OpenSSL是一个软件库，几乎可以在每台服务器上启用SSL / TLS协议。因此，尽管可能没有X.509证书的通用文件格式，但至少存在用于在服务器上操作它们的通用语言。OpenSSL是用C编程语言编写的，这使得即使具有基本的编程知识的人也可以非常方便地使用它。因此，现在让我们讨论如何将SSL证书常见格式进行转换。

一、OpenSSL生成合成PFX文件

是将Apache/OpenSSL使用的“KEY文件 + CRT文件”转换为标准的PFX文件，可以将PFX文件格式导入到微软IIS 5/6/7、微软ISA、微软Exchange Server等软件。

OpenSSL pkcs12 -export -out server.pfx -inkey server.key -in server.crt

(server.key是私钥文件 server.crt文件包含两段内容，请不要删除任何一段内容，生成的server.pfx用于导入IIS)

二、OpenSSL从PFX导出私钥、公钥

1、提取密钥对（如果pfx证书已加密，会提示输入密码。）

OpenSSL pkcs12 -in server.pfx -nocerts -nodes -out 1.key

2、从密钥对提取私钥（一般apache和nginx配置需要）

OpenSSL rsa -in 1.key -out 1_pri.key

3、从密钥对提取公钥

OpenSSL rsa -in 1.key -pubout -out 1_pub.key

三、OpenSSL从PFX导出服务器证书

服务器客户端证书取得：OpenSSL pkcs12 -in server.pfx -clcerts -nokeys -out server.cer

四、PFX格式证书转换为JKS格式证书

keytool -importkeystore -srckeystore domains_ssl.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS 回车后输入JKS证书密码和PFX证书密码，强烈推荐将JKS密码与PFX证书密码相同，否则可能会导致Tomcat启动失败。