.pfx 證書和 .cer 證書

證書系列：

1：.pfx 證書和 .cer 證書

2：導入pfx證書

 

通常情況下，作為文件形式存在的證書一般有三種格式：

• 第一種：帶有私鑰的證書，由Public Key Cryptography Standards #12，PKCS#12標准定義，包含了公鑰和私鑰的二進制格式的證書形式，以.pfx作為證書文件后綴名。
• 第二種：DER Encoded Binary (.cer)  二進制編碼的證書，證書中沒有私鑰，DER 編碼二進制格式的證書文件，以.cer作為證書文件后綴名。
• 第三種：Base64 Encoded(.cer)，Base64編碼的證書，證書中沒有私鑰，BASE64 編碼格式的證書文件，也是以.cer作為證書文件后綴名。

由定義可以看出，只有pfx格式的數字證書是包含有私鑰的，cer格式的數字證書里面只有公鑰沒有私鑰。

Cer證書只包含公鑰信息，如果客戶端與網站通信時需要用到私鑰（基本所有需要數字證書的網站都會用到私鑰），則cer證書是無法正常訪問網站的，網站會提示“該頁要求客戶證書”。由於cer證書只包含公鑰信息，一般只能用於解密使用（解密該公鑰對應的私鑰加密的數據）。在申請證書的機器上存儲了私鑰信息，因此，可以把CER證書導入為PFX證書，並可以把PFX證書導出，這樣其他機器就可以安裝PFX證書了。

Pfx證書既可以導出為pfx證書，也可以導出為cer證書。Pfx證書導出時，會提示是否導出私鑰，導出私鑰即pfx證書，不導出私鑰就是cer證書。如果選擇導出私鑰，出於安全性考慮，需要指定一個密碼來保護該私鑰，后續再次導入該pfx證書時，需要提供保護該私鑰密碼，才能在機器上安裝證書。

一，證書描述

證書發布之后，申請者可以看到證書的詳細內容，注意：申請者在下載cer證書之后，需要在申請證書的機器上導入證書，原因是申請證書的機器上包含密鑰。

證書給出了一個黃色的注意事項：您可能正在一個台計機器上下載證書，這台計算機與您請求證書的機器不同。但是，該證書僅在生成請求的機器上起作用。如果需要把證書安裝在另一台服務器上，請首先將其安裝在最初創建請求的機器上，然后使用其私鑰導出證書。 然后，在需要時，可以把其導入到目標計算機或多台計算機上的本地計算機存儲中。

由於申請證書的機器上存儲私鑰，因此，可以把CER證書導入為PFX證書，並可以把PFX證書導出，這樣其他機器就可以安裝PFX證書了。

二，導入證書

注意，第一次導入證書，只能把證書導入到申請證書的機器上。

step1：下載DER Encoded Binary (.cer)格式的證書

step2：打開Microsoft Management Console

點擊“Windows + R”，輸入mmc，打開MMC控制台。

step3：添加證書管理單元（snap-ins）

點擊MMC的File菜單，選擇“Add or Remove Snap-ins”，選擇Certificates，點擊“Add >”，選擇 computer account，

下一步選擇“Local computer: (the computer this consoled is running on)”，點擊Finish按鈕，

完成之后，在“Add or Remove Snap-ins”對話框上點擊OK，返回到MMC界面。

step4：導入證書

在Console Root列表種選擇"Certificates(Local Computer)"，右擊Personal，導航到 All Tasks -> Import，打開“Certificate Import Wizard”

點擊Next，進入到“File to Import”界面，在File name中打開已下載到本地的DER Encoded Binary (.cer)格式的證書

Step5，選擇證書存儲

點擊Next，進入到“Certificate Store”界面，選擇Place certificates in the following store，把Personal作為 certificate store。

通常導入PFX的證書，默認的證書存儲都是在Personal下，Cer證書只能導入導Other選項卡下，無法導入到Personal選項卡下。

Step6，檢查證書導入的配置

點擊Next，檢查證書的配置，點擊Finish完成證書的第一次導入：

三，導出.pfx證書

把.cer 證書導入到機器上之后，可以導出.pfx證書。在MMC的Certificates列表中，找到剛才導入的證書：

step1，打開"Certificate Export Wizard"

選中導入的證書，右擊彈出快捷菜單，導航 All Tasks-> Export，打開"Certificate Export Wizard"：

step2： 導出私鑰

私鑰是用密碼保護，如果想要把私鑰導出，那么必須用密碼來保護私鑰。默認是不會導出私鑰，但是如果需要在其他機器上安裝證書，那么就必須導出私鑰，勾選“Yes, export the private key”：

step3：設置導出文件的格式

把導出文件的格式設置為.PFX，在“Personal Information Exchange-PKCS #12 (.PFX)”中，勾選“Include all certificates in the certification path if possible” 和 “Enable certificate privacy”。

Step4：安全設置

為了保護私鑰， 可以把私鑰授權給特定的group或user，並使用密碼對私鑰進行加密，用戶只有同時獲得pfx文件和密碼，才可以獲得私鑰和證書。

Encryption列表中列出了對私鑰進行加密的兩種算法，選擇任意一個加密算法都可以：

如果導出私鑰（pfx)是需要輸入密碼的，這個密碼就是對私鑰再次加密，這樣就保證了私鑰的安全，別人即使拿到了你的證書備份（pfx)，如果不知道加密私鑰的密碼，那么無法導入證書。相反，如果只是導入/導出cer格式的證書，是不會提示你輸入密碼的。因為公鑰一般來說是對外公開的，不用加密。

Step5，設置導出的文件

把PFX文件導出到特定的文件中，需要設置pfx證書保存的文件名和路徑：

Step6：檢查證書導出向導的設置

 檢查無誤后，點擊Finish，導出pfx證書。

 

 

參考文檔：