Come posso creare un file PEM da un certificato SSL?
Questi sono i file che ho a disposizione:
.crt
server.csr
server.key
Come posso creare un file PEM da un certificato SSL?
Questi sono i file che ho a disposizione:
.crt
server.csr
server.key
Risposte:
Le tue chiavi potrebbero essere già in formato PEM, ma semplicemente denominate con .crt o .key.
Se il contenuto del file inizia con -----BEGIN
e puoi leggerlo in un editor di testo:
Il file utilizza base64, che è leggibile in formato ASCII, non in formato binario. Il certificato è già in formato PEM. Cambia l'estensione in .pem.
Se il file è in binario:
Per server.crt, useresti
openssl x509 -inform DER -outform PEM -in server.crt -out server.crt.pem
Per server.key, utilizzare openssl rsa
al posto di openssl x509
.
Server.key è probabilmente la tua chiave privata e il file .crt è il certificato x509 restituito, firmato.
Se questo è per un server Web e non è possibile specificare il caricamento di una chiave privata e pubblica separata:
Potrebbe essere necessario concatenare i due file. Per questo uso:
cat server.crt server.key > server.includesprivatekey.pem
Consiglierei di nominare i file con "Includesprivatekey" per aiutarti a gestire le autorizzazioni che mantengono con questo file.
cat server.crt server.key > server.pem
non inserirà il commento aperto sulla propria riga, che sembra essere un requisito. La posta del corriere mi ha dato un inferno e mi ci sono volute ore per capire cosa stava andando storto.
server.crt server.key > server.includesprivatekey.pem
è utile per SSL con haproxy 1.5.
Ho dovuto farlo per un ELB AWS. Dopo essere stato picchiato molte volte dal dialogo, finalmente questo è ciò che ha funzionato per me:
openssl rsa -in server.key -text > private.pem
openssl x509 -inform PEM -in server.crt > public.pem
Grazie NCZ
Modifica: come dice @floatingrock
Con AWS, non dimenticare di anteporre il nome file a file://
. Quindi sembrerà:
aws iam upload-server-certificate --server-certificate-name blah --certificate-body file://path/to/server.crt --private-key file://path/to/private.key --path /cloudfront/static/
http://docs.aws.amazon.com/cli/latest/reference/iam/upload-server-certificate.html
file://
. Quindi sembrerà:aws iam upload-server-certificate --server-certificate-name blah --certificate-body file://~/Desktop/server.crt --private-key file://~/Desktop/private.key --path /cloudfront/static/
Un pem
file contiene il certificato e la chiave privata. Dipende dal formato in cui si trova il certificato / chiave, ma probabilmente è semplice come questo:
cat server.crt server.key > server.pem
-bash: server.key.pem: Permission denied
Inoltre, se non si desidera che richieda una passphrase, è necessario eseguire il comando seguente:
openssl rsa -in server.key -out server.key
-----BEGIN RSA PRIVATE KEY-----
e ne hai uno che inizia con -----BEGIN ENCRYPTED PRIVATE KEY-----
, questo è il comando che vuoi usare.
Quello che ho osservato è: se si utilizza openssl per generare certificati, acquisisce sia la parte di testo che la parte del certificato base64 nel file crt. Il formato pem rigoroso dice ( definizione wiki ) che il file dovrebbe iniziare e finire con BEGIN ed END.
.pem - (Privacy Enhanced Mail) Certificato DER codificato Base64, racchiuso tra "----- INIZIA CERTIFICATO -----" e "----- FINE CERTIFICATO -----"
Quindi per alcune librerie (ho riscontrato questo in Java) che prevedono un formato pem rigoroso, il crt generato fallirebbe la convalida come "formato pem non valido".
Anche se copi o grep le linee con BEGIN / END CERTIFICATE e lo incolli in un file cert.pem, dovrebbe funzionare.
Ecco cosa faccio, non molto pulito, ma funziona per me, fondamentalmente filtra il testo a partire dalla riga INIZIA:
grep -A 1000 INIZIO cert.crt> cert.pem
openssl x509
. cat certificate.crt | openssl x509 > certificate.pem
sed -n '/--BEGIN/,$p' cert.crt
in questo caso. Per spiegarlo: "-n" dice a sed di non stampare nulla per impostazione predefinita, quindi l'espressione di intervallo /--BEGIN/,$
fa p
applicare il comando (stampa) alle linee tra la prima riga che contiene --BEGIN
e la fine del file ( $
).
Stavo cercando di passare da Godaddy a App Engine. Cosa ha fatto il trucco usando questa linea:
openssl req -new -newkey rsa:2048 -nodes -keyout name.unencrypted.priv.key -out name.csr
Esattamente come è, ma sostituendo il nome con il mio nome di dominio (non che abbia davvero importanza)
E ho risposto a tutte le domande relative al nome / organizzazione comune come www.name.com
Quindi ho aperto il CSR, l'ho copiato, incollato in go papà, quindi scaricato, decompresso, navigato nella cartella decompressa con il terminale ed inserito:
cat otherfilegodaddygivesyou.crt gd_bundle-g2-g1.crt > name.crt
Quindi ho usato queste istruzioni di Problemi con il dominio personalizzato SSL di Google Apps , che erano:
openssl rsa -in privateKey.key -text > private.pem
openssl x509 -inform PEM -in www_mydomain_com.crt > public.pem
esattamente come è, tranne che per privateKey.key ho usato name.unencrypted.priv.key e invece di www_mydomain_com.crt, ho usato name.crt
Quindi ho caricato public.pem nella console di amministrazione per il "certificato X.509 codificato PEM" e caricato private.pem per "chiave privata RSA codificata PEM non codificata".
.. E alla fine ha funzionato.
Tentare di caricare un certificato GoDaddy su AWS non è riuscito più volte, ma alla fine è stato piuttosto semplice. Non c'è bisogno di convertire nulla in .pem. Devi solo essere sicuro di includere il certificato del bundle GoDaddy nel parametro chain, ad es
aws iam upload-server-certificate
--server-certificate-name mycert
--certificate-body file://try2/40271b1b25236fd1.crt
--private-key file://server.key
--path /cloudfront/production/
--certificate-chain file://try2/gdig2_bundle.crt
E per cancellare il tuo precedente caricamento fallito puoi farlo
aws iam delete-server-certificate --server-certificate-name mypreviouscert
An error occurred (MalformedCertificate) when calling the UploadServerCertificate operation: Unable to parse certificate. Please ensure the certificate is in PEM format.
Esegui sotto i comandi:
a) openssl pkcs12 -in Certificates.p12 -out CertificateName.pem -nodes
,
b) openssl pkcs12 -in Certificates.p12 -out pushcert.pem -nodes -clcerts
openssl pkcs12 -in YOUR_CERTIFICATE.p12 -out YOUR_CERTIFICATE.pem -nodes -clcerts
.pem
in.crt
e.key
.