当前位置:首页 > 行业动态 > 正文

https证书如何导出

导出HTTPS证书需根据存储位置操作:服务器端使用OpenSSL工具(如 openssl pkcs12 -export导出.pfx文件),浏览器中通过”证书”管理界面选中证书后导出为.cer/.

导出HTTPS证书的准备工作

  1. 确认证书类型

    https证书如何导出 第1张

    • 单证书(含公钥+私钥)
    • 证书链(含中级/根证书)
    • 格式要求:PEM/PFX/DER等

  2. 定位证书存储路径
    | 服务器类型 | 证书存放位置 |
    |————-|————–|
    | Apache | /etc/apache2//etc/ssl/ |
    | Nginx | /etc/nginx//etc/ssl/ |
    | IIS | cert:LocalMachineMy |
    | macOS/iOS | 钥匙串访问 → 登录/我的证书 |
    | Windows | 证书管理器 → 个人/受信任的根证书 |

导出证书的通用方法

使用OpenSSL工具导出(适用于Linux/macOS)

# 导出PEM格式(含私钥和证书链)
openssl pkcs12 -export -out certificate.pfx 
    -inkey /path/to/private.key 
    -in /path/to/certificate.crt 
    -certfile /path/to/ca_bundle.crt
# 导出PEM格式(分开保存)
cat private.key certificate.crt ca_bundle.crt > full_chain.pem

通过Web服务器导出

服务器类型 导出命令/路径
Apache a2ensite配置中直接复制文件
Nginx server块中指定路径复制
IIS 右键证书 → 所有任务 → 导出

Windows证书导出向导

  1. 打开运行输入certmgr.msc
  2. 找到目标证书 → 右键所有任务导出
  3. 选择Base-64编码的X.509证书格式
  4. 勾选包含所有证书(导出证书链)

特殊格式处理

需求场景 操作方法
仅导出公钥证书 openssl x509 -in domain.crt -out public.pem
转换PFX为PEM openssl pkcs12 -in cert.pfx -out key.pem -nodes
提取CSR文件 openssl req -in domain.csr -text

安全注意事项

  • 导出时始终加密私钥文件(建议AES-256)
  • 传输证书时使用安全通道(如SCP/SFTP)
  • 避免在公共环境存储未加密的PFX文件

证书导入验证

# 验证PEM格式证书链
openssl verify -CAfile ca_bundle.crt full_chain.pem
# 检查私钥匹配性
openssl rsa -in private.key -check

相关问题与解答

Q1:如何将PFX证书转换为JKS格式(Java密钥库)?
A:使用keytool命令: 

keytool -importkeystore 
    -srckeystore certificate.pfx 
    -destkeystore keystore.jks 
    -deststoretype JKS

Q2:导出的证书在浏览器不信任怎么办?
A:需确保导出时包含完整的证书链:

  1. 检查是否包含中级CA证书
  2. 使用-CAfile参数指定根证书
  3. 在浏览器
导出方法私钥
0

相关文章