证书文件格式错误

证书文件格式错误

“证书文件格式错误”通常指 Web 服务器（如 Nginx、Apache、IIS）在加载 SSL/TLS 证书时，因文件编码、结构或内容不符合 PEM/DER 标准而拒绝解析。常见原因包括：证书未以 -----BEGIN CERTIFICATE----- 开头、缺少结尾标记、混入不可见控制字符（如 Windows CRLF 在 Linux 环境下引发解析失败）、私钥与证书内容错位，或误将 PFX/P12 文件直接当作 PEM 使用。

PEM 格式要求严格：证书必须为 Base64 编码的 DER 数据，包裹在标准分隔符之间，且每行不超过 64 字符；私钥同理，但需以 -----BEGIN PRIVATE KEY----- 或 -----BEGIN RSA PRIVATE KEY----- 起始（取决于密钥类型）。若使用 OpenSSL 检查：openssl x509 -in cert.crt -text -noout 可验证证书有效性；openssl rsa -in key.pem -check -noout 可校验私钥完整性。失败即表明格式异常。

需要注意的情况

• 从 Windows 导出的证书（如 .cer/.crt）可能为 DER（二进制）格式，需用 openssl x509 -inform DER -in cert.cer -out cert.pem 转换为 PEM；直接重命名不改变实际编码。
• Nginx 要求证书链按“域名证书 → 中间证书”顺序拼接，末尾不能有空行或多余空格；Apache 则常需单独配置 SSLCertificateChainFile（旧版）或统一合并至 SSLCertificateFile（2.4.8+）。
• 部分国产 CA（如 华测国密CA、vTrus(天威诚信)）签发的国密SSL证书默认含 SM2 公钥和 GM/T 0015-2012 结构，无法被标准 OpenSSL 1.1.1 以下版本识别，需确认服务器是否启用国密支持模块。
• 若使用 免费ssl证书（如 Let's Encrypt），请确保未误将 ACME 签名响应原始 JSON 或 account key 当作证书上传——仅应部署 fullchain.pem 与 privkey.pem。