PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析

[📌PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析](#📌PEM格式证书 = 域名证书.crt + 根证书(root_bundle).crt 含义解析)

[✅1. 域名证书（domain certificate，通常为 .crt 文件）](#✅1. 域名证书（domain certificate，通常为 .crt 文件）)

[✅2. 根证书（root_bundle.crt 或 ca_bundle.crt）](#✅2. 根证书（root_bundle.crt 或 ca_bundle.crt）)

[📘博客正文：PEM 格式证书详解：什么是 .crt 和 root_bundle.crt？](#📘博客正文：PEM 格式证书详解：什么是 .crt 和 root_bundle.crt？)

[一、PEM 是什么格式？](#一、PEM 是什么格式？)

[二、域名证书 vs 根证书](#二、域名证书 vs 根证书)

在使用 HTTPS 或其他 TLS 安全通信协议时，经常会涉及到"PEM 格式证书"。一个完整的 PEM 证书通常由多个部分组成，最常见的组合形式是：

PEM 格式证书 = 域名证书（.crt） + 根证书（root_bundle.crt）

下面分别解释这两个文件的含义及其作用：

这是服务器申请到的专属证书 ，也叫 服务器证书 或 站点证书，它：

👉 文件样例内容（PEM 格式）：

复制代码

-----BEGIN CERTIFICATE-----
MIID...（中间省略）
-----END CERTIFICATE-----

这是构建**信任链（Certificate Chain）**所必需的"中间证书 + 根证书"的集合：

📌 所有这些组成一条从你的站点到受信任根 CA 的完整链条，只有有了这条链，浏览器才会显示绿色锁标志 🔒。

👉 文件内容通常包含多个证书段：

复制代码

-----BEGIN CERTIFICATE-----
中间证书内容
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
根证书内容
-----END CERTIFICATE-----

在部署 HTTPS 时，很多朋友可能都遇到过 .crt、root_bundle.crt 等证书文件。尤其是在使用 Apache、Nginx 或其他 Web 服务配置 SSL 时，往往需要你提供一个"PEM 格式"的证书文件。

那究竟什么是 PEM 格式证书？它为什么需要多个 .crt 文件组合？本文将带你快速搞懂这些概念。

PEM，全称为 Privacy Enhanced Mail，是一种 ASCII 格式的证书存储方式。它以如下格式存储证书：

复制代码

-----BEGIN CERTIFICATE-----
Base64 编码内容
-----END CERTIFICATE-----

PEM 文件通常以 .pem、.crt、.cer、.key 结尾，并不区分严格命名，而是看内容格式是否为 -----BEGIN/END 这种结构。

部署 TLS 通信时，至少需要两个关键部分：

文件名称	说明
域名证书 `.crt`	CA 颁发给你网站域名的证书（只验证你的网站）
根证书 `bundle.crt`	包含中间证书和根证书，构建完整的信任链

域名证书自己是无法建立信任的，必须依赖于 CA 机构签发的中间证书和根证书。这些内容一般被打包在 ca_bundle.crt 或 root_bundle.crt 中。

在 Nginx 配置中，可能会看到如下配置：

复制代码

ssl_certificate     /etc/nginx/ssl/fullchain.pem;   # 这是 domain.crt + root_bundle.crt
ssl_certificate_key /etc/nginx/ssl/domain.key;      # 私钥

其中 fullchain.pem 通常是：

复制代码

cat domain.crt root_bundle.crt > fullchain.pem

这样浏览器在连接你的服务器时，可以验证整个证书链，避免"证书不受信任"的问题。

PEM 格式证书本质上是一种纯文本编码方式，通常由：

域名证书 .crt（站点专属）

根证书 root_bundle.crt（中间+根CA）拼接而成，用于构建安全信任链，保证浏览器和客户端对服务器身份的信任。

记住：部署 HTTPS 不是只靠一个 .crt 文件，而是靠整个证书链！