關於pfx和cer數字證書

一、數字證書文件cer和pfx的區別

做爲文件形式存在的證書通常有這幾種格式：

1.帶有私鑰的證書

由Public Key Cryptography Standards #12，PKCS#12標準定義，包含了公鑰和私鑰的二進制格式的證書形式，以pfx做爲證書文件後綴名。

2.二進制編碼的證書

證書中沒有私鑰，DER 編碼二進制格式的證書文件，以cer做爲證書文件後綴名。

3.Base64編碼的證書

證書中沒有私鑰，BASE64 編碼格式的證書文件，也是以cer做爲證書文件後綴名。

由定義能夠看出，只有pfx格式的數字證書是包含有私鑰的，cer格式的數字證書裏面只有公鑰沒有私鑰。

在pfx證書的導入過程當中有一項是「標誌此密鑰是可導出的。這將您在稍候備份或傳輸密鑰」。通常是不選中的，若是選中，別人就有機會備份你的密鑰了。若是是不選中，其實密鑰也導入了，只是不能再次被導出。這就保證了密鑰的安全。

若是導入過程當中沒有選中這一項，作證書備份時「導出私鑰」這一項是灰色的，不能選。只能導出cer格式的公鑰。若是導入時選中該項，則在導出時「導出私鑰」這一項就是可選的。

若是要導出私鑰（pfx),是須要輸入密碼的，這個密碼就是對私鑰再次加密，這樣就保證了私鑰的安全，別人即便拿到了你的證書備份（pfx),不知道加密私鑰的密碼，也是沒法導入證書的。相反，若是隻是導入導出cer格式的證書，是不會提示你輸入密碼的。由於公鑰通常來講是對外公開的，不須要加密。

二、關於pfx證書和cer證書

 pfx證書，同時包含了公鑰信息和私鑰信息

cer證書只包含公鑰信息

若是客戶端與網站通訊時須要用到私鑰（基本全部須要數字證書的網站都會用到私鑰），則cer證書是沒法正常訪問網站的，網站會提示「該頁要求客戶證書」：

因爲cer證書只包含公鑰信息，通常只能用於解密使用（解密該公鑰對應的私鑰加密的數據）。

Pfx證書既能夠導出爲pfx證書，也能夠導出爲cer證書。

Pfx證書導出時，會提示是否導出私鑰，導出私鑰即pfx證書，不到出則是cer證書。

若是選擇導出私鑰，出於安全性考慮，瀏覽器會提示你指定一個密碼用於保護該私鑰，往後再次導入該pfx證書時，瀏覽器會要求你提供該私鑰保護密碼。

導入pfx證書時，須要指定私鑰保護密碼，另外還有一個選項「標誌此密鑰爲可導出密鑰。這將容許您稍後備份或傳輸密鑰」，出於安全性考慮，該選項默認是不勾選的，若是不勾選，下次從瀏覽器導出該證書時，則沒法導出pfx格式了，只能導出不包含私鑰的cer格式了。

pfx證書導入時，若是未勾選「密鑰可導出」，則下次導出時，因爲沒法導出私鑰，只能導出cer證書了。

pfx證書默認導入到「我的」選項卡下。

cer證書只能導入到「其餘人」選項卡下，沒法導入到「我的」選項卡下。

cer證書不能導出爲pfx證書。

圖片部分來自網絡