| 序号 | 格式 | 文件后缀 | 是否明文 | 典型用途 |
|---|---|---|---|---|
| 1 | PEM | .pem .crt .cer |
是 | Linux/Nginx/Apache,文本可读,最通用 |
| 2 | DER | .der .cer |
否 | 部分设备/Java 容器,二进制编码 |
| 3 | PKCS#12(PFX) | .pfx .p12 |
否 | Windows/IIS、部分负载均衡设备,内含证书+私钥+链 |
| 4 | PKCS#1 | .key |
是 | 传统 RSA 私钥格式 |
| 5 | PKCS#8 | .key |
是/加密 | 新式私钥统一封装,部分组件必须使用 |

nginx格式证书转iis格式(pfx),需要环境 openssl .win系统安装了cmder,就自带这个环境
首先要有nginx格式证书,要有pem和key文件,解压到一个目录,cmder切换到这个目录下
cmder中输入 openssl 回车
按照下面输入转换格式 pkcs12 -export \
> -out test.pfx \
> -inkey test.key \
> -in test.pem
按照提示输入密码,确认密码 .请牢记密码,安装证书导入证书要使用 .
Enter Export Password:
Verifying – Enter Export Password:
对应目录就出现pfx文件.
补充:
PEM 证书 + 私钥 转 PFX(给 Windows / IIS 用)
openssl pkcs12 -export -inkey domain.key -in domain.crt -certfile ca_bundle.crt -out domain.pfx
PFX 转回 PEM(拆出证书与私钥)
当只拿到一个 .pfx 文件,需要给 Nginx/Apache 使用时,可以先拆成 PEM:
openssl pkcs12 -in domain.pfx -nodes -out all.pem
解释:
-in domain.pfx:输入 PFX 文件。-nodes:不对导出的私钥再次加密,以 明文 PEM 形式写入文件(注意权限)。-out all.pem:输出文件all.pem,里面包含:私钥、站点证书、中间证书等。
之后可以手工拆分:
- 使用文本编辑器将
-----BEGIN PRIVATE KEY-----到-----END PRIVATE KEY-----之间保存为domain.key。 - 将
-----BEGIN CERTIFICATE-----段拆为站点证书和中间证书,根据业务需要分文件保存。
⚠️ 安全提示:
all.pem中含有 私钥,务必限制权限:







