中該證書,然后選擇“導出”,
啟動證書導出向導,如下圖: 點擊“下一步”,系統提示是否將私鑰導出,選擇導出私鑰,點擊“下一步“
注意:請確定選擇將“是,導出私鑰”,否則您導出的證書將是不完整的(不含私鑰),無法正常使用。
選擇保存文件格式為“私人信息交換”,並根據需要選擇相應選項,然后點擊“下一步”:
系統將提示您輸入備份證書文件的保護口令(字母和數字的組合,無位數限制,我們統一推薦設成8位,
該口令在您恢復證書時必須使用,
----------------------------------------------------
按照上面的方法,在win 7 系統沒有 提示是否將私鑰導出 ,