pfx主要有两点:1.pfx文件包含私钥、公钥和证书。密钥和私钥和证书。2、pfx有访问密码保护私钥,不能随便查看。访问密码用于安全控制。pfx文件即使被别人获取,没有访问密码也很难获取到私钥。数字证书文件格式(cer和pfx)的区别1.带有私钥的证书由PublicKeyCryptographyStandards#12,PKCS#12标准定义,其中包含公钥的二进制格式证书形式和私钥,以pfx作为证书文件扩展名。2.二进制编码的证书证书中没有私钥,DER编码的二进制格式证书文件以cer作为证书文件的后缀名。3、Base64编码证书证书中没有私钥,BASE64编码格式的证书文件也使用cer作为证书文件的后缀。从定义中可以看出,只有pfx格式的数字证书才包含私钥,而cer格式的数字证书只包含公钥,没有私钥。在pfx证书的导入过程中,有一项“将此密钥标记为可导出。这将允许您稍后备份或传输密钥”。一般不选。如果选中,其他人将有机会备份您的密钥。如果不勾选,则实际导入密钥,但不能再次导出。这样可以保证密钥的安全。如果在导入过程中没有选择此项,则在做证书备份时“导出私钥”项是灰色的,无法选择。只能导出cer格式的公钥。如果导入时选择此项,则导出时“导出私钥”项可选。如果要导出私钥(pfx),需要输入密码。这个密码是对私钥再次加密,保证了私钥的安全。即使别人得到了你的证书备份(pfx),他们也不会知道加密后的私钥。密码无法导入到证书中。反之,如果只是导入导出cer格式的证书,则不会提示输入密码。因为公钥一般是对外公开的,不需要加密------------pfx密钥------------公钥加密+验证签名私钥解密+签名pfx不应在网络上传播。生成新的客户端证书,只需要通过CSR,CER..正确的流程应该是:客户端:生成私钥,填写证书相关信息CN/O/OU/EMail等。等等,使用生成证书请求CSR的私钥..通过网络将CSR发送到CACA:签署CSR,生成CERCA并将证书发送回客户端:将私钥+CER打包到PKCS#12(pfx)文件中。整个过程是不会传私钥的。如何转换证书理解pfx文件理解pfx文件
