.pfx 證書和 .cer 證書

一般狀況下，做爲文件形式存在的證書通常有三種格式：

• 第一種：帶有私鑰的證書，由Public Key Cryptography Standards #12，PKCS#12標準定義，包含了公鑰和私鑰的二進制格式的證書形式，以.pfx做爲證書文件後綴名。
• 第二種：DER Encoded Binary (.cer)  二進制編碼的證書，證書中沒有私鑰，DER 編碼二進制格式的證書文件，以.cer做爲證書文件後綴名。
• 第三種：Base64 Encoded(.cer)，Base64編碼的證書，證書中沒有私鑰，BASE64 編碼格式的證書文件，也是以.cer做爲證書文件後綴名。

由定義能夠看出，只有pfx格式的數字證書是包含有私鑰的，cer格式的數字證書裏面只有公鑰沒有私鑰。

Cer證書只包含公鑰信息，若是客戶端與網站通訊時須要用到私鑰（基本全部須要數字證書的網站都會用到私鑰），則cer證書是沒法正常訪問網站的，網站會提示「該頁要求客戶證書」。因爲cer證書只包含公鑰信息，通常只能用於解密使用（解密該公鑰對應的私鑰加密的數據）。在申請證書的機器上存儲了私鑰信息，所以，能夠把CER證書導入爲PFX證書，並能夠把PFX證書導出，這樣其餘機器就能夠安裝PFX證書了。

Pfx證書既能夠導出爲pfx證書，也能夠導出爲cer證書。Pfx證書導出時，會提示是否導出私鑰，導出私鑰即pfx證書，不導出私鑰就是cer證書。若是選擇導出私鑰，出於安全性考慮，須要指定一個密碼來保護該私鑰，後續再次導入該pfx證書時，須要提供保護該私鑰密碼，才能在機器上安裝證書。

一，證書描述

證書發佈以後，申請者能夠看到證書的詳細內容，注意：申請者在下載cer證書以後，須要在申請證書的機器上導入證書，緣由是申請證書的機器上包含密鑰。

證書給出了一個黃色的注意事項：您可能正在一個臺計機器上下載證書，這臺計算機與您請求證書的機器不一樣。可是，該證書僅在生成請求的機器上起做用。若是須要把證書安裝在另外一臺服務器上，請首先將其安裝在最初建立請求的機器上，而後使用其私鑰導出證書。 而後，在須要時，能夠把其導入到目標計算機或多臺計算機上的本地計算機存儲中。

因爲申請證書的機器上存儲私鑰，所以，能夠把CER證書導入爲PFX證書，並能夠把PFX證書導出，這樣其餘機器就能夠安裝PFX證書了。

二，導入證書

注意，第一次導入證書，只能把證書導入到申請證書的機器上。

step1：下載DER Encoded Binary (.cer)格式的證書

step2：打開Microsoft Management Console

點擊「Windows + R」，輸入mmc，打開MMC控制檯。

step3：添加證書管理單元（snap-ins）

點擊MMC的File菜單，選擇「Add or Remove Snap-ins」，選擇Certificates，點擊「Add >」，選擇 computer account，

下一步選擇「Local computer: (the computer this consoled is running on)」，點擊Finish按鈕，

完成以後，在「Add or Remove Snap-ins」對話框上點擊OK，返回到MMC界面。

step4：導入證書

在Console Root列表種選擇"Certificates(Local Computer)"，右擊Personal，導航到 All Tasks -> Import，打開「Certificate Import Wizard」

點擊Next，進入到「File to Import」界面，在File name中打開已下載到本地的DER Encoded Binary (.cer)格式的證書

Step5，選擇證書存儲

點擊Next，進入到「Certificate Store」界面，選擇Place certificates in the following store，把Personal做爲 certificate store。

一般導入PFX的證書，默認的證書存儲都是在Personal下，Cer證書只能導入導Other選項卡下，沒法導入到Personal選項卡下。

Step6，檢查證書導入的配置

點擊Next，檢查證書的配置，點擊Finish完成證書的第一次導入：

三，導出.pfx證書

把.cer 證書導入到機器上以後，能夠導出.pfx證書。在MMC的Certificates列表中，找到剛纔導入的證書：

step1，打開"Certificate Export Wizard"

選中導入的證書，右擊彈出快捷菜單，導航 All Tasks-> Export，打開"Certificate Export Wizard"：

step2： 導出私鑰

私鑰是用密碼保護，若是想要把私鑰導出，那麼必須用密碼來保護私鑰。默認是不會導出私鑰，可是若是須要在其餘機器上安裝證書，那麼就必須導出私鑰，勾選「Yes, export the private key」：

step3：設置導出文件的格式

把導出文件的格式設置爲.PFX，在「Personal Information Exchange-PKCS #12 (.PFX)」中，勾選「Include all certificates in the certification path if possible」 和 「Enable certificate privacy」。

Step4：安全設置

爲了保護私鑰， 能夠把私鑰受權給特定的group或user，並使用密碼對私鑰進行加密，用戶只有同時得到pfx文件和密碼，才能夠得到私鑰和證書。

Encryption列表中列出了對私鑰進行加密的兩種算法，選擇任意一個加密算法均可以：

若是導出私鑰（pfx)是須要輸入密碼的，這個密碼就是對私鑰再次加密，這樣就保證了私鑰的安全，別人即便拿到了你的證書備份（pfx)，若是不知道加密私鑰的密碼，那麼沒法導入證書。相反，若是隻是導入/導出cer格式的證書，是不會提示你輸入密碼的。由於公鑰通常來講是對外公開的，不用加密。

Step5，設置導出的文件

把PFX文件導出到特定的文件中，須要設置pfx證書保存的文件名和路徑：

Step6：檢查證書導出嚮導的設置

 檢查無誤後，點擊Finish，導出pfx證書。

 

 

參考文檔：