摘要：通過工具包中的工具，生成格式的證書文件。文件這樣的證書文件可以是二進制格式，也可以是文本格式，一般均為文本格式，功能與及證書文件相同。在您實際部署數字證書時，請使用通過此轉換步驟分離出來的私鑰和您申請得到的公鑰證書匹配進行部署。

先看這篇文章，對數字證書的格式有個了解
https://help.aliyun.com/knowl...

主流數字證書都有哪些格式？
一般來說，主流的 Web 服務軟件，通常都基于 OpenSSL 和 Java 兩種基礎密碼庫。

Tomcat、Weblogic、JBoss 等 Web 服務軟件，一般使用 Java 提供的密碼庫。通過 Java Development Kit （JDK）工具包中的 Keytool 工具，生成 Java Keystore（JKS）格式的證書文件。

Apache、Nginx 等 Web 服務軟件，一般使用 OpenSSL 工具提供的密碼庫，生成 PEM、KEY、CRT 等格式的證書文件。

IBM 的 Web 服務產品，如 Websphere、IBM Http Server（IHS）等，一般使用 IBM 產品自帶的 iKeyman 工具，生成 KDB 格式的證書文件。

微軟 Windows Server 中的 Internet Information Services（IIS）服務，使用 Windows 自帶的證書庫生成 PFX 格式的證書文件。

如何判斷證書文件是文本格式還是二進制格式？

您可以使用以下方法簡單區分帶有后綴擴展名的證書文件：

.DER 或 .CER 文件： 這樣的證書文件是二進制格式，只含有證書信息，不包含私鑰。
.CRT 文件： 這樣的證書文件可以是二進制格式，也可以是文本格式，一般均為文本格式，功能與 .DER 及 *.CER 證書文件相同。
.PEM 文件： 這樣的證書文件一般是文本格式，可以存放證書或私鑰，或者兩者都包含。 .PEM 文件如果只包含私鑰，一般用 *.KEY 文件代替。
.PFX 或 .P12 文件： 這樣的證書文件是二進制格式，同時包含證書和私鑰，且一般有密碼保護。
您也可以使用記事本直接打開證書文件。如果顯示的是規則的數字字母，例如：

—–BEGIN CERTIFICATE—–
MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......
—–END CERTIFICATE—–
那么，該證書文件是文本格式的。

如果存在——BEGIN CERTIFICATE——，則說明這是一個證書文件。
如果存在—–BEGIN RSA PRIVATE KEY—–，則說明這是一個私鑰文件。
證書格式轉換

因此從阿里下載下來的證書文件：xxx.key xxx.pem xxx.pfx .key為私鑰文本類型，.pem為證書文本類型，xxx.pfx 證書和私鑰

以下證書格式之間是可以互相轉換的。

證書格式轉換關系

您可使用以下方式實現證書格式之間的轉換：

注意： 云盾證書服務統一使用 PEM 格式的數字證書文件。

1. 將 JKS 格式證書轉換成 PFX 格式

您可以使用 JDK 中自帶的 Keytool 工具，將 JKS 格式證書文件轉換成 PFX 格式。

例如，您可以執行以下命令將 server.jks 證書文件轉換成 server.pfx 證書文件：

keytool -importkeystore -srckeystore D:server.jks -destkeystore D:server.pfx -srcstoretype JKS -deststoretype PKCS12

2. 將 PFX 格式證書轉換為 JKS 格式

您可以使用 JDK 中自帶的 Keytool 工具，將 PFX 格式證書文件轉換成 JKS 格式。

例如，您可以執行以下命令將 server.pfx 證書文件轉換成 server.jks 證書文件：

keytool -importkeystore -srckeystore D:server.pfx -destkeystore D:server.jks -srcstoretype PKCS12 -deststoretype JKS

3. 將 PEM/KEY/CRT 格式證書轉換為 PFX 格式

您可以使用 OpenSSL工具，將 KEY 格式密鑰文件和 CRT 格式公鑰文件轉換成 PFX 格式證書文件。

例如，將您的 KEY 格式密鑰文件（server.key）和 CRT 格式公鑰文件（server.crt）拷貝至 OpenSSL 工具安裝目錄，使用 OpenSSL 工具執行以下命令將證書轉換成 server.pfx證書文件：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

將PFX轉換為PEM/KEY/CRT

您可以使用 OpenSSL工具，將 PFX 格式證書文件轉化為 KEY 格式密鑰文件和 CRT 格式公鑰文件。

例如，將您的 PFX 格式證書文件拷貝至 OpenSSL 安裝目錄，使用 OpenSSL 工具執行以下命令將證書轉換成 server.pem 證書文件、KEY 格式密鑰文件（server.key）和 CRT 格式公鑰文件（server.crt）：

openssl pkcs12 -in server.pfx -nodes -out server.pem
openssl rsa -in server.pem -out server.key
openssl x509 -in server.pem -out server.crt
注意： 此轉換步驟是專用于通過 Keytool 工具生成私鑰和 CSR 申請證書文件的，并且通過此方法您可以在獲取到 PEM 格式證書公鑰的情況下分離私鑰。在您實際部署數字證書時，請使用通過此轉換步驟分離出來的私鑰和您申請得到的公鑰證書匹配進行部署。

----------------------------以上是鏈接中的內存--------------------------------------------
----------------------------下面是操作---------------------------------------------------
1.去阿里云服務器官網去申請證書，下載證書格式選擇tomcat相關的，因為包含.pfx格式的文件，所以可以直接通過keytool工具轉換

2.keytool -importkeystore -srckeystore D:server.pfx -destkeystore D:server.jks -srcstoretype PKCS12 -deststoretype JKS
文件路徑自己替代即可，執行該指令需要輸入

目標秘鑰庫的密碼：即要生成的.JKS的密碼
源秘鑰庫的密碼：即下載的證書文件中pfx-password.txt中的密碼

導入成功會提示，生成的.jks秘鑰庫種，別名對應的密碼即為pfx-password.txt中的密碼

3.可以通過keytool -list -v -keystore xxx.jks -storepass xxx 來查看秘鑰庫相關的信息

4.在java代碼中應用
http://blog.csdn.net/fw0124/a...
對于單項認證：

server側只需要自己的keystore文件，不需要truststore文件
client側不需要自己的keystore文件，只需要truststore文件（其中包含server的公鑰）。
此外server側需要在創建SSLServerSocket之后設定不需要客戶端證書：setNeedClientAuth(false)

如果不驗證證書，可以重寫TrustManager