HTTPs涉及到的一些文件做记录

Keystore

       公钥密钥的存储文件。拥有此证书的一方用此文件来证明自己。比如服务器向客户端证明自己，就是服务端绑定好这个文件，待客户端向服务端发起请求时，由服务端由此文件生成（具体过程不懂，可能有误）证明文件发给客户端，由客户端进行校验。

keytool -genkey -v -alias tomcat -keyalgRSA   -validity 3650  -keystore c:\tomcat.keystore -dname"CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password-keypass password

 

Cer

       由Keystore等证书导出的文件，只包含证书、不包含公钥。这种文件一般用来给执行验证的一方进行导入，以用来匹配对方发过来的证书。比如cer文件就可以在windows下面双击导入到浏览器中，浏览器会使用此文件来验证服务器端发过来的证书。

keytool -export -alias tomcat -keystorec:\tomcat.keystore -file c:\tomcat.cer -storepass password

 

Crt

       与Cer类似。区别（百度之）是Crt文件可能是二进制的，也可能是文本格式的，应该以文本格式居多；而Cer一般都是二进制的。此文件也可以在windows下面双击进行导入。

 

Truststore

       由Cer（或其他功能相同的文件）通过命令演变而来。执行的功能应该跟Cer文件等类似。Cer等更多是给IE等浏览器使用，而Truststore更多是给写代码时需要执行验证功能的一方使用，比如HttpClient的https功能。注意到下面也是用-keystore来生成truststore，暂不明白。

keytool -import -file ../server/server.cer -keystoreclient.truststore -alias server

 

P12

       功能类似Keystore。在使用https的双向认证时一般需要使用。客服端验证服务端则使用Keystore，服务端验证客户端时使用P12，因为windows下面可以直接双击导入而Keystore不行(可见双向认证时客户端如果是windows环境则要导入两个文件cer和p12，cer用来做校验、p12用来给人校验)。在非windows环境下，在服务端验证客户端时、客户端绑定Keystore应该也是可行的。从下面命令可见，生成Keystore跟生成P12的命令只多了个-storetypePKCS12。

keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12   -validity3650  -keystore C:\my.p12 -dname"CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypasspassword

 

Jks

       java key store，由此可见一般在JAVA环境下使用。但其功能其实是跟Keystore一模一样的，只是换了一个后缀名而已。其实也就是不同格式的Keystore。有时候在读这些文件的时候需要指定Keystore的格式，就会指定JKS、或者pkcs12，以便程序能使用正确的api来解读之。

keytool -keystore tomcat.jks -keypass 222222-storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername,OU=servers, O=ABCom"

 

其他(转自baidu)：

PKCS 全称是Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。 常用的有：
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard

X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-TX509 国际标准。

PKCS#7 常用的后缀是： .P7B.P7C .SPC
PKCS#12 常用的后缀有： .P12 .PFX
X.509 DER 编码(ASCII)的后缀是： .DER.CER .CRT
X.509 PAM 编码(Base64)的后缀是： .PEM.CER .CRT
.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式
p10是证书请求
p7r是CA对证书请求的回复，只用于导入
p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。
—————-
小美注：
der,cer文件一般是二进制格式的，只放证书，不含私钥
crt文件可能是二进制的，也可能是文本格式的，应该以文本格式居多，功能同der/cer
pem文件一般是文本格式的，可以放证书或者私钥，或者两者都有
pem如果只含私钥的话，一般用.key扩展名，而且可以有密码保护
pfx,p12文件是二进制格式，同时含私钥和证书，通常有保护密码
怎么判断是文本格式还是二进制？用记事本打开，如果是规则的数字字母，如
—–BEGIN CERTIFICATE—–
MIIE9jCCA96gAwIBAgIQVXD9d9wgivhJM//a3VIcDjANBgkqhkiG9w0BAQUFADBy
—–END CERTIFICATE—–
就是文本的，上面的BEGIN CERTIFICATE，说明这是一个证书
如果是—–BEGIN RSA PRIVATE KEY—–，说明这是一个私钥
文本格式的私钥，也可能有密码保护
文本格式怎么变成二进制？ 从程序角度来说，去掉前后的—-行，剩下的去掉回车，用base64解码，就得到二进制了
不过一般都用命令行openssl完成这个工作
—————
一 用openssl创建CA证书的RSA密钥(PEM格式)：
openssl genrsa -des3 -out ca.key 1024

二用openssl创建CA证书(PEM格式,假如有效期为一年)：
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA证书的，最好用IE将PEM格式的CA证书转换成DER格式的CA证书。

三 x509到pfx
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -outkeys/client1.pfx

四 PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的转换
openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
验证 openssl pkcs12 -clcerts -nokeys -in cert.p12 -outcert.pem
六 从 PFX 格式文件中提取私钥格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七 转换 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 还是 PAM 格式。例如：
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的转换，
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem

 

 

 

自己再补充理解：

对于https中的某一方，总共有三个元素需要注意：公钥私钥对、用来验证别人的证书的证书、给别人验证的证书。这三个文件根据不同场景可以有不同的组合，但一般是公钥私钥对+给别人验证的证书放在一个文件里，用来验证别人的证书的证书在一个文件里；还有一种形式就是三个元素都在一个文件里（如p12）文件。但没看到过三个分在三个文件里的。