1. pem格式文件怎么打开

目前支持SSL证书文件(.crt文件)、SSL证书.key文件、SSL证书链文件(.pem文件，CA公布在其网站上).

2. 什么是pem格式

pfx是公钥加密技术12号标准（Public Key Cryptography Standards #12，PKCS#12）为存储和传输用户或服务器私钥、公钥和证书指定了一个可移植的格式。它是一种二进制格式，这些文件也称为PFX文件。开发人员通常需要将PFX文件转换为某些不同的格式，如PEM或JKS，以便可以为使用SSL通信的独立Java客户端或WebLogic Server使用

是一种Microsoft协议，使用户可以将机密信息从一个环境或平台传输到另一个环境或平台。使用该协议，用户就可以安全地将个人信息从一个计算机系统导出到另一个系统中。

3. pem编码的证书正文

CRL（证书吊销列表）是一种包含被吊销数字证书信息的文件。它用于验证数字证书的有效性，并帮助保护网络通信的安全。

当数字证书的私钥遗失、过期、被盗或者证书持有者不再信任时，可以通过颁发吊销证书来撤销证书的有效性。被吊销的数字证书将被列入CRL中，以通知其他系统不再信任该证书。

CRL文件中包含了被吊销的数字证书的信息，如证书序列号、吊销日期和原因等。使用CRL文件，客户端可以检查和验证本地保存的数字证书是否在吊销列表中，从而确定证书的有效性。

CRL文件通常由证书颁发机构（CA）定期发布，客户端可以下载最新的CRL文件以保持数字证书的验证和有效性。为了提高效率，CRL文件通常采用基于X.509标准的格式，如DER（二进制DER编码）或PEM（Base64编码）。

总结而言，CRL文件是一种包含被吊销数字证书信息的文件，用于验证和保护网络通信的安全。它帮助客户端检查和确定数字证书的有效性，以减少恶意或无效证书的风险。

4. pem证书格式说明

可以使用open ssl提供的工具按需要生成

5. pem证书怎么打开

apache 是JKS 体系iis 是 windows的 一般应该 是 pkcs12nginx 可能是 openssl 或 pemother 估计是 pem。看后缀名是看不出的。要用ultraedit之类的，文本/hex 编辑器打开看。pkcs12 是 data hex文件jks 也是 data hex文件，用 jre\bin\keytool.exe 可以操作openssl pem 是文本intermediate 就是中级证书机构root是根，域名就是你的服务器证书。服务器证书如果是文本格式的，至少要有2段。------------分割有短 private key----- 的就是私钥，另外段是服务器证书。乱扯了一大段，最后还是建议你按别人的傻瓜教程一步步跟着做。PKI （Public Key Infrastructure）几篇文章才能入门，这里写不完的。

6. pem格式证书提取公钥

这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。 数字证书也必须具有唯一性和可靠性。为了达到这一目的，需要采用很多技术来实现。通常，数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，用户可以公开其公开密钥，而保留其私有密钥。 一个数字证书的内容一般包括： 所有者的公钥 所有者的名字 公钥的失效期 发放机构的名称（发放数字证书的 CA） 数字证书的序列号 发放机构的数字签名 被广泛接受的数字证书格式由 CCITT X.509 国际标准定义；因此任何符合 X.509 的应用程序都可读写证书。在 PKCS 标准和 PEM 标准中有更进一步的明确表达。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。 目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。作用用来在网络通讯中识别通讯各方的身份，并保证网络安全的四大要素保密性完整性真实性不可否定性

7. pem证书格式转换

HTTPS证书安装步骤如下：

获取证书文件，如果是证书系统创建的CSR，还包含：证书私钥文件、证书公钥文件、证书链文件。

在服务器上创建cert目录，将下载的全部文件拷贝到cert目录中。

根据证书类型，选择不同的安装方式：

如果是单域名证书，将证书文件（214852718690540.pem）和私钥文件（214852718690540.key）拷贝到目录中，然后重启服务器。

如果是多域名证书，将证书文件（214852718690540.pem）和私钥文件（214852718690540.key）以及证书链文件（chain.pem）拷贝到目录中，然后重启服务器。

