Hinweise: Konvertieren Sie PFX in KEY und CRT


Das Konvertieren von PFX in KEY und CRT kann erforderlich sein, wenn Sie eine Unix- / Linux-Anwendung verwenden, die den SSL-Zugriff unterstützt… Meistens handelt es sich dabei um Webanwendungen. Im Gegensatz zu diesem Ansatz verwendet Windows Zertifikate im PFX-Format, um das privat-öffentliche Schlüsselpaar sofort zu speichern, natürlich mit Kennwortschutz beim Exportversuch.

Ich muss regelmäßig mit Zertifikaten arbeiten und der Prozess der Konvertierung von PFX (PKCS12) in KEY und CRT (PEM) stößt auf beneidenswerte Regelmäßigkeit. Dies reicht jedoch nicht aus, um sich alle notwendigen Befehle für den Automatismus zu merken. Sie müssen ständig in Mana oder Google nach den Schlüsseln suchen, die Sie benötigen. Es ist höchste Zeit, einen Spickzettel zu diesem Thema zu schreiben. Eigentlich ist sie hier.


Wenn Sie an Debian und verwandten Anwendungen interessiert sind, empfehle ich, das Debian-Tag in meinem Blog zu lesen.


PFX konvertieren

SSL-Zertifikate sind mittlerweile allgegenwärtig und Sie müssen ständig damit arbeiten. In diesem Artikel werde ich nur die grundlegenden Szenarien betrachten, die am häufigsten vorkommen.

Wir erhalten ein Zertifikat

Wenn Sie noch kein öffentliches CA-Zertifikat haben, Dann gehen wir zu dir Es ist Zeit, es zu bekommen. Normalerweise müssen Sie zuerst eine CSR-Anfrage stellen. Der nächste Schritt besteht darin, es an die Zertifizierungsstelle zu senden und die Domänen- / Organisationsüberprüfung zu bestehen (Sie erhalten eine E-Mail mit einem Bestätigungscode an eine Administratoradresse oder sie rufen je nach Art der Überprüfung die Telefonnummer des Unternehmens an).

Hinweis: In meinem Blog finden Sie viele Artikel zu Zertifikaten, die das SSL-Zertifikat-Tag verwenden.

Sobald alle Formalitäten erledigt sind, erhalten Sie per Post ein Archiv mit dem von Ihnen benötigten Zertifikat im CRT-Format (und für alle Fälle die gesamte Kette der Zwischenformale).

PFX zu KEY und CRT

Wir werden alle bekannten Dienstprogramme verwenden opensslherausziehen offener Teil pfx zertifikat ::

Sie müssen das Kennwort eingeben, das Sie beim Exportieren des PFX-Zertifikats angegeben haben. Versuchen wir nun zu extrahieren geschlossener Teil Zertifikat, indem Sie es in einer separaten passwortgeschützten Datei ablegen:

Nach dem Ausführen des Befehls müssen Sie nicht nur das Kennwort eingeben, mit dem das PFX-Zertifikat exportiert wurde, sondern auch das neue Kennwort, das zum Schutz der Schlüsseldatei erforderlich ist. Darüber hinaus können Sie problemlos alle zuvor erhaltenen Zertifikatdateien verwenden, um jeden Dienst zu konfigurieren, der SSL verwendet. Zum Beispiel Apache (siehe Abschnitt unten für ein Beispiel).

Der private Schlüssel eines kennwortgeschützten Zertifikats ist in einer realen Umgebung nicht immer bequem zu verwenden. Beispielsweise fragt derselbe Apache bei jedem Neustart des Dienstes nach einem Kennwort, was die Teilnahme von Menschen erfordert. Sie können das Problem umgehen, indem Sie das Kennwort aus dem privaten Schlüssel entfernen:

Seien Sie in diesem Fall äußerst vorsichtig, um eine Gefährdung des privaten Schlüssels zu vermeiden. Stellen Sie die entsprechenden Berechtigungen für die Datei so ein, dass niemand außer Ihnen Zugriff darauf hat:

Schauen wir uns nun das umgekehrte Verfahren an.

KEY und CRT in PFX

Das Sticken von zwei Schlüsseldateien – öffentlich und privat – kann für Windows-basierte Dienste erforderlich sein, mit denen Zertifikate im PFX-Format angezeigt werden. In einigen Fällen ist es auch bequemer, Schlüsselpaare im pfx-Format zu speichern.

Hinweis: Wenn Sie auf der Windows-Serverseite eine CSR-Anforderung generiert haben, müssen Sie diese abschließen, indem Sie die CRT-Datei löschen, die Ihnen Ihre Zertifizierungsstelle später sendet. Infolgedessen können Sie das Zertifikat aus dem MMC-Snap-In genau im PFX-Format exportieren. Eine andere Option ist, wenn die CSR mit dem Dienstprogramm openssl erstellt wurde. In diesem Fall haben Sie wahrscheinlich bereits CRT und Schlüssel, die Sie in pfx sammeln müssen.

Sie können crt sammeln und pfx mit dem folgenden Befehl eingeben:

Sobald Sie die Eingabetaste drücken, müssen Sie das Kennwort für die private Schlüsseldatei (falls vorhanden) sowie das Kennwort für den Export nach pfx eingeben. Danach können Sie die Datei auf Windows-Servern verwenden. Vergessen Sie jedoch nicht, den Schlüssel beim Importieren als exportiert zu markieren (andernfalls können Sie den Schlüssel später nicht exportieren).

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *