En fonction du serveur et de la version du serveur, nous devons utiliser différents formats de certificat. Quant aux serveurs traditionnels du marché, ils ont probablement les formats suivants :
Le certificat X.509 est essentiellement un document numérique codé ou signé numériquement conformément à la RFC 5280.
codage
- .DER, le fichier est au format binaire et enregistre uniquement le certificat, pas la clé privée. .DER = L’extension DER est utilisée pour les certificats binaires codés DER. Ces fichiers peuvent également héberger des extensions CER ou CRT. La déclaration correcte est "J'ai un certificat codé DER" et non "J'ai un certificat DER". Et le format DER n'est que la forme binaire du certificat, pas le format ASCII PEM. Il a parfois une extension de fichier .der, mais son extension de fichier est généralement .cer, donc la seule façon de faire la différence entre un fichier DER .cer et un fichier PEM .cer est de l'ouvrir dans un éditeur de texte et de rechercher BEGIN/ Instruction FIN. Tous types de certificats et clés privées peuvent être encodés au format DER.
- .PEM, généralement au format texte, permet de sauvegarder des certificats et des clés privées. .PEM = L'extension PEM est utilisée pour différents types de fichiers X.509v3 et constitue le format le plus courant pour les certificats émis par les autorités de certification. Les certificats PEM ont généralement des extensions telles que .pem, .crt, .cer et .key. Il s'agit de fichiers ASCII codés en Base64 contenant les instructions "----- BEGIN CERTIFICATE -----" et "----- END CERTIFICATE -----".
fichier de suffixe
- CER : forme alternative de .crt (Convention Microsoft) Vous pouvez convertir .crt en .cer (.cer codé en DER ou .cer encodé en base64 [PEM]) dans l'environnement système Microsoft.
- .CRT, qui peut être au format binaire ou au format texte, ne sauvegarde pas la clé privée. .CRT = L'extension CRT est utilisée pour les certificats. Les certificats peuvent être codés en binaire DER ou ASCII PEM. Les extensions CER et CRT sont presque synonymes. Le plus courant sur les systèmes Unix ou de type Unix.
- .PFX .P12, au format binaire, contient à la fois un certificat et une clé privée, généralement protégées par mot de passe.
- .JKS, au format binaire, contient à la fois un certificat et une clé privée, généralement protégées par mot de passe.
LE
Ce format est un contenu de fichier binaire et constitue le codage préféré pour les serveurs Java et Windows.
PEM
Privacy Enhanced Mail, généralement au format texte, -----BEGIN...commence et -----END...se termine par . Le contenu au milieu est encodé en BASE64. Ce format permet de sauvegarder des certificats et des clés privées. Parfois, nous changeons également le suffixe de la clé privée au format PEM en .key pour distinguer le certificat et la clé privée. Vous pouvez voir le contenu du fichier pour plus de détails.
Ce format est couramment utilisé par les serveurs Apache et Nginx.
CRT
L'abréviation de Certificat peut être au format de codage PEM ou au format de codage DER. Veuillez vous référer aux deux premiers formats pour savoir comment le visualiser.
PFX
Prédécesseur de PKCS#12, ce format est un format binaire, et le certificat et la clé privée existent dans un fichier PFX. Généralement utilisé sur les serveurs IIS sous Windows. Les fichiers formatés ont généralement un mot de passe pour garantir la sécurité de la clé privée.
JKS
Java Key Storage, il est facile de savoir qu'il s'agit d'un format propriétaire de JAVA. Vous keytool pouvez utiliser un outil appelé JAVA pour convertir le format. Généralement utilisé pour les serveurs Tomcat.
Vous pouvez aller ici pour convertir le format : Conversion du format de certificat 
https://myssl.com/cert_convert.html
cryptage asymétrique
Générez un fichier de paire de clés contenant la clé publique et la clé privée : openssl genrsa -out test.pem 2048
Extrayez la clé privée : openssl rsa -in test.pem -out test_pri.pem
Extrayez la clé publique : openssl rsa -in test.pem -pubout -out test_pub.pem
Clé privée à non chiffrée
openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key
Clé privée de chiffrement
openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key
Plus d'utilisations d'openssl : utilisez openssl pour générer des certificats - American Code Engineer - Blog Park