前文介紹了如何產生數位憑證、私鑰、公鑰，而他們的檔案格式最常聽到的就是 PEM (Privacy Enhanced Mail) 與 DER (Distinguished Encoding Rules)。這兩者常常讓人搞混：到底有什麼不同？什麼情境下該用哪一個？今天就一次講清楚。

DER 格式

• 格式：純二進位編碼，不包含 Base64，直接用二進位方式表示資料。

• 副檔名：.der、.cer

• 使用情境：

  • 常見於 ASN.1 編碼的傳輸
  • Java (JKS keystore)、Windows 憑證匯入

PEM 格式

• 格式：把 DER 用 Base64 編碼後，再加上 -----BEGIN----- 與 -----END----- 標記。

• 副檔名：.pem

• 使用情境：

  • Web 伺服器 (Apache、Nginx)
  • 各式憑證、公鑰、私鑰
  • 易於人工閱讀與複製

副檔名的兩種意義

1. 以格式分類

   • .der → 二進位格式
   • .pem → Base64 + BEGIN/END

2. 以用途分類

   • .crt、.cer → 憑證
   • .key → 金鑰
   • .pfx → PKCS#12 (含憑證 + 私鑰)
   • .csr → 憑證請求

⚠️ 注意：像 .crt 檔案，它可能是 DER 也可能是 PEM，取決於生成方式。Windows 系統兩種都能解析。

各種 PEM 範例

前面 openssl 產生的預設都是 PEM 格式，把憑證、公鑰、私鑰檔案打開會長得像下面這樣

📄 憑證 (Certificate)

-----BEGIN CERTIFICATE-----
MIIDyzCCArKgAwIBAgIJANnVbBfqVVzM...
-----END CERTIFICATE-----

📄 公鑰 (Public Key)

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...
-----END PUBLIC KEY-----

📄 私鑰 (Private Key)

-----BEGIN PRIVATE KEY-----
MIIEvAIBADANBgkqhkiG9w0BAQEFAASC...
-----END PRIVATE KEY-----

📄 PKCS#7

-----BEGIN PKCS7-----
MIIDrDCCApSgAwIBAgIBATANBgkqhkiG...
-----END PKCS7-----

📄 PKCS#12

-----BEGIN PKCS12-----
MIICyDCCAbCgAwIBAgIBAjANBgkqhkiG...
-----END PKCS12-----

小結

• PEM = DER 的 Base64 文字版，方便讀取與交換。
• DER = 二進位格式，更適合程式處理。
• 副檔名 不一定代表格式，要實際看內容或用工具 (openssl x509 -in file -text -noout) 才能確認。

小辣椒魷魚羹

• 店名：小辣椒魷魚羹 西門店
• 地址：台北市萬華區漢中街34-2號
• 營業時間：星期五到三 10:30–00:00
• Google Maps
• 本系列地圖

這家是在西門町逛街偶然進去吃的店，查了一下發現還是連鎖店，滷肉飯是屬於全瘦的類型，口味不錯，搭配魷魚羹是個好選擇