SSL格式转换

SSL格式转换

SSL/TLS 证书在不同服务器或工具间部署时，常需在 PEM、DER、PFX/P12、JKS、CRT、KEY 等格式间相互转换。这些格式本质是同一密钥对与证书数据的不同编码或容器封装方式，不改变其密码学有效性。

常见转换场景包括：将 Let's Encrypt 生成的 fullchain.pem + privkey.pem（PEM 格式）转为 Windows IIS 所需的 PFX；将 Nginx 使用的 PEM 转为 Java 应用所需的 JKS；或从旧 PFX 提取公钥证书（CRT）和私钥（KEY）用于调试。所有转换均依赖 OpenSSL（推荐 1.1.1 或 3.x 版本）或 keytool（JDK 自带），无需重新签发证书。

需要注意的情况

• 私钥保护不可绕过：PFX/P12 转 PEM 时若含加密私钥，需提供原始密码；导出未加密私钥（openssl rsa -in key.pem -out key_unencrypted.pem）存在安全风险，仅限离线调试环境使用。
• 证书链完整性必须保留：Nginx/Apache 要求证书文件包含完整信任链（即域名证书 + 中间 CA 证书），而 IIS/PFX 通常将链内嵌。遗漏中间证书会导致部分客户端（如老版本 Android 或 Java 8u191 以下）校验失败。
• 国密证书（SM2）不兼容标准 OpenSSL 工具链：若使用 国密SSL证书，需采用支持 SM2/SM3/SM4 的专用工具（如 gmssl）进行格式转换，OpenSSL 默认版本无法识别 SM2 私钥结构。
• JKS 转 PKCS#12（P12）后不可直接回转：Java 9+ 默认生成的 JKS 不再支持 keytool 直接导出私钥；建议优先使用 PKCS#12 作为跨平台通用容器，避免 JKS 锁定。