证书密码

证书密码

SSL/TLS 证书本身（即公钥证书，X.509 格式）不包含密码——它是一个明文数字文档，由 CA 签名后公开分发，用于验证服务器身份和建立加密信道。

所谓“证书密码”，实际指以下两类密钥材料的访问保护机制：

• 私钥密码（Passphrase）：私钥文件（如 domain.key）在生成时可被 AES-128/256 加密，需输入密码才能解密使用。该密码仅本地有效，不参与 TLS 握手，也无需上传至服务器或 CA。
• PKCS#12 文件密码（.pfx/.p12）：当证书与私钥打包为二进制容器（如 Windows 或 Java 环境常用），需设置导入/导出密码，用于加密整个包内容。此密码同样不传输、不共享，仅用于本地加解密。

在 Nginx/Apache/OpenResty 等服务中，若私钥受密码保护，启动时会阻塞等待输入；生产环境通常选择移除私钥密码（使用 openssl rsa -in domain.key.enc -out domain.key），以支持自动重启和无人值守部署。

需要注意的情况

• 私钥一旦解密并明文存储，必须严格限制文件权限（如 Linux 下 chmod 600 domain.key），防止非授权读取。
• 浏览器或客户端从不验证“证书密码”；若提示输入密码，实为尝试加载受保护的 PKCS#12 文件（如双证书+私钥导入），而非验证网站证书本身。
• CA 在签发 ssl证书 时不接触、不存储、不要求任何密码；所有密码均由用户本地生成并自行保管。