你有没有注意到自己签发的https证书浏览器提示不可信？为啥不可信？怎么才能可信？在配置证书时经常遇到.p12、.pfx、.der、.cer、.crt、.pem这都是啥？pki又是啥，解决什么问题的？什么是公钥、什么是私钥

什么是公私钥？

公私钥是密码学中的概念，主要解决无法通过密文统计推断出秘钥的问题。

早起密码学发展的过程中，没有现在这么复杂的公私钥方式对信息进行加密。早起就是通过一下基础对应关系对信息进行加密的。现在谍战电视剧中经常看到的，拿到密文后找一个对照表进行翻译。这种密文被截获后很容易通过统计学就能找到秘钥。找到秘钥以后你所有的信息都是明文了。

公钥就是字面的意思公开的秘钥，谁都可以拥有，可以传播 私钥就是字面的意思私有的秘钥，只有自己可以拥有，并且不能传播 公钥和私钥是一对，私钥用来解密和签名、公钥用来加密和验签。

文件形式的证书格式

• •P12（含私钥）：PKCS#12 标准，二进制格式，后缀 .pfx，常用于 Windows。

• •DER（二进制编码，无私钥）：后缀 .cer，常用于 Java、Linux。

• PEM（Base64 编码，无私钥）：后缀 .cer，常用于 Apache。

PKI是什么

现在有了公私钥，但是有个问题就是公钥的身份无法确认，现在随便一个人都可以签名发布。为了解决这个公钥的信任问题，就有了PKI，PKI是公钥基础设施，通过这套基础设施对公钥进行统一的管理，通过PKI体系可以对公钥进行发布、吊销等管理操作。PKI公钥基础设施包括认证机构（CA）、注册机构（RA）、证书撤销列表（CRL）基础设施组成。

CA是什么

CA是PKI中最基础的组成部分，是一个可信的证书颁发、吊销的机构。当前可信的根证书机构可以在windows或mac系统本地看到。

操作系统已将根证书颁发机构内置到操作系统中了，所以我们平时访问https://www.landui.com时浏览器并不会提示网站不安全。而自己生成的签名搭建的https服务器，通过浏览器访问时还是会提示证书不可信，点击继续浏览。根本原因就是我们自己签发的证书的根证书在操作系统中并不是可信的机构。解决方案就是将自己签发的根证书导入到操作系统即可。

数字证书是什么

数字证书就是一个包含了公钥信息以及公钥拥有者信息的文件。这是这个文件有一定的结构组成，它遵循x.509 v3格式。既然数字证书是一个文件，那就可以有各种后缀，常见数字证书后缀包括.p12/.pfx、.der/.cer/.crt、.pem/.cer/.crt分别对应三种格式PKCS#12、DER、PEM，不同格式可以包括的信息不同，主要区别就是是否可以包含私钥，PKCS#12、PEM这两种可以包含私钥也可以不包含私钥，DER不可以包含私钥。

根证书、自签名证书、CA证书、本地证书区别是什么

自签名证书就是自己签发给自己的证书，就是证书中的颁发者和主体名相同，自签名证书又叫根证书。CA证书就是CA自己的证书，如果CA没有多个层级，根证书就是CA证书。本地证书是通过CA颁发给申请者的证书。

更多关于SSL证书的技术小知识，欢迎登录蓝队云官网查看。蓝队云官网上集成了很多域名注册、云服务器、虚拟主机、SSL证书的技术文档可供查阅，另外，蓝队云提供免费SSL证书使用，需要可以领取哦。