SSL转换器

Certificate File to Convert

Private Key File

Chain Certificate File (optional)

Chain Certificate File 2 (optional)

Type of Current Certificate Standard PEM DER/Binary PFX/PKCS#12 Detected type from file extension

Type To Convert To Standard PEM DER/Binary PFX/PKCS#12

PFX Password

Convert Certificate

关于 SSL转换器

SSL证书转换器可在PEM、PFX、DER和P7B等格式之间转换SSL证书，无需安装命令行工具或掌握OpenSSL知识。系统管理员经常收到与服务器不兼容格式的证书，导致部署延迟和安全隐患。ToolsPivot的SSL证书转换器通过基于浏览器的界面即时处理所有主要证书格式转换，消除了这一困扰。

ToolsPivot SSL证书转换器概述

核心功能

SSL证书转换器接受PEM、DER、PKCS#7 (P7B)和PKCS#12 (PFX/P12)格式的证书文件，并输出为您所需的格式。用户上传证书文件、选择源格式和目标格式、提供必要的私钥或密码，几秒钟内即可获得转换后的证书。该工具在转换过程中保持证书有效性、到期日期和加密完整性，ToolsPivot安全处理所有内容且不存储上传的文件。

主要用户和使用场景

在Windows IIS、Apache、Nginx和Tomcat服务器上部署证书的系统管理员最常使用此工具。在托管平台之间迁移网站的Web开发人员、自动化证书部署的DevOps工程师，以及管理企业证书基础设施的IT安全团队都依赖格式转换功能。该工具适用于任何需要特定服务器环境兼容证书但不想学习OpenSSL命令的用户。

问题与解决方案

证书颁发机构以PEM格式发放证书，但Windows服务器需要PFX文件，而Java应用程序需要JKS或P7B格式。没有转换器，管理员必须安装OpenSSL、学习复杂的命令语法，并冒着可能破坏证书链的错误风险。ToolsPivot的SSL证书转换器通过提供即时的基于浏览器的转换、自动格式检测和SSL安装验证来解决这个问题。

SSL证书转换器的主要优势

• 无需安装软件。 直接在浏览器中转换证书，无需在系统上下载或配置OpenSSL。

• 保持证书链完整性。 中间证书和根证书在转换过程中保持正确链接，防止链验证错误。

• 支持所有主流服务器平台。 为Windows IIS、Apache、Nginx、Tomcat以及阿里云、腾讯云等云平台生成兼容输出。

• PFX文件密码保护。 创建PKCS#12文件时设置自定义密码，在传输和存储过程中保护私钥。

• 自动格式检测。 工具从文件扩展名和内容头自动识别证书的当前格式，减少转换错误。

• 即时处理速度。 在几秒内完成证书转换，而不是花费数小时排查OpenSSL命令语法问题。

• 不在服务器上存储文件。 上传的证书和私钥在内存中处理，永不存储，在您生成证书请求时保持安全合规。

SSL证书转换器核心功能

• PEM转PFX转换。 将PEM证书和私钥组合成受密码保护的PKCS#12文件，用于Windows服务器部署。

• PFX转PEM提取。 将PKCS#12容器拆分为单独的证书和私钥文件，用于Apache或Nginx安装。

• DER转PEM转换。 将二进制DER编码的证书转换为Base64 PEM格式，用于基于文本的配置文件。

• P7B证书链处理。 从PKCS#7包中提取单个证书或从多个PEM证书创建P7B文件。

• 私钥包含选项。 根据您的安全要求选择在转换输出中包含、排除或加密私钥。

• 中间证书支持。 在转换中包含CA包和中间证书以维护完整的信任链。

• 转换前证书验证。 工具在处理前验证证书完整性并匹配私钥以防止无效输出，类似于您解码CSR文件的方式。

• 多文件上传。 在单次转换操作中提交证书、私钥和中间证书文件。

• 处理受密码保护的输入。 在上传时提供原始密码即可解密受密码保护的PFX文件。

• 可下载输出。 接收具有正确扩展名和格式的可下载转换证书文件。

ToolsPivot SSL证书转换器工作流程

1. 选择源格式。 从PEM、DER、P7B或PFX选项中选择证书文件的当前格式。

2. 上传证书文件。 如果转换需要，请提供证书文件和私钥。

3. 选择目标格式。 选择服务器环境所需的输出格式。

4. 设置转换选项。 输入用于创建PFX的密码或为受保护文件提供解密密码。使用安全密码生成器创建强PFX密码。

5. 下载转换后的证书。 接收新格式的证书，可直接用于服务器安装。

何时使用SSL证书转换器

当证书格式与服务器要求不匹配时，请使用SSL证书转换器。这种情况最常发生在服务器平台之间迁移、部署从证书颁发机构收到的证书，或在混合基础设施环境中整合证书管理时。

