Hoe een .pemCA-certificaaten clientcertificaatte genereren uit een PFX-bestand met OpenSSL.
Antwoord 1, autoriteit 100%
U kunt de OpenSSL-opdrachtregeltool gebruiken. De volgende commando’s zouden het moeten doen
openssl pkcs12 -in client_ssl.pfx -out client_ssl.pem -clcerts
openssl pkcs12 -in client_ssl.pfx -out root.pem -cacerts
Als u wilt dat uw bestand met een wachtwoord wordt beveiligd, enz., dan zijn er extra opties.
Je kunt de volledige documentatie hierlezen.
Antwoord 2, autoriteit 91%
Een ander perspectief om het op Linux te doen… hier is hoe het te doen zodat het resulterende enkele bestand de gedecodeerde privésleutel bevat, zodat zoiets als HAProxy het kan gebruiken zonder je om een wachtwoordzin te vragen.
openssl pkcs12 -in file.pfx -out file.pem -nodes
Vervolgens kunt u HAProxy configureren om het bestand file.pem te gebruiken.
Dit is een BEWERKING van de vorige versie waar ik deze meerdere stappen had totdat ik me realiseerde dat de -nodes-optie gewoon de privésleutelcodering omzeilt. Maar ik laat het hier bij omdat het misschien helpt bij het lesgeven.
openssl pkcs12 -in file.pfx -out file.nokey.pem -nokeys
openssl pkcs12 -in file.pfx -out file.withkey.pem
openssl rsa -in file.withkey.pem -out file.key
cat file.nokey.pem file.key > file.combo.pem
- De eerste stap vraagt u om het wachtwoord om de PFX te openen.
- De 2e stap vraagt je om dat plus ook om een wachtwoordzin voor de sleutel te verzinnen.
- De 3e stap vraagt je om de wachtwoordzin in te voeren die je zojuist hebt verzonnen om gedecodeerd op te slaan.
- De 4e zet alles bij elkaar in 1 bestand.
U kunt HAPROXY configureren om het bestand File.comBO.PEM te gebruiken.
De reden waarom u 2 afzonderlijke stappen nodig hebt, waarbij u een bestand aangeeft met de sleutel en een ander zonder de sleutel, is dat als u een bestand hebt dat zowel de gecodeerde als gedecodeerde sleutel heeft, zoiets als haproxy nog steeds wordt ingeschakeld de wachtwoordzin wanneer het gebruikt.
Antwoord 3, Autoriteit 27%
Ondanks dat de andere antwoorden correct en grondig worden uitgelegd, vond ik dat sommige moeilijkheden ze begrijpen. Hier is de methode die ik heb gebruikt (genomen vanaf hier ):
Eerste zaak: om een PFX-bestand te converteren naar een PEM-bestand dat zowel het certificaat als de privésleutel bevat:
openssl pkcs12 -in filename.pfx -out cert.pem -nodes
tweede behuizing: om een PFX-bestand te converteren naar afzonderlijke PEM-bestanden op het openbare en privé-toetsen:
Extracten De privé-toets Vorm een PFX naar een PEM-bestand:
openssl pkcs12 -in filename.pfx -nocerts -out key.pem
Exporteert het certificaat (inclusief alleen de openbare sleutel):
openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem
Verwijdert het wachtwoord (parafrase) van de geëxtraheerde privésleutel (optioneel):
openssl rsa -in key.pem -out server.key