PFX 转 PEM 提取工具
在你的浏览器中打开受密码保护的 .pfx/.p12 文件,并将其拆分为证书、链和私钥 PEM 块。文件及其密码都留在你的设备上。
.pfx 文件及其密码完全在你的浏览器中解码,绝不会被上传——没有任何内容发送给 ArrayKit。请把提取出的私钥当作机密对待,妥善存放在安全的地方。
在转换 SSH 密钥?试试 PPK 转 PEM 转换工具。
关于 PFX 转 PEM 提取工具
这款 PFX 转 PEM 提取工具会打开受密码保护的 .pfx 或 .p12(PKCS#12)文件,并将其拆分为大多数 Web 服务器和工具所期望的各个独立 PEM 块:叶证书、任意 CA/链证书,以及私钥。把归档文件拖进来或用文件对话框选择它,输入密码,工具就会在页面中直接解码它。每个 PEM 块都会显示在自己的面板里,你可以复制它,或下载为 certificate.pem、private-key.pem 和 chain.pem。可用它把 Windows 或 IIS 证书包迁移到 nginx、Apache、HAProxy,或任何需要 PEM 文件而非单个 PKCS#12 数据块的工具。密码错误会给出清晰的错误,而不是一个损坏的文件。.pfx 文件及其密码都留在你的浏览器中,绝不会被上传。
功能特性
- 打开受密码保护的 .pfx 和 .p12(PKCS#12)归档
- 把整个包拆分为独立的证书、CA 链和私钥 PEM 块
- 同时处理加密的(pkcs8ShroudedKeyBag)和明文私钥袋
- 第一份证书被视为叶证书;其余归为 CA 链
- 复制每个 PEM 块,或下载为 certificate.pem、private-key.pem 或 chain.pem
- 密码错误时给出清晰的「incorrect password or not a valid PKCS#12 file」错误
- 支持通过拖放或文件选择器接受文件
- 完全在你的浏览器中运行——文件和密码绝不离开你的设备
如何使用 PFX 转 PEM 提取工具
- 把你的 .pfx 或 .p12 文件拖到框上,或点击选择它。
- 输入保护该 PKCS#12 归档的密码。
- 点击「Extract PEM」,在你的浏览器中解码文件。
- 复制每个 PEM 块,或下载 certificate.pem、private-key.pem 和 chain.pem。
示例
输入
server.pfx (PKCS#12, password: ••••••)
输出
certificate.pem
-----BEGIN CERTIFICATE-----
MIID… (leaf certificate)
-----END CERTIFICATE-----
private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIE… (private key)
-----END RSA PRIVATE KEY-----
chain.pem
-----BEGIN CERTIFICATE-----
MIID… (intermediate CA)
-----END CERTIFICATE-----
单个 .pfx 包被拆分为叶证书、私钥和 CA 链 PEM 文件。
常见错误与故障排除
- 你看到「Incorrect password or not a valid PKCS#12 file」。 — 重新输入创建 .pfx 时所用的确切密码(区分大小写),并确认该文件确实是扩展名为 .pfx 或 .p12 的 PKCS#12 归档,而不是普通的 .cer 或 .pem。
- 私钥面板是空的,但证书出现了。 — .pfx 是在不含私钥的情况下导出的(仅证书导出)。请从源头重新导出,选择包含私钥的选项,然后再试一次。
- 缺少 CA 链块。 — 并非每个 .pfx 都打包了中间证书。如果你的服务器需要完整的链,请在导出 .pfx 时启用「包含路径中的所有证书」,或从你的 CA 下载中间证书。
- nginx 或 Apache 拒绝 private-key.pem。 — 有些工具需要特定的 PEM 头。如果你得到的是 RSA PRIVATE KEY 但需要 PKCS#8 的 BEGIN PRIVATE KEY(或反之),请用 openssl pkey 转换它,然后让服务器指向转换后的文件。
常见问题
- 什么是 PFX / P12 文件?
- .pfx 或 .p12 文件是一个 PKCS#12 归档:一个受密码保护的单一包,把证书、它的 CA/链证书以及匹配的私钥打包在一起。Windows、IIS 和许多代码签名工具以此格式导出,而 nginx、Apache 和大多数 Linux 工具则需要把这些部分拆成独立的 PEM 文件。
- 如何把 PFX 转换为 PEM?
- 把 .pfx 拖到本工具上,输入密码,然后点击「Extract PEM」。它会把归档拆分为叶证书、CA 链和私钥,每一项都显示在自己可复制的面板中,并带有下载按钮,可下载 certificate.pem、private-key.pem 和 chain.pem。
- 我的私钥会被上传到服务器吗?
- 不会。.pfx 文件及其密码完全在你的浏览器、在你的设备上读取和解码。关于该文件或其内容的任何信息都不会发送给 ArrayKit 或其他任何地方。
- 为什么我需要密码?
- PKCS#12 归档是加密的,其中的私钥由创建文件时设置的密码保护。没有正确的密码就无法解密归档,因此也无法提取证书和私钥。
- 证书、链和私钥有什么区别?
- 叶证书标识你的域名或身份,CA 链是把它连回受信任根的中间证书,私钥则是密钥对中保密的那一半。Web 服务器通常需要叶证书和私钥,往往还需要链。
- 它同时支持 .pfx 和 .p12 扩展名吗?
- 支持。两者都是同一种 PKCS#12 格式——.pfx 在 Windows 上常见,.p12 在其他平台常见。无论文件叫什么名字,提取工具都能读取任一扩展名以及任何有效的 PKCS#12 归档。
相关工具
- PPK ↔ PEM 转换工具 — 在浏览器中本地将 SSH 私钥在 PuTTY .ppk 与 OpenSSH/PEM(RSA 和 Ed25519)之间转换。
- SSH 密钥生成器 — 在浏览器中生成 Ed25519、RSA 或 ECDSA 的 SSH 密钥对并下载。
- 证书与私钥匹配工具 — 检查 SSL 证书与私钥是否配对,并显示公钥指纹。
- JWT 解码器 — 解码 JWT 的头部和载荷,并查看 exp/iat(不做验证)。
- 哈希生成器 — 通过 Web Crypto API 生成 SHA-256 / SHA-1 / SHA-384 / SHA-512。
全部 ArrayKit 工具