SSL 證書基本概念

PKC: Public-Key certificate 公鑰證書或者簡(jiǎn)稱Certificate

CA: Certification Authority認(rèn)證機(jī)構(gòu)，對(duì)公鑰施加數(shù)字簽名

CRL: Certificate Revocation List證書作廢清單

PKI: Public Key Infrastructure公鑰基礎(chǔ)設(shè)置，是為了能夠更有效的運(yùn)用公鑰而制定的一系列規(guī)范和規(guī)格的總稱。

PKCS: PKI的一種，由RSK制定Public-Key Cryptography Standards.

Root CA: 根CA，最高的級(jí)別的機(jī)構(gòu)對(duì)自己的公鑰進(jìn)行數(shù)字簽名的行為成為自簽名 (Self-signature)

數(shù)字證書格式（cer和pfx）的區(qū)別 

1. pfx 證書文件是帶有私鑰，由Public Key Cryptography Standards #12，PKCS#12標(biāo)準(zhǔn)定義，包含了公鑰和私鑰的二進(jìn)制格式的證書形式

2.二進(jìn)制編碼的證書 
證書中沒有私鑰，DER 編碼二進(jìn)制格式的證書文件，以cer作為證書文件后綴名。 

3.Base64編碼的證書 
證書中沒有私鑰，BASE64 編碼格式的證書文件，也是以cer作為證書文件后綴名。

由定義可以看出，只有pfx格式的數(shù)字證書是包含有私鑰的，cer格式的數(shù)字證書里面只有公鑰沒有私鑰。

在pfx證書的導(dǎo)入過程中有一項(xiàng)是“標(biāo)志此密鑰是可導(dǎo)出的。這將您在稍候備份或傳輸密鑰”。一般是不選中的，如果選中，別人就有機(jī)會(huì)備份你的密鑰了。如果是不選中，其實(shí)密鑰也導(dǎo)入了，只是不能再次被導(dǎo)出。這就保證了密鑰的安全。

如果導(dǎo)入過程中沒有選中這一項(xiàng)，做證書備份時(shí)“導(dǎo)出私鑰”這一項(xiàng)是灰色的，不能選。只能導(dǎo)出cer格式的公鑰。如果導(dǎo)入時(shí)選中該項(xiàng)，則在導(dǎo)出時(shí)“導(dǎo)出私鑰”這一項(xiàng)就是可選的。

如果要導(dǎo)出私鑰（pfx),是需要輸入密碼的，這個(gè)密碼就是對(duì)私鑰再次加密，這樣就保證了私鑰的安全，別人即使拿到了你的證書備份（pfx),不知道加密私鑰的密碼，也是無(wú)法導(dǎo)入證書的。相反，如果只是導(dǎo)入導(dǎo)出cer格式的證書，是不會(huì)提示你輸入密碼的。因?yàn)楣€一般來說是對(duì)外公開的，不用加密