作为文件形式存在的证书一般有这几种格式：

　　1.带有私钥的证书

　　由Public Key Cryptography Standards #12，PKCS#12标准定义，包含了公钥和私钥的二进制格式的证书形式，以pfx作为证书文件后缀名。

　　2.二进制编码的证书

　　证书中没有私钥，DER 编码二进制格式的证书文件，以cer作为证书文件后缀名。

　　3.Base64编码的证书

证书中没有私钥，BASE64 编码格式的证书文件，也是以cer作为证书文件后缀名。

由定义可以看出，只有pfx格式的数字证书是包含有私钥的，cer格式的数字证书里面只有公钥没有私钥。

　　在pfx证书的导入过程中有一项是“标志此密钥是可导出的。这将您在稍候备份或传输密钥”。一般是不选中的，如果选中，别人就有机会备份你的密钥了。如果是不选中，其实密钥也导入了，只是不能再次被导出。这就保证了密钥的安全。

　　如果导入过程中没有选中这一项，做证书备份时“导出私钥”这一项是灰色的，不能选。只能导出cer格式的公钥。如果导入时选中该项，则在导出时“导出私钥”这一项就是可选的。

　　如果要导出私钥（pfx),是需要输入密码的，这个密码就是对私钥再次加密，这样就保证了私钥的安全，别人即使拿到了你的证书备份（pfx),不知道加密私钥的密码，也是无法导入证书的。相反，如果只是导入导出cer格式的证书，是不会提示你输入密码的。因为公钥一般来说是对外公开的，不用加密。

Windows下常见两种证书，后缀为.cer的通常存放公钥，后缀为.pfx的通常存放私钥。有时候想看一下其中内容到底是什么，又不想写程序，这个时候OpenSSL的命令行工具就很有用了。

.cer格式比较好处理，它就是一个x509证书，openssl直接可以处理，只需要执行

openssl x509 -in test.cer -text

.pfx格式稍微麻烦一些，它是一个PKCS #12格式的文件，openssl似乎不能直接查看其中的内容，这时候需要把它先转成PEM格式的文件

openssl pkcs12 -in test.pfx -out test.pem -nodes

执行这个命令时，会让你输入.pfx文件中私钥的保护密钥。命令中的-nodes指明，输出的.pem文件中，不用对私钥加密，因为我们只是临时创建这个文件用于查看其中的内容。

有了PEM，剩下的就很自然了

openssl rsa -in test.pem -text

当然，这个命令假设私钥是RSA算法的密钥。

格式转换

Linux下大多数软件支持的证书格式是PEM，而不是.cer，所以常用的操作还有一个，就是.cer到.pem的转换，这个步骤这么做

openssl x509 -in test.cer -out test.pem

【附录：在线SSL证书格式转换工具】
1、工具地址：https://www.sslshopper.com/ssl-converter.html

2、SSL证书格式转换工具-中国数字证书CHINASSL https://www.chinassl.net/ssltools/convert-ssl.html

3、转换PEM证书格式到PFX证书格式操作指南 - 转换PEM格式证书到PFX格式证书操作指南 - 中国数字证书CHINASSL https://www.chinassl.net/?f=ssl_pem_pfx

源格式选择【PEM】， 目标格式选择【PFX】， 证书文件选择【domain.crt】，即SSL证书文件， 私钥文件选择【key.txt】，即私钥Private Key， PFX格式密码【输入密码，非常重要】， 根证书文件选择【ca.crt】，即CA证书文件， 以上信息确认无误点击【转换证书格式】按钮

您好！

向您请教一个问题，我访问一个站点，打开应用后提示SSL错误61,我知道是没有安装证书到根证书颁发机构；

请问我有TrustAsia RSA DV TLS CA G2和Sectigo(AAA)根证书的情况下，该怎么安装根证书呢？

错误提示如下：