我應該在導入 SSL 證書後刪除 .pfx 或 .cer 文件嗎？

提供後，我必須使用 .pfx 或 .cer 將 SSL 證書導入到 Windows Server (2008 R2) 上的 IIS 以供使用。

我的問題是，我是否應該在將證書成功導入證書儲存後刪除這些文件？我以為有人告訴我這很重要，因為您不希望任何人獲取這些文件並能夠使用證書或惡意導入。我知道如果我需要傳輸證書，我總是可以導出它，但我想知道我是否應該在導入後從伺服器上刪除這些文件？

SSL證書有兩個部分；一個公鑰和一個私鑰。

.CER 文件不包含任何秘密。它是 Web 伺服器發送給連接到啟用 SSL 的站點的每個客戶端的公鑰。從安全的角度來看，沒有理由將其刪除。事實上，您可能希望備份它，以防伺服器當機並且需要在替換它的任何東西上重新使用它。

但是，.CER 文件沒有匹配的私鑰就沒有用處。當您創建證書請求時，Windows 會自動生成一個私鑰。您的 .PFX 文件肯定包含 .CER 的副本。但它可能包含也可能不包含私鑰的副本。這完全取決於誰生成它以及如何生成它。

如果 PFX 文件確實包含私鑰，那麼是的。把那個壞男孩鎖在異地，然後從伺服器上刪除副本。擁有該文件的人可能會使用它來冒充您的網站。

如果 PFX 文件不包含私鑰，它不會比原始 CER 文件有用。如果可能，您可能希望導出一個新的 PFX 文件，其中包含用於 DR/備份目的的私鑰（假設證書允許導出私鑰）。

引用自：https://serverfault.com/questions/507384