什么是PEM文件？

PEM（Privacy Enhanced Mail）是一种常见的证书和密钥存储格式，它采用Base64编码，并以`--BEGIN CERTIFICATE--`和`--END CERTIFICATE--`这样的标记包裹内容。PEM格式的文件通常用于存储SSL/TLS证书、私钥以及中间证书，是Web服务器（如Nginx、Apache）常用的格式之一。

举个例子：

如果你从CA（证书颁发机构，如Let's Encrypt、DigiCert）申请了一个SSL证书，下载的可能是`.crt`或`.cer`格式的文件。但Nginx等服务器更倾向于使用`.pem`格式的证书文件，因此我们需要学会如何转换或生成PEM文件。

为什么需要生成PEM文件？

不同的服务器和应用对证书格式的要求不同：

- Apache：通常使用`.crt`（证书）和`.key`（私钥）。

- Nginx：推荐使用`.pem`格式的证书和密钥。

- Java Keystore (JKS)：需要使用`.p12`或`.jks`格式。

如果你的SSL证书不是PEM格式，但你的服务器需要它，你就得进行转换。

如何从现有SSL证书生成PEM文件？

情况1：你已经有.crt/.cer和.key文件

假设你已经从CA获得了以下文件：

- `domain.crt`（证书文件）

- `domain.key`（私钥文件）

目标：将它们合并成一个完整的PEM文件（包含证书链）。

步骤1：检查你的.crt是否已经是PEM格式

用文本编辑器打开`.crt`文件，如果看到类似以下内容，说明它已经是PEM格式：

```

--BEGIN CERTIFICATE--

MIIDZTCCAk2gAwIBAgIUEA8yv5Q...

--END CERTIFICATE--

如果是这样，你可以直接重命名为`.pem`（例如 `mv domain.crt domain.pem`）。

步骤2：合并中间证书（如果需要）

有些CA会提供单独的中间证书（如 `intermediate.crt`），你需要把它和主证书合并成一个完整的链：

```bash

cat domain.crt intermediate.crt > fullchain.pem

这样生成的 `fullchain.pem` 就可以在Nginx等服务器上使用了。

情况2：你只有PFX/P12文件（比如从Windows IIS导出）

PFX/P12是一种包含私钥、公钥和中间证书的打包格式。我们可以用OpenSSL提取其中的内容并转换为PEM。

步骤1：提取私钥

openssl pkcs12 -in certificate.pfx -nocerts -out private.key -nodes

输入PFX密码后，你会得到 `private.key`（私钥）。

步骤2：提取公钥

openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out public.crt

这会生成 `public.crt`（你的域名公钥）。

步骤3：（可选）提取中间CA

openssl pkcs12 -in certificate.pfx -cacerts -nokeys -out intermediate.crt

如果有中间CA的话会保存到这里。然后你可以按照情况1的方式合并成完整链：

cat public.crt intermediate.crt > fullchain.pem

情况3：直接从Let's Encrypt获取PEM文件

如果你用的是Certbot自动申请Let's Encrypt SSL证书，它会默认生成以下关键PEM文件：

- `/etc/letsencrypt/live/yourdomain.com/cert.pem` （公钥）

- `/etc/letsencrypt/live/yourdomain.com/privkey.pem` （私钥）

- `/etc/letsencrypt/live/yourdomain.com/chain.pem` （中间CA）

- `/etc/letsencrypt/live/yourdomain.com/fullchain.pem` （完整链）

你可以直接使用这些现成的 `.pem` 文件！??

PEM文件的常见用途举例

1. Nginx配置示例

```nginx

server {

listen 443 ssl;

server_name example.com;

ssl_certificate /path/to/fullchain.pem;

PEM格式的完整链

ssl_certificate_key /path/to/private.key;

PEM或KEY均可

}

```

2. Apache配置示例

```apacheconf

SSLCertificateFile /path/to/public.crt

PEM或CRT均可

SSLCertificateKeyFile /path/to/private.key

KEY或PEM均可

SSLCertificateChainFile /path/to/intermediate.crt

CA链

3. MySQL SSL加密连接

如果你想用SSL保护MySQL连接：

```sql

GRANT ALL PRIVILEGES ON *.* TO 'user'@'%'

REQUIRE SSL;

-- MySQL配置中指定客户端密钥和CA：

[client]

ssl-ca=/path/to/ca.pem

ssl-cert=/path/to/client-cert.pem

ssl-key=/path/to/client-key.pem

FAQ常见问题

Q1: `.pem`, `.crt`, `.key`, `.cer`, `.pfx`, `.der`, `.jks`, `.p12`, ...这么多后缀怎么区分？

A:

- `.pem`: Base64编码文本形式存储的密钥或证书。

- `.crt/.cer`: X.509标准数字证书。

- `.key`: RSA/DSA等私钥。

- `.pfx/.p12`: PKCS

12标准打包的密钥+证书+CA链。

- `.der`: DER编码二进制形式的X.509。

- `.jks`: Java Keystore专有格式。

Q2: OpenSSL报错"unable to load private key"怎么办？

可能原因：

1. 密码错误 → `openssl rsa -in encrypted.key -out decrypted.key`

2. RSA/DSA算法不匹配 → `openssl ecparam -list_curves`

3. Windows/Linux换行符问题 → `dos2unix private.key`

Q3: Let's Encrypt生成的privkey.pem能改名吗？

可以！只要确保Nginx/Apache配置指向正确的路径即可。

本文介绍了如何在不同的情况下生成和使用PEM格式的SSL/TLS相关文件：

1?? 已有CRT+KEY？ → cat合并成fullchain.pem

2?? 只有PFX/P12？ → openssl提取出各部分再组合

3?? Certbot自动管理？ → Let's Encrypt已帮你准备好现成的！

希望这篇指南能帮你搞定HTTPS部署中的各种“证”事儿！??

TAG:ssl证书下怎么生成pem,ssl证书转换工具,ssl证书配置教程,自动生成ssl证书,ssl证书格式转换,ssl证书使用教程