Sie lesen die Dokumentation zu Apigee Edge.
Sehen Sie sich die Apigee X-Dokumentation an. info
In diesem Dokument wird beschrieben, wie Sie das TLS-Zertifikat und den zugehörigen privaten Schlüssel in die Formate PEM oder PFX (PKCS #12) konvertieren.
Apigee Edge unterstützt nur das Speichern von Zertifikaten im PEM- oder PFX-Format in Schlüssel- und Vertrauensspeichern. Die Schritte zum Konvertieren von Zertifikaten aus einem beliebigen vorhandenen Format in PEM- oder PFX-Formate basieren auf dem OpenSSL-Toolkit und sind in jeder Umgebung anwendbar, in der OpenSSL verfügbar ist.
Hinweis
Bevor Sie die Schritte in diesem Dokument ausführen, sollten Sie sich mit den folgenden Themen vertraut machen:
- Wenn Sie mit dem PEM- oder PFX-Format nicht vertraut sind, lesen Sie den Hilfeartikel TLS/SSL.
- Wenn Sie mit Zertifikatformaten nicht vertraut sind, lesen Sie den Hilfeartikel SSL-Zertifikatformate.
- Wenn Sie nicht mit der OpenSSL-Bibliothek vertraut sind, lesen Sie die Informationen unter OpenSSL.
- Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie die neueste Version des OpenSSL-Clients oder aktualisieren Sie die vorhandene Version.
Zertifikat vom DER-Format in das PEM-Format konvertieren
In diesem Abschnitt wird beschrieben, wie Sie ein Zertifikat und den zugehörigen privaten Schlüssel aus dem DER-Format in das PEM-Format konvertieren.
-
Übertragen Sie die Datei mit der vollständigen Zertifikatskette (
certificate.der) und dem zugehörigen privaten Schlüssel (private_key.der), die Sie in das PEM-Format konvertieren möchten, mitscp,sftpoder einem anderen Dienstprogramm auf einen Computer, auf dem OpenSSL installiert ist.Verwenden Sie beispielsweise den Befehl
scp, um die Datei auf dem Server in das Verzeichnis/tmpzu übertragen, das OpenSSL enthält:scp certificate.der servername:/tmp scp private_key.der servername:/tmp
Dabei ist servername der Name des Servers, der OpenSSL enthält.
- Melden Sie sich auf dem Computer an, auf dem OpenSSL installiert ist.
-
Führen Sie im Verzeichnis, in dem sich die Zertifikate befinden, den folgenden Befehl aus, um das Zertifikat und den zugehörigen privaten Schlüssel vom DER-Format in das PEM-Format zu konvertieren:
openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
- Prüfen Sie, ob das Zertifikat in das PEM-Format konvertiert wurde.
Zertifikat wird vom P7B-Format in das PEM-Format konvertiert
In diesem Abschnitt wird beschrieben, wie Zertifikate vom P7B-Format in das PEM-Format konvertiert werden.
- Übertragen Sie die Datei mit der vollständigen Zertifikatskette (
certificate.p7b), die Sie in das PEM-Format konvertieren möchten, mitscp,sftpoder einem anderen Dienstprogramm auf einen Computer, auf dem OpenSSL installiert ist.Verwenden Sie beispielsweise den Befehl
scp, um die Datei auf dem Server in das Verzeichnis/tmpzu übertragen, das OpenSSL enthält:scp certificate.p7b servername:/tmp
Dabei ist servername der Name des Servers, der OpenSSL enthält.
- Melden Sie sich auf dem Computer an, auf dem OpenSSL installiert ist.
-
Führen Sie im Verzeichnis, in dem sich die Zertifikate befinden, den folgenden Befehl aus, um das Zertifikat vom P7B-Format in das PEM-Format zu konvertieren:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
- Prüfen Sie, ob das Zertifikat in das PEM-Format konvertiert wurde.
Zertifikat aus dem PFX-Format in das PEM-Format konvertieren
In diesem Abschnitt wird beschrieben, wie Sie TLS-Zertifikate aus dem PFX-Format in das PEM-Format konvertieren.
Beim Konvertieren einer PFX-Datei in das PEM-Format speichert OpenSSL alle Zertifikate und den privaten Schlüssel in einer einzigen Datei. Öffnen Sie die Datei in einem Texteditor und kopieren Sie jedes Zertifikat und jeden privaten Schlüssel (einschließlich der BEGIN/END-Anweisungen) in separate Textdateien und speichern Sie sie als certificate.pfx, Intermediate.pfx (falls zutreffend), CACert.pfx und privateKey.key.
