PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析

最新推荐文章于 2025-04-07 15:14:27 发布
最新推荐文章于 2025-04-07 15:14:27 发布
阅读量647 收藏 20
点赞数 29
分类专栏: 各种问题 文章标签: ssl https 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gs80140/article/details/147044628
版权

目录

📌PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析

✅1. 域名证书(domain certificate,通常为 .crt 文件)

✅2. 根证书(root_bundle.crt 或 ca_bundle.crt)

📘博客正文:PEM 格式证书详解:什么是 .crt 和 root_bundle.crt?

一、PEM 是什么格式?

二、域名证书 vs 根证书

三、实际部署示例(Nginx)

四、常见误区

✅总结

📌PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析

在使用 HTTPS 或其他 TLS 安全通信协议时,经常会涉及到“PEM 格式证书”。一个完整的 PEM 证书通常由多个部分组成,最常见的组合形式是:

PEM 格式证书 = 域名证书(.crt) + 根证书(root_bundle.crt)

下面分别解释这两个文件的含义及其作用:

✅1. 域名证书(domain certificate,通常为 .crt 文件)

这是服务器申请到的专属证书,也叫 服务器证书站点证书,它:

  • 是 CA(证书颁发机构)签发给特定域名的证书;

  • 含有服务器的公钥、公钥加密算法、颁发者、有效期、指纹等信息;

  • 用于证明当前访问的服务器就是你要访问的那个域名,比如 example.com

  • 只验证当前站点的身份,无法单独建立信任链。

👉 文件样例内容(PEM 格式)

-----BEGIN CERTIFICATE-----
MIID...(中间省略)
-----END CERTIFICATE-----
✅2. 根证书(root_bundle.crt 或 ca_bundle.crt)

这是构建**信任链(Certificate Chain)**所必需的“中间证书 + 根证书”的集合:

  • 中间证书(Intermediate CA):由根 CA 签发,是站点证书的直接签发者;

  • 根证书(Root CA):由操作系统或浏览器信任的顶级权威证书。

📌 所有这些组成一条从你的站点到受信任根 CA 的完整链条,只有有了这条链,浏览器才会显示绿色锁标志 🔒。

👉 文件内容通常包含多个证书段

-----BEGIN CERTIFICATE-----
中间证书内容
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
根证书内容
-----END CERTIFICATE-----

📘博客正文:PEM 格式证书详解:什么是 .crt 和 root_bundle.crt?

在部署 HTTPS 时,很多朋友可能都遇到过 .crtroot_bundle.crt 等证书文件。尤其是在使用 Apache、Nginx 或其他 Web 服务配置 SSL 时,往往需要你提供一个“PEM 格式”的证书文件。

那究竟什么是 PEM 格式证书?它为什么需要多个 .crt 文件组合?本文将带你快速搞懂这些概念。

一、PEM 是什么格式?

PEM,全称为 Privacy Enhanced Mail,是一种 ASCII 格式的证书存储方式。它以如下格式存储证书:

-----BEGIN CERTIFICATE-----
Base64 编码内容
-----END CERTIFICATE-----

PEM 文件通常以 .pem.crt.cer.key 结尾,并不区分严格命名,而是看内容格式是否为 -----BEGIN/END 这种结构。

二、域名证书 vs 根证书

部署 TLS 通信时,至少需要两个关键部分:

文件名称说明
域名证书 .crtCA 颁发给你网站域名的证书(只验证你的网站)
根证书 bundle.crt包含中间证书和根证书,构建完整的信任链

域名证书自己是无法建立信任的,必须依赖于 CA 机构签发的中间证书和根证书。这些内容一般被打包在 ca_bundle.crtroot_bundle.crt 中。

三、实际部署示例(Nginx)

在 Nginx 配置中,可能会看到如下配置:

ssl_certificate     /etc/nginx/ssl/fullchain.pem;   # 这是 domain.crt + root_bundle.crt
ssl_certificate_key /etc/nginx/ssl/domain.key;      # 私钥

