Как я могу преобразовать файл сертификата PFX для использования с Apache на сервере Linux?

Question

Как я могу преобразовать файл сертификата PFX для использования с Apache на сервере Linux?

86

Как я могу конвертировать файл сертификата PFX для использования с Apache на сервере Linux?

Я создал PFX из служб сертификации Windows. PFX содержит всю цепочку сертификатов. (Это всего лишь корень и главный сертификат, без промежуточных.)

Ведите меня, мудрые.

AaronJAnderson 08 янв. 2012, в 00:04

Источник

Теги:

apache

ssl

5 ответов

73

Дополнительно

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in domain.pfx -nocerts -nodes  -out domain.key

Я также создал сертификат Certificate Authority (CA):

openssl pkcs12 -in domain.pfx -out domain-ca.crt -nodes -nokeys -cacerts

И включил его в конфигурационный файл Apache:

<VirtualHost 192.168.0.1:443>
 ...
 SSLEngine on
 SSLCertificateFile /path/to/domain.cer
 SSLCertificateKeyFile /path/to/domain.key
 SSLCACertificateFile /path/to/domain-ca.crt
 ...
</VirtualHost>

Andron 27 март 2013, в 10:58

7

Примечание: если сертификат CA будет пустым - не включайте эту строку в файл конфигурации.
Andron 27 март 2013, в 10:37
8

Я думаю, что это лучший ответ, потому что он более полный.
Hawkee 01 авг. 2013, в 19:56
3

Это должно быть помечено как правильный ответ.
Eduardo Casas 20 июль 2015, в 09:42
0

@Andron, когда я использую третью команду для создания сертификата CA, в результате получается пустой файл crt. Я попытался использовать оба файла serverSSL pfx и файл rootCA pfx для ввода. (bitnami wamp) Окончательный результат заключается в том, что firefox дает мне The certificate is not trusted because the issuer certificate is unknown SEC_ERROR_UNKNOWN_ISSUER ошибка.
khargoosh 29 июнь 2016, в 02:21
0

@khargoosh, как я сообщал в комментарии: если он пуст - просто не используйте / не включайте эту строку. У меня была такая же ситуация.
Andron 30 июнь 2016, в 18:11

Показать ещё 3 комментария

25

Чтобы заставить его работать с Apache, нам понадобился еще один шаг.

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in domain.pfx -nocerts -nodes  -out domain_encrypted.key
openssl rsa -in domain_encrypted.key -out domain.key

Последняя команда расшифровывает ключ для использования с Apache. Файл domain.key должен выглядеть следующим образом:

Michael Ferrante 01 фев. 2013, в 16:26

0

ОТЛИЧНО! Для Битнами и других, которым также нужен CRT CA, посмотрите на ответ от Andron, чтобы включить CRT CA. Используйте серверную-ca.crt (вместо domain-ca.crt в ответе Андрона), и server.crt (вместо domain.cer), и server.key (вместо domain.key) в номенклатуре Майкла Ферранте ответ здесь.
OldGreg 29 май 2014, в 16:56

3

Принял некоторые инструменты, но это то, с чем я закончил.

Сгенерировано и установлено сертификат на IIS7. Экспортируется как PFX из IIS

Преобразовать в pkcs12

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

ПРИМЕЧАНИЕ. При преобразовании PFX в формат PEM, openssl поместит все сертификаты и закрытый ключ в один файл. Вам нужно будет открыть файл в текстовом редакторе и скопировать каждый сертификат и закрытый ключ (включая операторы BEGIN/END) в отдельный текстовый файл и сохранить их как cert.cer, CAcert.cer, privateKey.key соответственно.

-----BEGIN PRIVATE KEY-----
Saved as certificate.key
-----END PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
Saved as certificate.crt
-----END CERTIFICATE-----

Добавлен в apache vhost w/Webmin.

AaronJAnderson 08 янв. 2012, в 16:23

0

Если вы не хотите, чтобы закрытый ключ и сертификаты оказались в одном файле, используйте -nokeys (не для извлечения закрытого ключа) и -clcerts (только для извлечения сертификата). Это именно то, что сказал Матей.
Bruno 08 янв. 2012, в 18:19
0

Бруно, спасибо. Я дам ему правильный ответ награду. Хорошо знать.
AaronJAnderson 08 янв. 2012, в 18:42

0

В SSLSHopper есть довольно подробные статьи о перемещении между различными серверами.

http://www.sslshopper.com/how-to-move-or-copy-an-ssl-certificate-from-one-server-to-another.html

Просто выберите соответствующую ссылку внизу этой страницы.

Примечание: у них есть онлайн-конвертер, который дает им доступ к вашему закрытому ключу. Вероятно, им можно доверять, но лучше было бы использовать команду OPENSSL (также показанную на этом сайте), чтобы личный ключ был закрыт на вашей собственной машине.

Simon_Weaver 05 фев. 2013, в 23:11

Ещё вопросы

Примечание: если сертификат CA будет пустым - не включайте эту строку в файл конфигурации.
Я думаю, что это лучший ответ, потому что он более полный.
Это должно быть помечено как правильный ответ.
@Andron, когда я использую третью команду для создания сертификата CA, в результате получается пустой файл crt. Я попытался использовать оба файла serverSSL pfx и файл rootCA pfx для ввода. (bitnami wamp) Окончательный результат заключается в том, что firefox дает мне The certificate is not trusted because the issuer certificate is unknown SEC_ERROR_UNKNOWN_ISSUER ошибка.
@khargoosh, как я сообщал в комментарии: если он пуст - просто не используйте / не включайте эту строку. У меня была такая же ситуация.
ОТЛИЧНО! Для Битнами и других, которым также нужен CRT CA, посмотрите на ответ от Andron, чтобы включить CRT CA. Используйте серверную-ca.crt (вместо domain-ca.crt в ответе Андрона), и server.crt (вместо domain.cer), и server.key (вместо domain.key) в номенклатуре Майкла Ферранте ответ здесь.
Если вы не хотите, чтобы закрытый ключ и сертификаты оказались в одном файле, используйте -nokeys (не для извлечения закрытого ключа) и -clcerts (только для извлечения сертификата). Это именно то, что сказал Матей.
Бруно, спасибо. Я дам ему правильный ответ награду. Хорошо знать.

Matej · Accepted Answer · 2012-01-08T02-52-00.000Z

С OpenSSL вы можете конвертировать pfx в совместимый с Apache формат со следующими командами:

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer
openssl pkcs12 -in domain.pfx -nocerts -nodes  -out domain.key

Первая команда извлекает открытый ключ в domain.cer.
Вторая команда извлекает закрытый ключ для domain.key.

Обновите конфигурационный файл Apache с помощью:

<VirtualHost 192.168.0.1:443>
 ...
 SSLEngine on
 SSLCertificateFile /path/to/domain.cer
 SSLCertificateKeyFile /path/to/domain.key
 ...
</VirtualHost>

В нем отсутствует команда для создания файла центра сертификации. Ответ ниже является более полным.
Это работает и на Windows. +1 спас мою задницу.