Izvoz certifikata u PFX
Upute za izvoz privatnog ključa, certifikata, uključujući međunarodne certifikate certifikacijskog tijela iz PEM (X.509) formata u PFX format, koji je pogodan za instalaciju na Windows poslužitelju s IIS-om (Internet Information Server).
Izvoz korištenjem OpenSSL-a
Za rad s certifikatima potrebno je imati instaliranu OpenSSL biblioteku. Pogledajte stranicu OpenSSL-a za Windows i Mac OSX za upute i poveznice za preuzimanje.
Priprema certifikata
Za izvoz će nam trebati datoteke certifikata i privatnog ključa. Sve spremite u 3 datoteke - privatni ključ (.key), javni ključ (.pem) i jedna datoteka će biti s međuključevima iz CA (.pem). Za izvoz nije bitno jesu li datoteke s ekstenzijom .PEM ili .TXT, a oznaka ovisi o vašem izboru. U smislu orijentacije, privatni ključ trebao bi biti nazvan .KEY.
- datoteka privatnog ključa (spremljena prilikom generiranja u Upravljačkoj ploči ili OpenSSL-u)
- datoteka certifikata iz certifikacijskog tijela (certificirani javni ključ)
- datoteka s međuključevima iz certifikacijskog tijela
Datoteke sadrže certifikate u PEM formatu. Ključevi počinju i završavaju s -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, privatni ključ -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----.
Izvoz PEM u PFX (PKCS#12)
Za izvoz u OpenSSL-u koristit ćemo naredbu pkcs12 s postavljenim parametrima:
openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem
Ili, primjerice, ako imamo ključne datoteke u TXT formatu:
pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile ca.txt
Nakon pokretanja, bit će potrebno unijeti lozinku + potvrdu (min. 4 znaka), a zatim će certifikat biti izvezen u datoteku cert.pfx.
Ako se datoteke ne nalaze u trenutnom direktoriju, morate navesti put. Datoteke s certifikatima također mogu imati ekstenziju .txt, kako je prikazano na slici.
Provjerite datoteku ključa .pfx
Nakon izvoza, preporučujemo provjeru datoteke .pfx kako biste vidjeli jesu li svi certifikati ispravno umetnuti.
openssl pkcs12 -info -nodes -in cert.pfx
Mogući problemi pri izvozu
Error opening input file key/cert.txt
key/cert.txt: No such file or directory
Provjerite putanju i nazive datoteka ključeva.
Unable to load certificate
Provjerite ispravan PEM format certifikata i sadržaj koji počinje s -----BEGIN CERTIFICATE-----.
Rad s ključevima u PFX-u
Za izvoz šifriranog privatnog ključa iz .pfx-a, koristite naredbu: openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
Lozinka za šifriranje mora imati minimalno 4 znaka.
Dekripcija privatnog ključa: openssl rsa -in key-crypt.key -out key.key
Izvoz certifikata (javni ključ) u .crt format: openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt
Izvoz certifikata u PFX bez privatnog ključa
Izvoz certifikata u PFX bez privatnog ključa: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem
Izvoz certifikata u PFX bez privatnog ključa s međunarodnim CA certifikatima: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem
Konverzija certifikata između različitih formata
Pomoću OpenSSL-a mogu se izvršiti razne konverzije između formata koristeći sljedeće naredbe.
Konvertiraj PEM → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
Konvertiraj PEM → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
Konvertiraj DER → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
Konvertiraj P7B → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Konvertiraj P7B → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
Konvertiraj PFX → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes
Kamo dalje?
Povratak na pomoć
Našli ste grešku ili ne razumete nešto? Pišite nam!