其中 fullchain.pem 通常是:

cat domain.crt root_bundle.crt > fullchain.pem

这样浏览器在连接你的服务器时,可以验证整个证书链,避免“证书不受信任”的问题。

四、常见误区

  1. 只上传域名证书:可能导致客户端验证失败,因为缺少信任链。

  2. 忽略证书顺序:在拼接 fullchain 时,要先放域名证书,再放中间和根证书,不能乱。

  3. 文件后缀随意:虽然后缀可以为 .crt.pem 等,但内容必须符合 PEM 格式结构。

✅总结

PEM 格式证书本质上是一种纯文本编码方式,通常由:

  • 域名证书 .crt(站点专属)

  • 根证书 root_bundle.crt(中间+根CA) 拼接而成,用于构建安全信任链,保证浏览器和客户端对服务器身份的信任。

记住:部署 HTTPS 不是只靠一个 .crt 文件,而是靠整个证书链!

springboot使用国密sm2证书,腾讯Kona国密套件,生成truststore.p12生成keystore.p12。angie nginx 配置sm2国密证书
小小酥的博客
01-24 1111
kona的demo的truststore.p12和keystore.p12的合成,nginx angie配置sm2证书
linux添加ssl信任根证书,linux系统添加根证书linux证书信任列表
weixin_42363510的博客
05-03 770
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx ~]# curl -v https://mobile.mycard520.com.tw* About to connect() to mobile.mycard520.com.tw port 443 (#0)* Trying 220.130.127.122... connected* Connec...
ssl证书合成安装
weixin_44371237的博客
03-01 1225
先到腾讯申请免费证书 到订单管理-点击SSL证书详情-点击“资源ID” 下载证书 得到的apache证书如下图,有 .key 域名证书.crt 根证书(root_bundle).crt 到宝塔站点页面,选择SSL-其他证书,如下图 注意 PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 域名证书.crt黏贴完记得 换行 再黏贴(root_bundle).crt ...
宝塔SSL证书配置规则
hjc_042043的博客
02-01 497
宝塔配置ssl证书
根据.crt文件生成.pem文件
flymore96的博客
04-06 1159
根据.crt文件生成.pem文件 openssl x509 -in server.crt -out server.pem
如何将 .crtbundle.crt 拼接为 fullchain.pem
最新发布
gs80140的专栏
04-07 358
domain.crt→,用于服务器加载完整证书链。
证书转换crt pem fpx cer p7b p7c key-小白笔记
码灵的博客
08-28 8305
证书转换 1crt 证书转换成pem openssl x509 -in rootCA.crt -out rootCA.pem
crt证书linux使用,linux下使用openssl生成httpscrt和key证书
weixin_39719042的博客
05-15 393
x509证书一般会用到三类文,key,csr,crtKey 是私用密钥openssl格,通常是rsa算法。Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。1.key的生成openssl genrsa -des3 -out server....
宝塔linux怎么部署腾讯云ssl,如何申请腾讯云免费ssl证书并部署到宝塔面板?
weixin_39867296的博客
05-17 1363
腾讯云免费SSL证书是腾讯云为用户提供的一款免费一年使用的SSL证书,用起来方便、快捷。同时搭配现在很热门的建站神器:宝塔面板,即使小白也能在很短时间内搞定网站域名“小绿锁”。今天老魏详细讲解如何申请腾讯云免费SSL证书,并部署到宝塔面板中。一、注册帐号在腾讯云申请证书首先需要注册腾讯云账号并且完成实名认证。新用户请点我直达腾讯云官网,从右上角的【免费注册】,进入注册页面。注册后要先完成实名认证,...
openssl命令生成根证书和使用根证书签名工作证书
chali1314的博客
09-08 5006
建立根证书流程如下: //生成私钥,产生CARoot.key文件,需要输入私钥保护口令 openssl genrsa -des3 -out CARoot.key 2048 //生成证书请求,需要输入CARoot.key私钥保护口令。根据提示输入:国家、省份、组织名、邮箱、等信息。最后生成CARoot.csr证书请求文件。 openssl req -new -key CARoot.key -out CARoot.csr -config openssl_root_ca.cnf //签发证书,最后生成自签..
一看就懂!配置 Nginx SSL 证书,你只需这些文件
运维724
01-08 590