Apigee unterstützt das PFX-/PKCS #12-Format. Das PEM-Format ist jedoch aus vielen Gründen, einschließlich der Validierung, praktisch.
-
Übertragen Sie die Zertifikate und den privaten Schlüssel (
certificate.pfx,Intermediate.pfx,CACert.pfx,privateKey.key), die Sie in das PEM-Format konvertieren möchten, mitscp,sftpoder einem anderen Dienstprogramm auf einen Computer, auf dem OpenSSL installiert ist.Verwenden Sie beispielsweise den Befehl
scp, um die Datei auf dem Server in das Verzeichnis/tmpzu übertragen, das OpenSSL enthält:scp certificate.pfx servername:/tmp
Dabei ist servername der Name des Servers, der OpenSSL enthält.
- Melden Sie sich auf dem Computer an, auf dem OpenSSL installiert ist.
-
Führen Sie im Verzeichnis, in dem sich die Zertifikate befinden, den folgenden Befehl aus, um das Zertifikat vom P7B-Format in das PEM-Format zu konvertieren:
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
- Prüfen Sie, ob das Zertifikat in das PEM-Format konvertiert wurde.
Zertifikat aus dem P7B-Format in das PFX-Format konvertieren
In diesem Abschnitt wird beschrieben, wie Sie TLS-Zertifikate aus dem P7B-Format in das PFX-Format konvertieren.
Für die Konvertierung in das PFX-Format müssen Sie auch den privaten Schlüssel abrufen.
-
Übertragen Sie das Zertifikat (
certificate.p7b), das Sie in PFX konvertieren möchten, mitscp,sftpoder einem anderen Dienstprogramm auf einen Computer, auf dem OpenSSL installiert ist.Verwenden Sie beispielsweise den Befehl
scp, um die Datei wie folgt in das Verzeichnis/tmpauf dem Server mit OpenSSL zu übertragen:scp certificate.p7b servername:/tmp scp private_key.key servername:/tmp
Dabei ist servername der Name des Servers, der OpenSSL enthält.
- Melden Sie sich auf dem Computer an, auf dem OpenSSL installiert ist.
-
Führen Sie im Verzeichnis, in dem sich die Zertifikate befinden, die folgenden Befehle aus, um das Zertifikat aus dem P7B- in das PFX-Format zu konvertieren und die Entitäts- und Zwischen-CA-Zertifikate in separate Dateien zu exportieren:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
Prüfen, ob das Zertifikat im PEM-Format vorliegt
In diesem Abschnitt wird beschrieben, wie Sie prüfen können, ob das Zertifikat im PEM-Format ist.
- Führen Sie den folgenden Befehl aus, um das Zertifikat im PEM-Format aufzurufen:
openssl x509 -in certificate.pem -text -noout
- Wenn Sie den Inhalt des Zertifikats in einem visuell lesbaren Format ohne Fehler anzeigen können, können Sie bestätigen, dass das Zertifikat im PEM-Format vorliegt.
-
Wenn das Zertifikat in einem anderen Format vorliegt, werden Fehler wie der folgende angezeigt:
unable to load certificate 12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate
PEM-Schlüssel- und Zertifikatsdateien in PKCS12/PFX verpacken
-
Die private Schlüsseldatei muss im PEM-Format vorliegen. Wenn Sie für das Zertifikat separate PEM-Dateien für die Kette haben, öffnen Sie jede Datei in einem Texteditor und verketten Sie sie zu einer einzelnen Datei, wie unten gezeigt:
-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
-
Übertragen Sie die Dateien mit
scp,sftpoder einem anderen Dienstprogramm auf einen Computer, auf dem OpenSSL installiert ist:scp certificate.pem servername:/tmp scp private.key servername:/tmp
- Melden Sie sich auf dem Computer an, auf dem OpenSSL installiert ist.
-
Führen Sie in dem Verzeichnis, in dem sich die Dateien befinden, den folgenden Befehl aus, um die Dateien in einer PKCS12-Datei mit dem Alias "myalias" zu verpacken. Geben Sie auf Aufforderung ein geeignetes Passwort ein:
openssl pkcs12 -export -in certificate.pem -inkey private.key -out keystore.pfx -name myalias