配置Nginx服务器，在配置文件中添加以下内容：

listen 443 ssl http2;ssl_certificate /path/to/cert/file; #证书文件路径ssl_certificate_key /path/to/key/file; #私钥文件路径ssl_session_timeout 1d;ssl_session_cache shared:SSL:50m;ssl_dhparam /path/to/dhparam.pem; #DH参数文件路径ssl_stapling on; #开启STAPLINGssl_stapling_verify on; #开启STAPLING验证

保存配置文件并重启Nginx服务器。

8. pem格式证书下载

AC证书是指无线接入控制器（AC）的数字证书，用于保证AC与接入的无线设备之间的安全通信。安装AC证书的具体步骤如下：

下载证书文件：从证书颁发机构或者AC厂商处获取证书文件，通常是以.pem或.crt为后缀的文件。

登录AC：使用管理员账号登录AC的Web管理界面。

导入证书：在Web管理界面中找到“系统管理”或“安全设置”等相关选项，选择“证书管理”或“SSL证书”等选项，然后点击“导入证书”按钮。

选择证书文件：在弹出的对话框中选择要导入的证书文件，并输入证书密码（如果有）。

配置证书：导入证书后，需要配置证书的相关参数，如证书名称、证书类型、证书链等。具体配置方法可以参考AC的使用说明书或者厂商提供的技术支持文档。

保存配置：完成证书配置后，点击“保存”或“应用”按钮，使配置生效。

测试连接：重新启动AC，并测试连接AC的无线设备是否能够正常通信。如果连接成功，则表示AC证书安装成功。

9. pem证书在线生成

让网站永久拥有HTTPS - 申请免费SSL证书并自动续期 Let’s Encrypt

为什么要用HTTPS  网站没有使用HTTPS的时候，浏览器一般会报不安全，而且在别人访问这个网站的时候，很有可能会被运营商劫持，然后在网站里显示一些莫名其妙的广告。

  有HTTPS的时候，通俗地讲所有的数据传输都会被加密，你和网站之间的数据交流也就更加安全。

相关简介Let’s Encrypt  如果要启用HTTPS，我们就需要从证书授权机构处获取一个证书，Let’s Encrypt 就是一个证书授权机构。我们可以从 Let’s Encrypt 获得网站域名的免费的证书。

Certbot  Certbot是Let’s Encrypt推出的获取证书的客户端，可以让我们免费快速地获取Let’s Encrypt证书。

便宜SSL  便宜SSL是一家国内的SSL证书提供商，同样也拥有免费证书。而且提供丰富的工具: https://www.pianyissl.com/tools。

获取HTTPS证书  获取SSL证书的过程大体上都一样。既可以图形化，也可以命令行，最后实现的效果都完全一样，大家各取所需。

命令行安装Certbot  进入Certbot的官网，选择你所使用的软件和系统环境，然后就会跳转到对应版本的安装方法，以Ubuntu + Nginx为例。

sudo apt-get updatesudo apt-get install software-properties-commonsudo add-apt-repository ppa:certbot/certbotsudo apt-get updatesudo apt-get install certbot申请证书  安装完成后执行：

certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com  这条命令的意思是为以/var/www/example为根目录的两个域名example.com和www.example.com申请证书。

  如果你的网站没有根目录或者是你不知道你的网站根目录在哪里，可以通过下面的语句来实现：

certbot certonly --standalone -d example.com -d www.example.com  使用这个语句时Certbot会自动启用网站的443端口来进行验证，如果你有某些服务占用了443端口，就必须先停止这些服务，然后再用这种方式申请证书。

