Làm cách nào để chuyển đổi tệp chứng chỉ PFX để sử dụng với Apache trên máy chủ Linux?

Question

Làm cách nào để chuyển đổi tệp chứng chỉ PFX để sử dụng với Apache trên máy chủ Linux?

Tôi đã tạo PFX từ Windows Certificate Services. PFX chứa toàn bộ chuỗi chứng chỉ. (Mà chỉ là một gốc và cert chính, không có trung gian.)

Dẫn dắt tôi, những người khôn ngoan.

Answer 1

Với OpenSSL bạn có thể chuyển đổi sang định dạng PFX Apache tương thích với các lệnh tiếp theo:

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer 
openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain.key 

lệnh đầu tiên chiết xuất khóa công khai để domain.cer.
Lệnh thứ hai trích xuất khóa riêng thành domain.key.

Cập nhật tập tin cấu hình Apache của bạn với:

<VirtualHost 192.168.0.1:443> 
... 
SSLEngine on 
SSLCertificateFile /path/to/domain.cer 
SSLCertificateKeyFile /path/to/domain.key 
... 
</VirtualHost> 

Answer 2

Took một số dụng cụ xung quanh nhưng đây là những gì tôi đã kết thúc với.

Đã tạo và cài đặt chứng chỉ trên IIS7. xuất khẩu như PFX từ IIS

Convert to pkcs12

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes 

Chú ý: Trong khi chuyển đổi sang định dạng PFX PEM, openssl sẽ đặt tất cả các giấy chứng nhận và Private Key vào một tập tin duy nhất. Bạn sẽ cần mở tệp trong Trình chỉnh sửa văn bản và sao chép từng chứng chỉ & Khóa cá nhân (bao gồm cả BEGIN/END statements) vào tệp văn bản riêng lẻ của nó và lưu chúng dưới dạng certificate.cer, CAcert.cer, privateKey.key tương ứng.

-----BEGIN PRIVATE KEY----- 
Saved as certificate.key 
-----END PRIVATE KEY----- 

-----BEGIN CERTIFICATE----- 
Saved as certificate.crt 
-----END CERTIFICATE----- 

Đã thêm vào apache vhost w/Webmin.

Answer 3

Để làm cho nó hoạt động với Apache, chúng tôi cần thêm một bước.

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer 
openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain_encrypted.key 
openssl rsa -in domain_encrypted.key -out domain.key 

Lệnh cuối cùng giải mã khóa để sử dụng với Apache. Tệp domain.key sẽ trông giống như sau:

-----BEGIN RSA PRIVATE KEY----- 
MjQxODIwNTFaMIG0MRQwEgYDVQQKEwtFbnRydXN0Lm5ldDFAMD4GA1UECxQ3d3d3 
LmVudHJ1c3QubmV0L0NQU18yMDQ4IGluY29ycC4gYnkgcmVmLiAobGltaXRzIGxp 
YWIuKTElMCMGA1UECxMcKGMpIDE5OTkgRW50cnVzdC5uZXQgTGltaXRlZDEzMDEG 
A1UEAxMqRW50cnVzdC5uZXQgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkgKDIwNDgp 
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArU1LqRKGsuqjIAcVFmQq 
-----END RSA PRIVATE KEY----- 

Answer 4

SSLSHopper có một số bài viết khá kỹ về việc di chuyển giữa các máy chủ khác nhau.

http://www.sslshopper.com/how-to-move-or-copy-an-ssl-certificate-from-one-server-to-another.html

Chỉ cần chọn vào liên kết có liên quan ở dưới cùng của trang này.

Lưu ý: họ có trình chuyển đổi trực tuyến cung cấp cho họ quyền truy cập vào khóa riêng của bạn. Chúng có thể được tin cậy nhưng tốt hơn nên sử dụng lệnh OPENSSL (cũng được hiển thị trên trang này) để giữ khóa riêng tư trên máy của riêng bạn.

Answer 5

Ngoài ra để

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer 
openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain.key 

Tôi cũng tạo Certificate Authority (CA) giấy chứng nhận:

openssl pkcs12 -in domain.pfx -out domain-ca.crt -nodes -nokeys -cacerts 

Và bao gồm nó trong Apache tập tin cấu hình:

<VirtualHost 192.168.0.1:443> 
... 
SSLEngine on 
SSLCertificateFile /path/to/domain.cer 
SSLCertificateKeyFile /path/to/domain.key 
SSLCACertificateFile /path/to/domain-ca.crt 
... 
</VirtualHost>