好问题！先给你一个明确的结论：如果你还持有对应的私钥文件（或者私钥存储在系统密钥库中），完全可以重新生成PFX；但如果只有.cer和原密码，没有私钥的话，就做不到了。

为什么？因为PFX（PKCS#12）是一个加密容器，里面必须包含私钥和对应的公钥证书（就是你的.cer文件）——公钥证书里只有公开的密钥信息，根本没法反向算出私钥，这是非对称加密的核心安全特性。原密码只是用来加密这个容器的，没有私钥的话，密码毫无用处。

有私钥的情况下，操作方法（分两种工具场景） #

场景1：用OpenSSL（跨平台通用）

OpenSSL是最常用的密码学工具，Windows、Linux、macOS都能安装使用。

第一步：整理文件格式（如果需要的话）

• 如果你的私钥是加密状态（比如之前导出时设了密码），可以先解密（这样生成PFX时不用重复输密码，可选）：

  openssl rsa -in your_private_key.key -out decrypted_key.key
  

  输入私钥的加密密码后，会得到解密后的私钥文件。

• 如果你的.cer是二进制DER格式（不是文本PEM），转成PEM格式更方便：

  openssl x509 -inform der -in your_cert.cer -out cert.pem
  

第二步：生成新的PFX文件

执行这条命令，把私钥和证书打包成PFX：

openssl pkcs12 -export -out new_restore.pfx -inkey your_private_key.key -in cert.pem

• 执行后会提示你输入PFX的保护密码——这里你可以直接用原PFX的解锁密码，也可以设置新的。
• 如果你的私钥是加密的，还会要求你输入私钥的密码。

跑完这条命令，new_restore.pfx就是你需要的文件了，功能和原来的PFX完全一样。

场景2：Windows系统用证书管理器导出

如果你的私钥之前导入到了Windows的证书存储区里，不用命令行也能搞定：

• 按下Win+R输入certmgr.msc打开证书管理器
• 找到你的证书（一般在「个人」→「证书」下面），右键选「所有任务」→「导出」
• 向导里选择「是，导出私钥」，然后选择「PKCS #12 (.PFX)」格式
• 接下来设置密码（可以用原密码），选择保存路径，完成导出即可。

最后再提醒一句： #

私钥是整个证书体系的核心，一定要妥善保存！如果真的丢失了私钥，那.cer文件就只能用来验证签名，没法再做签名、加密这类需要私钥的操作了。

内容的提问来源于stack exchange，提问作者user43286