  证书申请完之后，Certbot会告诉你证书所在的目录，一般来说会在/etc/letsencrypt/live/这个目录下。

图形化  进入便宜SSL的官网https://www.pianyissl.com，注册了账号之后，选择那个体验版的免费测试，然后点确认购买。

  输入域名并点击生成CSR并提交申请按钮。

  点击确定按钮。

  接下来会选择验证方式。

  这里我选择邮箱验证方式，其它另外两种依照你的个人情况而定，反正就是为了验证域名是不是你的而已。

  大约过几分钟，邮箱会收到一封验证邮件，如下图，复制②指向的一串验证码，点击①处的Here链接。

  输入验证码，点击Next>按钮。

  提示已经输入正确的验证码，点击Close Window。

  大约等到10分钟左右，再次登陆 https://www.pianyissl.com，进入个人中心，可以看到已经成功申请SSL证书，点击查看详情。

  此时你可以点击箭头所指的证书打包下载，然后免费的SSL证书就可以下载到本地了，下载后可以看到SSL压缩包内的文件。

部署HTTPS证书  找到网站的Nginx配置文件，找到listen 80;，修改为listen 443;在这一行的下面添加以下内容：

ssl on;ssl_certificate XXX/fullchain.pem; 修改为fullchain.pem所在的路径ssl_certificate_key XXX/privkey.pem; 修改为privkey.pem所在的路径ssl_session_timeout 5m;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_prefer_server_ciphers on;  保存退出后，通过nginx -t来检查配置文件是否正确，有错误的话改之即可。配置文件检测正确之后，通过nginx -s reload来重载配置文件。

  然后通过访问https://example.com来查看是否配置成功。

  如果发现无法访问或者是加载不出来的话检查一下443端口有没有开启！

设置HTTP强制跳转HTTPS  上一步成功之后大家可能会发现通过原来的http://example.com无法访问网页了，因为HTTP默认走的是80端口，我们刚才将其修改为443端口了。在这里我们可以在配置文件的最后一行加入以下代码：

server {listen 80;server_name example.com; 这里修改为网站域名rewrite ^(.*)$ https://$host$1 permanent;}意思是每一个通过80端口访问的请求都会强制跳转到443端口，这样一来访问http://example.com的时候就会自动跳转到https://example.com了。

命令行下设置证书自动续期  有心的小伙伴可能会留意到我们刚才申请的整数的有效期只有90天，不是很长，可是我们可以通过Linux自带的cron来实现自动续期，这样就相当于永久了。

  随便找一个目录，新建一个文件，名字随便起，在这里以example为例，在里面写入0 */12 * * * certbot renew --quiet --renew-hook "/etc/init.d/nginx reload"，保存。

  然后在控制台里执行crontab example一切都OK了。原理是example里存入了一个每天检查更新两次的命令，这个命令会自动续期服务器里存在的来自Certbot的SSL证书。然后把example里存在的命令导入进Certbot的定时程序里。

附：其它环境下的证书部署  https://www.pianyissl.com/support/

Nginx相关命令nginx -t 验证配置是否正确nginx -v 查看Nginx的版本号service nginx start 启动Nginxnginx -s stop 快速停止或关闭Nginxnginx -s quit 正常停止或关闭Nginxnginx -s reload 重新载入配置文件crontab相关命令cat /var/log/cron 查看crontab日志crontab -l 查看crontab列表crontab -e 编辑crontab列表systemctl status crond.service 查看crontab服务状态systemctl restart crond.service 重启crontab参考文档https://lucien.ink/archives/81/https://www.cnblogs.com/zoro-zero/p/6590503.htmlhttp://blog.csdn.net/gsls200808/article/details/53486078https://certbot.eff.org/#ubuntuxenial-otherhttp://nginx.org/en/docs/http/configuring_https_servers.html

https://www.cnblogs.com/zdz8207/p/10729294.html

10. pem文件格式

以Nginx对OpenSSL的使用为入口，来分析OpenSSL的API的模型。OpenSSL是两个库，如果以握手为目的只会使用libssl.so这个库，但是如果有加密的需求，会使用libcrypto.so这个库。Nginx中对于OpenSSL的使用大部分是直接使用的libssl.so的接口API的，但是仍然会有少部分使用libcrypto.so。除了Nginx，本章还会分析一个s_server程序，通过这个程序的设计，能够对OpenSSL的内部架构有一个初探。

