SSL证书格式转换指南_PEM/PFX/JKS格式互转指令

适配Nginx、IIS、Tomcat服务器的数字证书部署与格式提取

深入解析Nginx、IIS及Tomcat等不同服务器环境下所需的SSL证书文件规范。提供标准化的OpenSSL命令行操作手册，解决证书格式不匹配导致的安装失败问题。同时推荐TopSSL在线转换工具，实现一键式格式互转，大幅提升证书管理效率

在部署HTTPS证书/SSL证书时，不同的服务器我们需要用到不同格式的证书文件，常见的证书文件格式有以下几种：

常见SSL证书文件格式

在部署HTTPS证书时，不同服务器环境需要使用特定格式的证书文件。以下是主流格式的特性说明：

• PEM格式：适用于Apache、Nginx、Caddy等Web服务器。常见后缀为.pem、.crt、.cer或.key。该格式可存放证书、私钥或两者，通常.key后缀专用于私钥。
• PFX格式：适用于IIS等Windows服务器。常见后缀为.pfx或.p12。该格式同时包含证书与私钥，且通常设有密码保护。
• JKS格式：适用于Tomcat、WebLogic、JBoss、Jetty等Java环境。常见后缀为.jks。

以Let's Encrypt证书为例，通常包含cert.key（私钥）、cert.cer（证书）及fullchain.cer（含中间证书的完整链）三个PEM格式文件。

常见SSL证书格式技术规范

证书格式转换指南

通过OpenSSL和Keytool工具，可以实现不同格式间的相互转换：

1.PEM转换为PFX

利用私钥和完整链文件生成：

openssl pkcs12 -export -out cert.pfx -inkey cert.key -in fullchain.cer

2.PFX转换为JKS

适用于将Windows环境证书迁移至Java环境：

keytool -importkeystore -srckeystore cert.pfx -destkeystore cert.jks -srcstoretype PKCS12 -deststoretype JKS

3.PEM转换为JKS

需采用分步法：先将PEM转换为PFX，再由PFX转换为JKS。

4.PFX转换为PEM

通过提取方式获取原始组件：

• 提取临时文件：openssl pkcs12 -in cert.pfx -nodes -out temp.cer
• 提取私钥：openssl rsa -in temp.cer -out cert.key
• 提取证书：openssl x509 -in temp.cer -out cert.cer
• 合成完整链：使用 openssl提取CA证书并与主证书合并为fullchain.cer。

5.JKS转换为PFX

适用于Java环境证书向Windows环境迁移：

keytool -importkeystore -srckeystore cert.jks -destkeystore cert.pfx -srcstoretype JKS -deststoretype PKCS12

在线转换工具

除了传统的命令行操作，企业还可以通过topssl.cn提供的SSL证书在线转换工具实现一键格式互转。该工具支持PEM、PFX、JKS等主流格式，无需配置复杂的本地OpenSSL环境，显著提升了运维效率与准确性。