我正在使用libreSSL v2.8.3在macbook上尝试openssl，并得到错误“没有证书匹配私钥”。我有一个域证书，2个中间证书和1个根证书。所以我使用以下命令成功地工作:

openssl pkcs12 -export -clcerts -inkey private.csr.key -in domain.name.crt -certfile intermediate1.crt -certfile intermediate2.crt -certfile root.crt -out domain.name.p12 -name "Your Name"

它将要求在导入过程中使用的密码。该命令将生成一个.p12文件，该文件可以重命名为.pfx，因为两者是相同的。

您需要使用openssl。

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

密钥文件只是一个文本文件，其中包含您的私钥。

如果您有根CA和中间cert，那么也可以使用多个in参数将它们包括在内

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -in intermediate.crt -in rootca.crt

如果你有一个捆绑的crt文件，你可以在nginx中使用，你可以把它和cert一起传入:

cat domain.name.crt | tee -a domain.name.bundled.crt
cat intermediate.crt | tee -a domain.name.bundled.crt
cat rootca.crt | tee -a domain.name.bundled.crt
openssl pkcs12 -export -out domain.name.pfx \
  -inkey domain.name.key \
  -in domain.name.bundled.crt 

您可以从这里安装openssl: openssl

我有你要求的链接。使用OpenSSL将CRT和KEY文件合并为PFX

以上连结摘录:

First we need to extract the root CA certificate from the existing .crt file, because we need this later. So open up the .crt and click on the Certification Path tab. Click the topmost certificate (In this case VeriSign) and hit View Certificate. Select the Details tab and hit Copy to File… Select Base-64 encoded X.509 (.CER) certificate Save it as rootca.cer or something similar. Place it in the same folder as the other files. Rename it from rootca.cer to rootca.crt Now we should have 3 files in our folder from which we can create a PFX file. Here is where we need OpenSSL. We can either download and install it on Windows, or simply open terminal on OSX.

编辑:

有一个支持链接，提供了关于如何安装证书的分步信息。 安装成功后，导出证书，选择.pfx格式，包含私钥。 重要提示:要以.pfx格式导出证书，您需要在请求证书的同一台机器上执行以下步骤。 导入的文件可以上传到服务器。

这是迄今为止最简单的转换方法。Cer到*。可以文件:

只需从DigiCert下载便携式证书转换器: https://www.digicert.com/util/pfx-certificate-management-utility-import-export-instructions.htm

执行它，选择一个文件，并得到你的*.pfx!!

当您说证书在MMC中可用时，它是在“当前用户”或“本地计算机”下可用吗?我发现只有在本地计算机下才能导出私钥。

您可以将证书管理单元添加到MMC，并选择它应该为哪个帐户管理证书。选择本地计算机。如果您的证书不在那里，请通过右键单击存储区并选择All Tasks > import来导入它。

现在，在证书管理单元的本地计算机版本下导航到导入的证书。右键单击证书，选择“All Tasks > Export”。导出向导的第二页应该询问您是否要导出私钥。选择Yes。PFX选项现在将是唯一可用的选项(如果选择no，则显示灰色，并且当前用户帐户下无法导出私钥)。

系统将要求您为PFX文件设置密码，然后设置证书名称。

你不需要openssl或makecert或任何。你也不需要CA给你的个人密钥。我几乎可以保证，问题是你希望能够使用CA提供的密钥和cer文件，但它们不是基于“IIS方式”。

SSL证书IIS与PFX一劳永逸- SSL和IIS解释- http://rainabba.blogspot.com/2014/03/ssl-certs-for-iis-with-pfx-once-and-for.html

Use IIS "Server Certificates" UI to "Generate Certificate Request" (the details of this request are out of the scope of this article but those details are critical). This will give you a CSR prepped for IIS. You then give that CSR to your CA and ask for a certificate. Then you take the CER/CRT file they give you, go back to IIS, "Complete Certificate Request" in the same place you generated the request. It may ask for a .CER and you might have a .CRT. They are the same thing. Just change the extension or use the . extension drop-down to select your .CRT. Now provide a proper "friendly name" (*.yourdomain.example, yourdomain.example, foo.yourdomain.example, etc..) THIS IS IMPORTANT! This MUST match what you setup the CSR for and what your CA provided you. If you asked for a wildcard, your CA must have approved and generated a wildcard and you must use the same. If your CSR was generated for foo.yourdomain.example, you MUST provide the same at this step.