具体使用场景：

• 从Apache迁移到Windows IIS。 将PEM证书转换为PFX格式以导入Windows服务器。

• 部署CA颁发的证书。 将以标准PEM格式收到的证书转换为服务器所需的格式。

• Java应用程序部署。 将证书转换为P7B或PKCS#12格式，以兼容Tomcat和Java Keystore。

• 云平台迁移。 准备阿里云证书管理、腾讯云SSL或华为云所需格式的证书。

• 自动化证书续期。 转换续期证书以匹配现有部署脚本和配置。使用CSR验证验证续期请求。

• 备份和归档。 创建带密码保护的PFX文件用于安全证书存储。

• 多服务器部署。 从单个源证书生成多种格式版本，用于异构环境。

边缘情况包括转换具有非标准扩展名的证书、处理自签名证书，以及处理具有不寻常编码的证书。转换器自动处理大多数标准证书配置。

使用案例/应用场景

场景：Windows服务器管理员收到PEM证书

• 背景： IT管理员从CA收到PEM格式的SSL证书，用于在IIS上部署。
• 操作流程：
  • 上传.crt证书文件和.key私钥文件
  • 选择PFX作为输出格式
  • 为PFX文件设置安全密码
• 结果： 管理员直接将PFX导入Windows证书存储并绑定到IIS网站。

场景：DevOps工程师迁移到Linux服务器

• 背景： 团队从Windows基础设施迁移，需要将现有PFX证书转换为Nginx使用。
• 操作流程：
  • 上传.pfx文件并输入当前密码
  • 选择PEM作为输出格式
  • 下载单独的证书和密钥文件
• 结果： 工程师使用标准ssl_certificate和ssl_certificate_key指令将证书部署到Nginx。可以解码证书详情验证内容。

场景：Java开发人员准备Tomcat SSL

• 背景： 开发人员需要使用PEM格式颁发的证书在Tomcat服务器上配置HTTPS。
• 操作流程：
  • 上传证书、私钥和中间CA文件
  • 选择PKCS#12作为输出格式
  • 使用keytool导入Java Keystore
• 结果： Tomcat服务器接受具有正确配置SSL信任链的连接。

场景：安全团队审计证书链

• 背景： 安全分析师需要从PFX包中提取并验证单个证书。
• 操作流程：
  • 使用解密密码上传PFX文件
  • 转换为PEM格式进行文本检查
  • 验证证书属性是否符合安全要求
• 结果： 分析师确认证书链完整性并验证证书密钥匹配以确保部署准备就绪。

SSL证书格式对照表

了解证书格式可帮助您为部署场景选择正确的转换路径。

格式	扩展名	编码	包含私钥	常见用途
PEM	.pem, .crt, .cer, .key	Base64 ASCII	可选（单独文件）	Apache, Nginx, Linux服务器
DER	.der, .cer	二进制	否	Java平台, Windows
P7B/PKCS#7	.p7b, .p7c	Base64 ASCII	否	Windows, Java Tomcat
PFX/PKCS#12	.pfx, .p12	二进制	是（加密）	Windows IIS, 证书备份

PEM格式仍然是最通用的，大多数证书颁发机构以此格式发放证书。您可以通过在文本编辑器中打开文件并查找"-----BEGIN CERTIFICATE-----"头来识别PEM文件。

