数字证书就是公钥证书，是一个包含用户信息、用户公钥以及可信的第三方认证机构CA的数字签名的数据文件。

　　数字证书对传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容。

　　数字证书的基本架构是公开密钥PKI，即利用一对公私钥对实施加密和解密。其中密钥包括私钥和公钥，私钥主要用于签名和解密，由用户定义、公钥用于签名验证和加密，可被多个用户共享。

　　一、证书标准

　　X.509是国际电信联盟-电信(ITU-T)部分标准和国际标准化组织(ISO)的证书格式标准，X.509是定义了公钥证书结构的基本标准，详情可以参考RFC5280。

　　X509定义证书结构

　　二、证书编码格式

　　数字证书目前有以下两种编码格式。

　　PEM(Privacy Enhanced Mail，增强保密的邮件)打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码。

　　查看PEM格式证书的信息:

　　DER(Distinguished Encoding Rules，可辨别编码规则)打开看是二进制格式,不可读。

　　查看DER格式证书的信息:

　　三、证书相关名称

　　证书有PEM和DER这两种编码格式，但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式。

　　CRT：CRT是certificate的简称,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。

　　CER：CRT也是certificate的简称,常见于Windows系统,可能是PEM编码,也可能是DER编码,大多数应该是DER编码。

　　KEY：通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM，也可能是DER。

　　查看KEY的办法:

　　如果是DER格式的话,同理应该这样了:openssl rsa -in xxx.key -text -noout -inform der

　　CSR：Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好。

　　查看的办法:

　　PFX/P12：predecessor of PKCS#12,通常来说,一般CRT和KEY是分开存放在不同文件中的,但也有些情况会把crt和key放在一起，文件名以PFX/P12结束，但是该类型证书通常有提取密码，如果想读取里面内容的话，需要提供密码。

　　生成p12证书

　　其中ca.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去。简单理解，p12证书就是公私钥一体的证书文件。

　　四、证书编码的转换

　　PEM转DER

　　DER转为PEM：openssl x509 -in xxx.crt -inform der -outform pem -out xxx.pem。

　　五、证书获取

　　向权威证书颁发机构申请证书需要生成一个csr:

　　把csr交给权威证书颁发机构,权威证书颁发机构对此进行签名,完成.保留好csr,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的csr来申请新的证书,key保持不变。

　　生成证书：

　　对比csr中公钥和ca颁发证书中公钥的内容是否一致。