Nginx的Stream中SSL的实现

Nginx的Stream Proxy中有对于SSL的Terminator的支持。这个终端的意思是可以在Nginx层面把SSL解掉，然后把明文传输给后端。也就是说支持SSL的Nginx的Stream模块实际上是一个TLS的握手代理，将TLS信道在本地解了再发送到后端，所以整个过程是一个纯粹的握手过程，至于ALPN这种功能就需要后端与TLS的配合才可以，所以这种行为在stream 的SSL中是不能支持的。

这是一个Nginx的Stream SSL模块相关的函数列表，主要的Stream模块特有的功能也都就在这个列表里了。可以看到除去配置和模块的整体初始化函数，只剩下一个连接初始化，ssl的入口handler和握手的handler。显然握手的handler是入口handler的深入部分。鉴于Nginx的异步模型，可以很容易的想到是Nginx在收到一个连接的时候首先使用ssl_handler作为通用入口，在确定是SSL连接之后就会切换到handshaker_handler作为后续的握手handler函数。

但是Nginx在支持SSL的时候并不是这样的轻松，因为大量的SSL相关函数在ngx_event_openssl.c文件里，这个文件里的函数被HTTP模块和Stream模块或者其他需要SSL支持的模块共同使用。包括Session Cache等Nginx重新实现的OpenSSL功能。通过这个例子可以看到如果要自己实现一个SSL支持，我们需要两个东西，一个是SSL的用户端的接口封装库（ngx_event_openssl.c），一个是如何把封装库的逻辑嵌入到我们的代码流程的逻辑。Nginx作为一个强大的负载均衡设备，这一部分的接口嵌入应该是要追求的最小化实现的。也就是说Stream模块相关的代码越少越好（ngx_stream_ssl_module.c）。所以我们可以看到几乎就几个钩子函数的定义。

无论是Stream还是HTTP模式，整个TLS握手的核心函数都是ngx_ssl_handshake函数。我们看这个函数就能看到一个企业级的握手接口的使用案例。以下是一个简化版的函数流程：

以上是一个同步版本的大体逻辑，异步版本的就没有显示。可以看到主要的SSL握手的入口函数是SSL_do_handshake。如果握手正常，函数返回1之后，使用SSL_get_current_cipher或得到服务器根据客户端发来的密码学参数的列表选择得到的密码学套件。这里会返回服务器选择的那个，如果返回为空，那么就代表了服务器没有找到匹配的套件，连接就不能继续。SSL_CIPHER_description函数输入活的指针，返回一个字符串格式的套件的描述信息，Nginx这里使用了这个信息，最后一步就是查找当前的Session Cache中是否有可以复用的逻辑。这里只是一个查询，并不是就是复用的决定。因为是否复用是在连接建立之前由配置决定的，如果Nginx配置了不使用OpenSSL的Session Cache，这个查询就会一直返回0，表示没有被复用。而且这里查询的OpenSSL中是否有复用，并不代表Nginx内部是否有复用，Nginx内部还有一套自己的Session Cache实现，但是使用SSL_开头的API函数都是OpenSSL的接口。

这个简单的接口可以看出对OpenSSL的API的使用的一些端倪。OpenSSL提供的API非常多，我们写一个简单的示例程序仅仅会用到几个最简单的接口，例如SSL_new等。但是一个正式的项目，会用到很多细节的API接口。由于OpenSSL只会暴露他认为应该暴露的API函数出来给调用者使用，其他的函数调用者是用不到的，并且OpenSSL内部的结构体外部也是不能使用的，所以使用者所有的行为都是要基于API进行设计。

