SSL 证书涉及多个关键文件,每个文件都有特定的格式、内容和用途。以下是 完整的 SSL 证书文件体系详细说明:
一、SSL 证书核心文件概览
二、核心文件详细说明
1. 私钥文件(Private Key)
(1)文件扩展名
.key(最常见).pem(当包含私钥时)
(2)文件内容示例
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCq3e6N6X9Q2h8L
...(Base64编码的私钥数据)...
k1k9Y7m3ZR9pLm6X8vY7r2tT5nMwIDAQABAoIBAQC4z5cY7w4pLm8X5v2n6r8t
-----END PRIVATE KEY-----(3)关键信息
- 用途:用于证书签名验证、加密解密的核心密钥
- 生成方式:OpenSSL、服务器自动生成
- 安全要求:必须严格保密,泄露会导致安全漏洞
- 格式:RSA/ECC 私钥,PEM 格式(Base64 编码)
2. 证书签名请求文件(Certificate Signing Request - CSR)
(1)文件扩展名
.csr(最常见)
(2)文件内容示例
-----BEGIN CERTIFICATE REQUEST-----
MIIBmTCCAQICAQAwWDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWEx
...(Base64编码的CSR数据)...
FDASBgNVBAoMC2V4YW1wbGUuY29tMQswCQYDVQQLEwJJVDAeFw0yMzAxMDEwMDAw
-----END CERTIFICATE REQUEST-----(3)包含的关键信息
Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: California
Locality Name (eg, city) []: San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Inc
Organizational Unit Name (eg, section) []: IT Department
Common Name (eg, server FQDN or YOUR name) []: www.example.com
Email Address []: admin@example.com(4)用途
- 提交给证书颁发机构(CA)申请正式证书
- 包含公钥和申请者信息,但不包含私钥
3. 证书文件(Certificate)
(1)文件扩展名
.crt(最常见).cer.pem(当包含证书时)
(2)文件内容示例
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
...(Base64编码的证书数据)...
TzEYMBYGA1UEAwwPd3d3LmV4YW1wbGUuY29tMB4XDTIzMDEwMTAwMDAwMFoXDTI0
-----END CERTIFICATE-----(3)证书内容解析(可通过 OpenSSL 查看)
openssl x509 -in certificate.crt -text -noout输出示例:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 12345678901234567890 (0xabcdef1234567890)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=DigiCert Inc, CN=DigiCert TLS RSA SHA256 2020 CA1
Validity
Not Before: Jan 1 00:00:00 2023 GMT
Not After : Jan 1 00:00:00 2024 GMT
Subject: C=US, ST=California, L=San Francisco, O=Example Inc, CN=www.example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus: 00:aa:de:ee:8d:e9:7f:50:da:1f:0b:...
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Subject Alternative Name:
DNS:www.example.com, DNS:example.com, DNS:*.example.com
Signature Algorithm: sha256WithRSAEncryption
5b:3c:7d:8f:9a:0a:5e:6c:17:e6:fd:a7:ea:bf:2d:...4. 证书链文件(Certificate Chain)
(1)文件扩展名
.ca-bundle.chain.pem(多个证书串联)
(2)文件内容示例
# 服务器证书
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
...(服务器证书)...
-----END CERTIFICATE-----
# 中间证书
-----BEGIN CERTIFICATE-----
MIIEsTCCA5mgAwIBAgIQBOHnpNxc8vNtwCtCuF0VnzANBgkqhkiG9w0BAQsFADBs
...(中间证书)...
-----END CERTIFICATE-----
# 根证书(可选)
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
...(根证书)...
-----END CERTIFICATE-----(3)证书链结构
根证书 (Root CA)
↓ 签发
中间证书 (Intermediate CA)
↓ 签发
服务器证书 (Server Certificate)(4)用途
- 建立完整的信任链,让客户端能够验证服务器证书的合法性
- 避免浏览器显示"证书链不完整"警告
三、格式转换与打包文件
1. PKCS#12 文件(.pfx/.p12)
(1)文件内容
包含私钥、证书、证书链的加密打包文件。
(2)生成命令
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile chain.crt(3)用途
- Windows IIS 服务器导入
- 证书备份和迁移
2. Java 密钥库文件(.jks/.keystore)
(1)文件内容
Java 环境专用的证书存储格式。
(2)生成命令
keytool -importkeystore -srckeystore certificate.pfx -srcstoretype PKCS12 -destkeystore keystore.jks -deststoretype JKS(3)用途
- Tomcat、Spring Boot 等 Java 应用服务器
- 包含私钥和证书链
3. DER 格式证书(.der)
(1)文件内容
证书的二进制格式,等同于 PEM 证书的二进制版本。
(2)转换命令
# PEM 转 DER
openssl x509 -in certificate.pem -outform DER -out certificate.der
# DER 转 PEM
openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem(3)用途
- 某些特定应用需要二进制格式证书
- Windows 证书导入
四、实际部署中的文件组合
1. Nginx 配置示例
server {
listen 443 ssl;
server_name www.example.com;
# 必需文件
ssl_certificate /path/to/certificate.crt; # 证书文件
ssl_certificate_key /path/to/private.key; # 私钥文件
# 推荐文件(提升性能和安全)
ssl_trusted_certificate /path/to/chain.crt; # 完整证书链
}2. Apache 配置示例
ServerName www.example.com
# 必需文件
SSLCertificateFile /path/to/certificate.crt # 证书文件
SSLCertificateKeyFile /path/to/private.key # 私钥文件
# 证书链文件(可选但推荐)
SSLCertificateChainFile /path/to/chain.crt # 证书链文件
3. Tomcat 配置示例
<Connector port="8443" protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="/path/to/keystore.jks" # JKS 密钥库
keystorePass="password" # 密钥库密码
keyAlias="tomcat" # 证书别名
clientAuth="false" sslProtocol="TLS" />五、证书文件验证命令
1. 验证私钥
openssl rsa -in private.key -check2. 验证 CSR 内容
openssl req -in request.csr -noout -text3. 验证证书内容
openssl x509 -in certificate.crt -text -noout4. 验证证书链完整性
openssl verify -CAfile chain.crt certificate.crt5. 检查证书与私钥匹配
# 提取证书的 MD5 指纹
openssl x509 -in certificate.crt -noout -modulus | openssl md5
# 提取私钥的 MD5 指纹
openssl rsa -in private.key -noout -modulus | openssl md5
# 两个 MD5 值应该相同六、总结:关键文件关系
| 文件类型 | 扩展名 | 内容 | 用途 | 安全性 |
|---|---|---|---|---|
| 私钥 | .key | 加密密钥 | 加密解密 | 最高机密 |
| CSR | .csr | 证书申请信息 | 提交给 CA | 可公开 |
| 证书 | .crt/.cer | 公钥+身份信息 | 身份验证 | 可公开 |
| 证书链 | .ca-bundle | 信任链证书 | 建立信任 | 可公开 |
| 打包文件 | .pfx/.p12 | 私钥+证书+链 | 服务器部署 | 加密保护 |
核心原则:
- 私钥必须保密,其他文件可以公开
- 部署时需要证书 + 私钥 + 证书链三件套
- 不同服务器对文件格式有不同要求,需正确转换
通过理解这些文件的内容和关系,可以正确配置和管理 SSL 证书,确保网站的安全性和兼容性。
浙公网安备 33010602011771号