Преобразование pfx в pem с помощью openssl

Question

У меня есть client_ssl.pfx файл сгенерирован с X509 Генератор сертификатов.

Как получить root.pem и client_ssl.pem от client_ssl.pfx используя OpenSSL?

Answer 1

Вы можете использовать инструмент командной строки OpenSSL. Следующие команды должны выполнить трюк

openssl pkcs12 -in client_ssl.pfx -out client_ssl.pem -clcerts 

openssl pkcs12 -in client_ssl.pfx -out root.pem -cacerts 

Если вы хотите, чтобы ваш файл защищен паролем и т. Д., Есть дополнительные опции.

Вы можете прочитать всю документацию here.

Answer 2

Еще одна перспектива для этого в Linux ... вот как это сделать, чтобы полученный в результате один файл содержал дешифрованный закрытый ключ, так что что-то вроде HAProxy может использовать его, не запрашивая парольную фразу.

openssl pkcs12 -in file.pfx -out file.pem -nodes 

Затем вы можете настроить HAProxy для использования файла file.pem.

---

Это EDIT от предыдущей версии, где я имел эти несколько шагов, пока я не понял, что -nodes вариант просто обходит закрытый ключ шифрования. Но я оставляю это здесь, поскольку это может просто помочь с обучением.

openssl pkcs12 -in file.pfx -out file.nokey.pem -nokeys 
openssl pkcs12 -in file.pfx -out file.withkey.pem 
openssl rsa -in file.withkey.pem -out file.key 
cat file.nokey.pem file.key > file.combo.pem 

1. 1-ый шаг предложит ввести пароль, чтобы открыть PFX.
2. 2-й шаг подсказывает вам, что плюс также составляет ключевую фразу для ключа.
3. На третьем шаге предлагается ввести кодовую фразу, которую вы только что создали, чтобы хранить дешифрованные.
4. Четвертый ставит все это вместе в 1 файл.

Затем вы можете настроить HAProxy для использования файла file.combo.pem.

Причина, по которой вам требуется два отдельных шага, где вы указываете файл с ключом, а другой без ключа, заключается в том, что, если у вас есть файл с зашифрованным и дешифрованным ключом, что-то вроде HAProxy по-прежнему предлагает вам ввести в кодовой фразе, когда он ее использует.