【導(dǎo)讀】
SSL證書(shū)格式不匹配是網(wǎng)站無(wú)法啟用HTTPS的首要原因。掌握PEM、DER、PFX三類(lèi)核心格式特性，能顯著縮短部署周期并保障系統(tǒng)穩(wěn)定性。
SSL證書(shū)主要存在三種標(biāo)準(zhǔn)化存儲(chǔ)格式
當(dāng)前全球CA機(jī)構(gòu)簽發(fā)的SSL證書(shū)普遍支持三種編碼與封裝方式：
PEM格式：Base64 ASCII文本，擴(kuò)展名通常為.crt、.cer、.key或.pem；被Nginx、Apache等開(kāi)源Web服務(wù)器原生支持。
DER格式：二進(jìn)制編碼，擴(kuò)展名為.der或.cer；多用于Java環(huán)境及Windows Server早期IIS版本。
PFX/P12格式：PKCS#12容器，含私鑰+公鑰證書(shū)+中間鏈，擴(kuò)展名為.pfx或.p12；適用于Microsoft IIS、Exchange及部分負(fù)載均衡設(shè)備。
據(jù)新網(wǎng)客戶(hù)服務(wù)數(shù)據(jù)顯示，超68%的企業(yè)首次配置失敗源于誤將DER文件上傳至Nginx平臺(tái)。
在此處添加配圖
企業(yè)應(yīng)按基礎(chǔ)設(shè)施選擇適配格式，并借助工具校驗(yàn)完整性
針對(duì)不同運(yùn)維環(huán)境，新網(wǎng)推薦如下實(shí)踐路徑：
確認(rèn)服務(wù)器軟件類(lèi)型——Linux+Nginx/Apache首選PEM；Windows+IIS優(yōu)選PFX。
接收證書(shū)后立即使用OpenSSL命令核驗(yàn)：openssl x509 -in cert.pem -text -noout防止損壞或截?cái)唷?/br>跨平臺(tái)遷移時(shí)，通過(guò)新網(wǎng)免費(fèi)在線(xiàn)轉(zhuǎn)換工具完成PEM?PFX雙向互轉(zhuǎn)，全程加密傳輸不留痕。
生產(chǎn)環(huán)境中禁用自簽名或過(guò)期格式包；全部證書(shū)須經(jīng)新網(wǎng)SSL健康度檢測(cè)接口實(shí)時(shí)掃描有效性。
新網(wǎng)已為逾12萬(wàn)家客戶(hù)提供格式識(shí)別與自動(dòng)化部署輔助服務(wù)，平均降低人工調(diào)試耗時(shí)73%。
常見(jiàn)疑問(wèn)
為什么瀏覽器導(dǎo)入成功但Nginx啟動(dòng)報(bào)錯(cuò)“unable to load certificate”？
CRT和CER文件有何本質(zhì)區(qū)別？能否互相替換使用？