一 OpenSSL 生成合成 PFX 文件

是將Apache/OpenSSL使用的“KEY文件 + CRT文件”轉(zhuǎn)換為標(biāo)準(zhǔn)的PFX文件，可以將PFX文件格式導(dǎo)入到微軟IIS 5/6/7、微軟ISA、微軟Exchange Server等軟件。

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

(server.key是私鑰文件 server.crt文件包含兩段內(nèi)容，請(qǐng)不要?jiǎng)h除任何一段內(nèi)容，生成的server.pfx用于導(dǎo)入IIS)

二 openssl從PFX導(dǎo)出私鑰、公鑰

1、提取密鑰對(duì)（如果pfx證書已加密，會(huì)提示輸入密碼。）

openssl pkcs12 -in server.pfx -nocerts -nodes -out 1.key

2、從密鑰對(duì)提取私鑰（一般apache和nginx配置需要）

openssl rsa -in 1.key -out 1_pri.key

3、從密鑰對(duì)提取公鑰

openssl rsa -in 1.key -pubout -out 1_pub.key

三 openssl從PFX導(dǎo)出服務(wù)器證書

服務(wù)器客戶端證書取得： openssl pkcs12 -in server.pfx -clcerts -nokeys -out server.cer

四 PFX格式證書轉(zhuǎn)換為JKS格式證書

keytool -importkeystore -srckeystore domains_ssl.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS

回車后輸入JKS證書密碼和PFX證書密碼，強(qiáng)烈推薦將JKS密碼與PFX證書密碼相同，否則可能會(huì)導(dǎo)致Tomcat啟動(dòng)失敗。

當(dāng)然網(wǎng)上也有很多的轉(zhuǎn)化工具，方便我們進(jìn)行證書格式的轉(zhuǎn)化