常见服务器格式需求

不同服务器平台需要特定的证书格式。根据目标服务器找到所需的转换方式。

Apache和Nginx（Linux）： 需要PEM格式，包含单独的证书（.crt）和私钥（.key）文件。如果您有PFX文件，请转换为PEM并单独提取密钥。

Windows IIS： 需要包含私钥的PFX/PKCS#12格式。如果您从CA收到PEM文件，请将证书、密钥和中间证书组合到单个PFX文件中。

Tomcat（Java）： 接受PKCS#12或JKS格式。将PEM证书转换为PKCS#12，然后根据需要使用keytool导入Java Keystore。

阿里云/腾讯云/华为云： 云平台通常接受PEM格式。在上传到云证书管理器之前，将任何其他格式转换为PEM。

宝塔面板： 通常使用PEM格式的证书和私钥。从控制台导入或通过工具转换为正确格式。

OpenSSL命令参考

对于喜欢使用命令行转换的用户，这些OpenSSL命令可完成ToolsPivot SSL证书转换器中相同的转换。

PEM转PFX：

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

PFX转PEM：

openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes

DER转PEM：

openssl x509 -inform der -in certificate.der -out certificate.pem

PEM转DER：

openssl x509 -outform der -in certificate.pem -out certificate.der

P7B转PEM：

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem

JKS转PKCS#12：

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -destkeystore cert.pfx -deststoretype PKCS12

ToolsPivot SSL证书转换器自动执行这些转换，无需安装OpenSSL或命令行知识。

相关工具

使用以下ToolsPivot配套工具完成您的SSL证书工作流程：

• SSL检测器： 部署后验证SSL证书安装并检查到期日期。
• CSR生成器： 为新SSL证书订单创建证书签名请求。
• CSR解码器： 在提交给证书颁发机构之前检查CSR内容。
• 证书解码器： 查看详细的证书信息，包括颁发者、有效期和扩展。
• 证书密钥匹配器： 确认证书和私钥是否匹配。
• Base64转图片： 解码Base64编码的内容用于验证目的。
• 网站安全检测： 扫描网站的安全漏洞和SSL配置问题。
• DNS查询： 在证书部署前验证DNS记录。
• 服务器状态检测： 证书安装后监控服务器可用性。

常见问题解答

可以转换哪些SSL证书格式？ ToolsPivot的SSL证书转换器支持PEM、DER、PKCS#7 (P7B)和PKCS#12 (PFX/P12)格式。这些涵盖了所有主要服务器平台，包括Apache、Nginx、Windows IIS和基于Java的服务器。

转换时需要上传私钥吗？ 仅在转换为PFX/PKCS#12格式时需要上传私钥，该格式将密钥与证书打包在一起。PEM到DER或P7B的转换不需要私钥。

上传SSL证书和私钥安全吗？ 是的。ToolsPivot在内存中处理所有文件，不会存储在服务器上。转换完成后文件立即被丢弃，所有传输都通过加密的HTTPS连接进行。

如何为Windows IIS转换证书？ 上传您的PEM证书（.crt文件）和私钥（.key文件），选择PFX作为输出格式，设置密码，然后下载结果。将PFX文件导入Windows证书管理器并绑定到您的IIS站点。

PFX文件应该使用什么密码？ 使用至少12个字符的强唯一密码，包括字母、数字和符号。将PFX文件导入服务器时需要此密码。

可以转换通配符和多域名（SAN）证书吗？ 可以。转换器处理所有类型的证书，包括通配符、多域名、EV和标准域名验证证书。证书属性在转换过程中保持不变。

转换证书会影响其到期日期吗？ 不会。格式转换不会修改证书的有效期、到期日期或任何加密属性。只有文件编码会改变。

PEM和DER格式有什么区别？ PEM是可在任何文本编辑器中读取的Base64编码文本，而DER是二进制格式。PEM在Linux服务器中更常见；DER通常用于Java平台。您可以查看主机提供商来确定服务器需要哪种格式。

如何在转换中包含中间证书？ 将中间证书（CA包）与服务器证书一起上传。转换器会在PFX输出中包含完整的证书链，或在PEM输出中正确组合它们。

可以从PFX文件中提取私钥吗？ 可以。将PFX转换为PEM格式，输出将包含证书和私钥。某些服务器配置可能需要将它们分离到单独的文件中。

如果证书文件有不常见的扩展名怎么办？ 转换器通过文件内容而非仅扩展名来识别格式。如果自动检测失败，请手动选择源格式。PEM文件包含"-----BEGIN CERTIFICATE-----"头；二进制文件通常是DER或PFX。

为什么转换后的证书显示链错误？ 链错误通常表示缺少中间证书。在转换中包含CA的中间证书包，或从证书颁发机构下载完整的证书链。如果出现续期问题，使用域名WHOIS查询验证域名所有权。