CSR 是什么?申请证书时的“简历”,用完即可丢到一边。私钥的重要性:加密通信的核心,绝对不能泄露。证书链的作用:帮客户端验证你的证书是可信的。Nginx 配置文件配置指向证书链文件(配置指向私钥文件(通过这篇文章,希望你不仅能搞懂这些文件的作用,还能轻松完成 HTTPS 配置。
网站搭建 -- 部署Https 证书 缺少 Root CA Certificate
yetugeng的专栏
07-21 3531
测试网站 我们在搭建web站点时,为了安全,现在都要使用SSL证书。 一个好用的测试网站可以检测你的SSL配置是否正确。 https://www.geocerts.com/ssl-checker 该网站可以自定义检测的端口(大部分检测网站都只能使用默认端口443) 检测结果如下 可以看到最后一栏,Certificate Chain Complete 检测的是证书链是否完整这...
linux添加ssl信任根证书,linux系统添加根证书 linux证书信任列表
weixin_30054007的博客
05-03 1451
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connec...
linux安装微信商户证书,微信支付-证书安装+使用+CentOS+Python+Tornado
weixin_30615567的博客
05-15 1914
本篇要讲的是:如何在CentOS下通过Python+Tornado搭建的网站使用微信支付相关的接口证书的问题官方文档:https://pay.weixin.qq.com/wiki/doc/api/tools/mch_pay.php?chapter=14_2步骤:1.后端CentOS服务器基本信息$ lsb_release -aLSB Version::core-4.1-amd64:core-4.1...
go mod 使用旧版本 版本号指定
热门推荐
gs80140的专栏
07-10 2万+
在使用go mod的过程中,发现不容易指定版本号 尤其是没有打tag的,不知道怎么指定版本号, 不知道有哪版本号 正常使用都没有问题,但是当引用的项目用了旧的代码, 这时候必须使用旧的版本,无法指定版本,不知道如何入手 尤其是k8s.io不知道是什么鬼, 从哪里看它的代码,只知道github.com 这个时候在 go.mod文件中 require 里面加上 github.com/kuberne...
kubeadm join 超时  uploading crisocket: timed out waiting for the condition
gs80140的专栏
06-18 1万+
kubeadm join 192.168.220.128:6443 --token somttu.2cxum2mi9eo9djkt --discovery-token-ca-cert-hash sha256:a2bab2a96f6fc328f764e5454e52f4bf98723f6113861ecefa0e2ec57684cc2f --ignore-preflight-errors=all ...
windows 10 自带的 ubuntu 安装 g++ 遇到的问题Depends: g++-4.8 (>= 4.8.2-5~) but it is not going to be installed
gs80140的专栏
04-26 1万+
windows 10自带ubuntu版本 No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 16.04.2 LTS Release: 16.04 Codename: xenial sudo apt-get install g++ Reading p...
java.lang.AbstractMethodError: org.slf4j.impl.Log4jLoggerAdapter.log
gs80140的专栏
11-13 9085
启动  严重: Exception sending context initialized event to listener instance of class org.springframework.web.context.ContextLoaderListener java.lang.AbstractMethodError: org.slf4j.impl.Log4jLoggerAdapt
win10 docker desktop 报 docker desktop stopped
gs80140的专栏
10-24 7496
docker desktop 在win10安装
linux安装根证书
09-16
在Linux系统中,安装根证书的步骤如下: 1.根证书转换为.pem格式: openssl x509 -inform der -in root.crt -out root.pem -outform PEM 2..pem格式根证书添加到系统的证书信任列表: cat root.pem >> /etc/pki/tls/certs/ca-bundle.crt 3. 更新证书信任列表: update-ca-trust 请注意,上述步骤中的root.crt根证书文件的路径,你需要根据实际情况进行替换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值