OpenSSL分为libcrypto.so和libssl.so两个库。在使用TLS握手的时候，主要的调用API都位于ssl.h文件中定义，都是SSL_开头的API。但是这并不意味着只能调用libssl.so的接口，高级的用户并不是想要使用OpenSSL的TLS握手功能，完全可以直接调用libcrypto.so里面的各种各样的密码学库。总的来说libssl.so是一个TLS握手库，而libcrypto.so是一个通用的密码学的库。只是libssl.so的握手使用的密码学是完全依赖libcryto.so中提供的。也就是因此，在使用TLS握手的时候，是基本上不会直接用到libcrypto.so中的API的。

s_server

openssl s_server是一个简单的SSL服务器，虽然说是简单，但是其中包含了大部分用户SSL编程需要考虑的东西。证书，密码，过期校验，密码学参数定制，随机数定制等等。这是一个功能性的程序，用于验证openssl内部的各项SSL握手服务器的功能是否能够正常使用，并不能用于直接服务于线上业务。

s_server程序启动的第一步是解析各种参数，在正常运作的时候，第一步是加载key。

我们看到OpenSSL内部调用的函数和在使用OpenSSL库接口的时候是不一样的，OpenSSL的子程序会调用一些内部的接口。比如这里使用了ENGINE_init，直接初始化了底层的引擎系统。ENGINE系统是OpenSSL为了适配下层不同的数据引擎设计的封装层。有对应的一系列API，所有的ENGINE子系统的API都是ENGINE_开头的。一个引擎代表了一种数据计算方式，比如内核的密码学套件可以有一个专门的OpenSSL引擎调用到内核的密码学代码，QAT硬件加速卡也会有一个专门的引擎，OpenSSL自己的例如RSA等加密算法的实现本身也是一个引擎。这里在加载key的时候直接初始化一个引擎，这个引擎在init之前还要先调用一个setup_engine函数，这个函数能够设置这个将要被初始化的引擎的样子。s_server之所以要自己用引擎的API接口是因为它支持从命令行输入引擎的参数，指定使用的引擎。

可以看到，如果指定了auto，就会加载所有默认的引擎。如果指定了特定ID的引擎，就只会加载特定的引擎。一个引擎下面是所有相关的密码学的实现，加载key就是一个密码学层面的操作，所以也要使用ENGINE提供的接口。事实上，最后都是分别调用了对应的ENGINE的具体实现，这中间都是通过方法表的指针的方式完成的。ENGINE定义的通用的接口还有很多，这里只是用到了加载密钥。

表内都是对不同的EVP_CIPHER和EVP_MD的接口的定义。

我们回到加载key的函数，继续阅读发现一个 key = bio_open_default(file, 'r', format); 这个key是一个BIO类型的指针，这个BIO类型的指针就是另外一个OpenSSL的子系统，所有的IO操作都会被封装到这个子系统之下。例如这里使用的文件IO，用于从文件中读取key的结果。BIO被设计为一个管道式的系统，类似于Shell脚本中见到的管道的效果。有两种类型的BIO，一种是source/sink类型的，就是我们最常见的读取文件或者Socket的方式。另外一种是管道BIO，就是两个BIO可以通过一个管道BIO连接起来，形成一个数据流。所以BIO的方式是一个很重量级的IO系统的实现，只是目前只是被OpenSSL内部使用的比较多。

继续向下阅读加载密钥的函数，会发现PEM_read_bio_PrivateKey函数，这一步就是实际的从一个文件中读取密钥了。我们现在已经有了代表文件读写的BIO，代表密码学在程序中的封装EVP，中间缺的桥梁就是文件中密钥存储的格式。这里的以PEM_开头的函数就代表了PEM格式的API。PEM是密码学的存储格式，PEM_开头的API就是解析或者生成这种格式的API，当然它需要从文件中读取，所以参数中也会有BIO的结构体，PEM模块使用BIO模块提供的文件服务按照定义的格式将密钥加载到内存。

