嗨，我来帮你一步步搞定这些IIS证书续期的问题，之前我也帮朋友处理过类似的情况，经验分享给你：

• 问题1：证书文件需要的扩展名
  你把txt格式的证书文件重命名为.cer或者.pem都可以，Windows/IIS环境下.cer是更常用的格式。要确认你的证书是PEM格式的——也就是内容里要有-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----这两行标记，如果txt里没有，一定要手动加上，不然后续操作会失败。

• 问题2：私钥文件需要的扩展名
  私钥文件建议重命名为.key，当然.pem也能用，但.key更直观区分是私钥文件。同样要确认私钥是PEM格式，开头是-----BEGIN PRIVATE KEY-----或者-----BEGIN RSA PRIVATE KEY-----，结尾对应有结束标记，没有的话也要补上。

• 问题3：用OpenSSL合并证书和私钥的命令
  IIS需要的是包含私钥的PFX（PKCS#12）格式文件，所以你要用OpenSSL把证书和私钥打包成这个格式，命令如下：

  openssl pkcs12 -export -in your_cert.cer -inkey your_private.key -out iis_renewed_cert.pfx
  

  执行命令后会提示你设置一个导出密码，这个密码一定要记好，等下把PFX文件导入IIS的时候必须输入这个密码才能完成导入。

• 问题4：OpenSSL要求的正确格式
  核心就是确保证书和私钥都是标准的PEM格式：

  1. 必须包含对应的首尾标记（就是刚才说的BEGIN/END那两行），标记和密文之间不要有多余的空行或字符；
  2. 密文部分可以有换行，但不要有多余的空格或者特殊字符；
  3. 如果你的私钥是加密过的（开头是-----BEGIN ENCRYPTED PRIVATE KEY-----），执行命令的时候还会要求你输入私钥的解密密码，这个要问你的证书服务商要或者确认你自己有没有设置过。

备注：内容来源于stack exchange，提问作者Scott E