openssl genrsa -out ca.key 2048

openssl req -new -x509 -days 36500 -key ca.key -out ca.crt

openssl genrsa -out client.pem 2048 
openssl rsa -in client.pem -out client.key

openssl req -new -key client.pem -out client.csr

openssl x509 -req -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 36500 -out client.crt

[root@danny ca]# openssl verify -CAfile ca.crt client.crt
client.crt: OK

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

[root@danny ca]# ls
ca.crt  ca.key  ca.pem  ca.srl  client.crt  client.csr  client.key  client.p12  client.pem

openssl x509 -outform der -in xxx.pem -out xxx.cer
openssl x509 -outform der -in xxx.pem -out xxx.crt

openssl x509 -in xxx.crt -out xxx.pem

keytool -importcert -keystore client.bks -file client.crt -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

PKCS#7：Cryptographic Message Syntax Standard

PKCS#10：Certification Request Standard

PKCS#12：Personal Information Exchange Syntax Standard

X.509：是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。

PKCS#7：常用的后缀是： .P7B .P7C .SPC

PKCS#12：常用的后缀有： .P12 .PFX

X.509：DER 编码(ASCII)的后缀是： .DER .CER .CRT

X.509：PAM 编码(Base64)的后缀是： .PEM .CER .CRT

.cer/.crt：是用于存放证书，它是2进制形式存放的，不含私钥。

.pem：跟crt/cer的区别是它以Ascii来表示。

pfx/p12：用于存放个人证书/私钥，他通常包含保护密码，2进制方式

p10：是证书请求

p7r：是CA对证书请求的回复，只用于导入

p7b：以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。