OpenSSL的所有apps都会共享一些函数，这些函数的实现都在一个apps.c文件中，以上的加载密钥的函数也是其中的一个。s_server程序在调用完load_key之后会继续调用load_cert来加载证书。load_cert使用的子系统与load_key非常类似，类似的还有后面的load_crl函数，CRL（Certificate revocation lists）是CA吊销的证书列表，这项技术已经基本被OCSP淘汰。OpenSSL还提供一个随机数文件的功能，可以从文件中加载随机数。

s_server在加载完相关的密码学相关参数后，就会开始创建上下文，SSL_CTX_new函数的调用就代表了上下文的创建。这个上下文是后面所有SSL连接的母板，对SSL的配置设置都会体现在这个上下文的设置中。随后，s_server会开始设置OpenSSL服务器支持的TLS握手版本范围，分别调用SSL_CTX_set_min_proto_version和SSL_CTX_set_max_proto_version两个函数完成所有操作。

OpenSSL在共享TLS握手的Session时，需要生成一个Session ID，默认的情况，OpenSSL会在内部决定Session ID怎么生成。但是也提供了用户设置这个生成算法的API。s_server程序调用SSL_CTX_set_generate_session_id函数设置一个自己的回调函数，在这个回调函数中就可以完成Session ID的设置，从而取代掉OpenSSL自带的内部Session ID的生成器。OpenSSL在证书协商的时候还会允许外部的库使用者动态的修改采用的证书，这个机制是通过SSL_CTX_set_cert_cb来设置证书回调函数实现的。s_server也有这个函数的设置。程序走到这里，基本能看到OpenSSL的一个很大的特性，就是大部分的内部流程都会提供一个回调函数给使用者来注册，使用者可以按照自己的需求取代掉或者修改OpenSSL内部的功能。显然这个s_server程序是一个功能展示的程序，会用上大量的函数回调点。比如紧接着调用的SSL_CTX_set_info_callback函数就是在生成SSL的时候调用的，可以用于使用者获得状态。不但OpenSSL外部的机制可以在用户端设置，用户甚至可以设置加密算法的参数。例如s_server就会接下来根据用户是否提供DH参数来设置内部的参数。如果调用了SSL_CTX_set_dh_auto就意味着参数是使用内部的机制生成，这也是默认的行为。但是仍然可以提前提供，主要是为了性能的考虑，比如提前提供DH的大素数，DH算法在运算的过程中需要一个取模操作，这个取模是对一个大素数进行取模的，而这个大素数默认是在运行的时候动态生成的，但是我们可以提供这个素数，从而以牺牲一定的安全性为代价换来性能的提高。

s_server在设置完整个上下文之后，就会进入Socket监听和处理的模式。由于BIO框架包含了Socket的能力，所以这一步本质上就是调用BIO的接口。

这是一个典型的OpenSSL的Socket逻辑。BIO_sock_init这个函数在Linux下就是空函数，没有意义。BIO_lookup是一个通用的获取地址的方法，对于Socket就是IP:PORT的字符串，对于文件是文件的目录。BIO_socket意思就相当于在使用Socket变成的socket函数。BIO_listen也就自然对应listen函数，BIO_accept_ex和BIO_closesocket也是类似的意思。整个流程其实就与一个普通的Socket流程没有太大区别，只是BIO多了一层封装。因为OpenSSL是个跨平台的库，这层封装更多的意义在于用在跨平台的应用上的。

通过一个简单的s_server程序的分析可以看到整个OpenSSL的主要设计思路。它对外封装了不同的模块，例如ENGINE，EVP，BIO之类的封装。在大部分的流程上都提供了回调函数API，使用者可以用回调函数来修改OpenSSL原来的逻辑或者获得其他的信息。在使用OpenSSL的时候一般需要遵循类似的流程，就是创建上下文，然后配置上下文，然后运行服务。