La conversion pfx à pem à l'aide d'openssl

Comment générer un .pem certificat d'autorité de certification et certificat du client à partir d'un fichier PFX utilisant OpenSSL.

InformationsquelleAutor new bie | 2013-03-14
  1. 90

    Vous pouvez utiliser la ligne de Commande OpenSSL outil. Les commandes suivantes devraient faire l'affaire

    openssl pkcs12 -in client_ssl.pfx -out client_ssl.pem -clcerts

openssl pkcs12 -in client_ssl.pfx -out root.pem -cacerts

    Si vous souhaitez que votre fichier soit protégé par mot de passe, etc, alors il existe des options supplémentaires.

    Vous pouvez lire l'ensemble de la documentation ici.

    InformationsquelleAutor Jay
  2. 162

    Un autre point de vue pour le faire sur Linux... ici, c'est comment faire en sorte que le seul fichier contenant la clé privée déchiffrée, de sorte que quelque chose comme HAProxy pouvez l'utiliser sans vous demander le mot de passe.

    openssl pkcs12 -in file.pfx -out file.pem -nodes

    Ensuite, vous pouvez configurer HAProxy pour utiliser le fichier.fichier pem.

    C'est une ÉDITION de la version précédente où j'avais ces multiples étapes jusqu'à ce que j'ai réalisé les nœuds de l'option de juste contourne simplement la clé privée de chiffrement. Mais je vais la laisser ici comme il peut juste aider à l'enseignement.

    openssl pkcs12 -in file.pfx -out file.nokey.pem -nokeys
openssl pkcs12 -in file.pfx -out file.withkey.pem
openssl rsa -in file.withkey.pem -out file.key
cat file.nokey.pem file.key > file.combo.pem
    1. La 1ère étape vous invite à entrer le mot de passe pour ouvrir le fichier PFX.
    2. La 2ème étape vous demande qu'a en plus à faire une phrase de passe pour la clé.
    3. La 3ème étape vous invite à entrer le mot de passe que vous venez de place pour stocker les déchiffré.
    4. La 4ème met tous ensemble dans 1 fichier.

    Ensuite, vous pouvez configurer HAProxy pour utiliser le fichier.combo.fichier pem.

    La raison pour laquelle vous avez besoin de 2 étapes distinctes où vous indiquez un fichier avec la clé et l'autre sans la clé, c'est parce que si vous avez un fichier qui a à la fois la cryptées et décryptées à la clé, quelque chose comme HAProxy encore vous invite à saisir le mot de passe lorsque il utilise.

    • Je n'ai pas passé le temps à obtenir intimement familier avec openssl, mais le pem de conversion n'était pas la clé privée. Le modifier à condition que le détail sur la façon de fusionner les cert et la clé dans un fichier pem, juste ce dont j'avais besoin.
    • Sur les systèmes windows type d'utilisation, au lieu de cat
    • Sous Windows, cette version d'OpenSSL est facile à utiliser pour des choses comme ceci: slproweb.com/products/Win32OpenSSL.html
    • Les étapes ci-dessus a bien fonctionné pour convertir un fichier PFX à PEM. J'ai eu à faire une étape supplémentaire cependant: ouvrir le nokey PEM fichier dans un éditeur de texte et déplacez le dernier certificat de la chaîne vers le haut du fichier. Sinon nginx jeter une erreur se plaindre de la certs et refusent de les utiliser.
    • Dans ce cas, vous pourriez les réorganiser la commande cat pour le mettre en premier. comme: cat fichier.fichier de clé.nokey.pem > fichier.combo.pem, à Moins que le fichier.clé elle-même a plusieurs dans le mauvais ordre. Mais les deux cas, vous pourriez probablement ré-arranger les choses de la programmation.
    • utilisez cette arguments pour les mots de passe: '-le mot de passe p importation/exportation source de mot de passe -passin p fichier d'entrée phrase de passe de la source -passout p fichier de sortie phrase de passe de la source"
    • La peine de mentionner que openssl pouvez accrocher pour certaines personnes, sur windows, j'ai trouvé à partir de ce répondre que l'utilisation de winpty aide à fixer la borne I/O.

    InformationsquelleAutor user2415376