公司的同事问到我一些有关 ssl 转换的问题，常见的 iis 上的还有 ibm 的 ihs 上的转换，所以研究了一下，记录如下。

 1. 导出 IBM keystore certificate 成标准的 apache/openssl/mod_ssl 可以使用的 x509 的证书

刚见到这个时晕了，一堆文件, .sth.kdb.rdb.crl 之类，查了很久后才发现是 ibm 自己搞的一个格式，如果转换我们先要使用 gsk6ikm.exe 之类的软件来导出 WebSphere or IBMIHS server 的.kdb file 成为 .p12/.pk12 格式，这样我们才能接着转换。

我给一个图形的转换的 pdf 给大家参考：

https://www.gxsolc.com/public/EDI/us/support/Products/expedite/Exp_Base_iKEYMAN_setup.pdf

转完后，在使用下面 openssl 的方法就能转出来了。

从 pkcs12 中来取这个的 crt 文件,可能要去掉"―-BEGIN CERTIFICATE―-"之类的信息

openssl pkcs12 -in ihscert.p12 -clcerts -nokeys -out ihscert.crt

 如果需要 key 文件，可以还使用 openssl 中的命令，先生成一个没有 certs 的文件，然后在导出 key 文件

openssl pkcs12 -in ihscert.p12 -nocerts -nodes -out middle.tmp
openssl rsa -in middle.tmp -out ihskey.key

2. 常见的 windows 中的证书 PFX 转成可用的 X509 证书文件和 RSA 密钥文件
这也是个很烦人的东西 ，我们知道.pfx/.p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式.转换过程如下:

openssl pkcs12 -in server.pfx -nodes -out server.pem # 生成明文所有内容
openssl rsa -in server.pem -out server.key # 取 key 文件
openssl x509 -in server.pem -out server.crt # 取证书

建议继续学习：

1. 给Nginx配置一个自签名的SSL证书    (阅读：2233)
2. java 安全沙箱模型详解    (阅读：2181)
3. 你不在意的HTTPS证书吊销机制    (阅读：921)