证书系列:
1:.pfx 证书和 .cer 证书
2:导入pfx证书
通常情况下,作为文件形式存在的证书一般有三种格式:
第一种:带有私钥的证书,由public key cryptography standards #12,pkcs#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以.pfx作为证书文件后缀名。
第二种:der encoded binary (.cer) 二进制编码的证书,证书中没有私钥,der 编码二进制格式的证书文件,以.cer作为证书文件后缀名。
第三种:base64 encoded(.cer),base64编码的证书,证书中没有私钥,base64 编码格式的证书文件,也是以.cer作为证书文件后缀名。
由定义可以看出,只有pfx格式的数字证书是包含有私钥的,cer格式的数字证书里面只有公钥没有私钥。
cer证书只包含公钥信息,如果客户端与网站通信时需要用到私钥(基本所有需要数字证书的网站都会用到私钥),则cer证书是无法正常访问网站的,网站会提示“该页要求客户证书”。由于cer证书只包含公钥信息,一般只能用于解密使用(解密该公钥对应的私钥加密的数据)。在申请证书的机器上存储了私钥信息,因此,可以把cer证书导入为pfx证书,并可以把pfx证书导出,这样其他机器就可以安装pfx证书了。
pfx证书既可以导出为pfx证书,也可以导出为cer证书。pfx证书导出时,会提示是否导出私钥,导出私钥即pfx证书,不导出私钥就是cer证书。如果选择导出私钥,出于安全性考虑,需要指定一个密码来保护该私钥,后续再次导入该pfx证书时,需要提供保护该私钥密码,才能在机器上安装证书。
证书发布之后,申请者可以看到证书的详细内容,注意:申请者在下载cer证书之后,需要在申请证书的机器上导入证书,原因是申请证书的机器上包含密钥。
证书给出了一个黄色的注意事项:您可能正在一个台计机器上下载证书,这台计算机与您请求证书的机器不同。但是,该证书仅在生成请求的机器上起作用。如果需要把证书安装在另一台服务器上,请首先将其安装在最初创建请求的机器上,然后使用其私钥导出证书。 然后,在需要时,可以把其导入到目标计算机或多台计算机上的本地计算机存储中。
由于申请证书的机器上存储私钥,因此,可以把cer证书导入为pfx证书,并可以把pfx证书导出,这样其他机器就可以安装pfx证书了。
注意,第一次导入证书,只能把证书导入到申请证书的机器上。
step1:下载der encoded binary (.cer)格式的证书
step2:打开microsoft management console
点击“windows + r”,输入mmc,打开mmc控制台。
step3:添加证书管理单元(snap-ins)
点击mmc的file菜单,选择“add or remove snap-ins”,选择certificates,点击“add >”,选择 computer account,
下一步选择“local computer: (the computer this consoled is running on)”,点击finish按钮,
完成之后,在“add or remove snap-ins”对话框上点击ok,返回到mmc界面。
step4:导入证书
在console root列表种选择"certificates(local computer)",右击personal,导航到 all tasks -> import,打开“certificate import wizard”
点击next,进入到“file to import”界面,在file name中打开已下载到本地的der encoded binary (.cer)格式的证书
step5,选择证书存储
点击next,进入到“certificate store”界面,选择place certificates in the following store,把personal作为 certificate store。
通常导入pfx的证书,默认的证书存储都是在personal下,cer证书只能导入导other选项卡下,无法导入到personal选项卡下。
step6,检查证书导入的配置
点击next,检查证书的配置,点击finish完成证书的第一次导入:
把.cer 证书导入到机器上之后,可以导出.pfx证书。在mmc的certificates列表中,找到刚才导入的证书:
step1,打开"certificate export wizard"
选中导入的证书,右击弹出快捷菜单,导航 all tasks-> export,打开"certificate export wizard":
step2: 导出私钥
私钥是用密码保护,如果想要把私钥导出,那么必须用密码来保护私钥。默认是不会导出私钥,但是如果需要在其他机器上安装证书,那么就必须导出私钥,勾选“yes, export the private key”:
step3:设置导出文件的格式
把导出文件的格式设置为.pfx,在“personal information exchange-pkcs #12 (.pfx)”中,勾选“include all certificates in the certification path if possible” 和 “enable certificate privacy”。
step4:安全设置
为了保护私钥, 可以把私钥授权给特定的group或user,并使用密码对私钥进行加密,用户只有同时获得pfx文件和密码,才可以获得私钥和证书。
encryption列表中列出了对私钥进行加密的两种算法,选择任意一个加密算法都可以:
如果导出私钥(pfx)是需要输入密码的,这个密码就是对私钥再次加密,这样就保证了私钥的安全,别人即使拿到了你的证书备份(pfx),如果不知道加密私钥的密码,那么无法导入证书。相反,如果只是导入/导出cer格式的证书,是不会提示你输入密码的。因为公钥一般来说是对外公开的,不用加密。
step5,设置导出的文件
把pfx文件导出到特定的文件中,需要设置pfx证书保存的文件名和路径:
step6:检查证书导出向导的设置
检查无误后,点击finish,导出pfx证书。