شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات
این سند نحوه تبدیل گواهینامه TLS و کلید خصوصی مرتبط را به فرمتهای PEM یا PFX (PKCS #12) توضیح میدهد.
Apigee Edge از ذخیره گواهیهای فرمت PEM یا PFX در keystores و truststores پشتیبانی میکند. مراحلی که برای تبدیل گواهیها از هر فرمت موجود به فرمتهای PEM یا PFX استفاده میشود، به جعبه ابزار OpenSSL متکی است و در هر محیطی که OpenSSL در دسترس است قابل اجرا است.
قبل از شروع
قبل از استفاده از مراحل این سند، مطمئن شوید که موضوعات زیر را درک کرده اید:
- اگر با قالب PEM یا PFX آشنایی ندارید، درباره TLS/SSL را بخوانید.
- اگر با قالبهای گواهی آشنا نیستید، قالبهای گواهی SSL را بخوانید.
- اگر با کتابخانه OpenSSL آشنا نیستید، OpenSSL را بخوانید.
- اگر میخواهید از نمونههای خط فرمان در این راهنما استفاده کنید، آخرین نسخه کلاینت OpenSSL را نصب یا بهروزرسانی کنید.
تبدیل گواهی از فرمت DER به فرمت PEM
این بخش نحوه تبدیل یک گواهی و کلید خصوصی مرتبط از فرمت DER به فرمت PEM را توضیح می دهد.
- فایل حاوی زنجیره گواهی کامل (
certificate.der) و کلید خصوصی مرتبط (private_key.der) را که میخواهید به فرمت PEM تبدیل کنید، به ماشینی که OpenSSL با استفاده ازscp،sftpیا هر ابزار دیگر نصب شده است، منتقل کنید.به عنوان مثال، از دستور
scpبرای انتقال فایل به دایرکتوری/tmpروی سرور حاوی OpenSSL به صورت زیر استفاده کنید:scp certificate.der servername:/tmp scp private_key.der servername:/tmp
جایی که servername نام سرور حاوی OpenSSL است.
- وارد دستگاهی شوید که OpenSSL در آن نصب شده است.
- از دایرکتوری که گواهی ها در آن قرار دارند، دستور زیر را برای تبدیل گواهی و کلید خصوصی مرتبط از فرمت DER به فرمت PEM اجرا کنید:
openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
- بررسی کنید که گواهی به فرمت PEM تبدیل شده است .
تبدیل گواهی از فرمت P7B به فرمت PEM
این بخش نحوه تبدیل گواهینامه ها از فرمت P7B به فرمت PEM را توضیح می دهد.
- فایل حاوی زنجیره گواهی کامل (
certificate.p7b) را که میخواهید به فرمت PEM تبدیل کنید، به دستگاهی که OpenSSL با استفاده ازscp،sftpیا هر ابزار دیگر نصب شده است، منتقل کنید.به عنوان مثال، از دستور
scpبرای انتقال فایل به دایرکتوری/tmpروی سرور حاوی OpenSSL به صورت زیر استفاده کنید:scp certificate.p7b servername:/tmp
جایی که servername نام سرور حاوی OpenSSL است.
- وارد دستگاهی شوید که OpenSSL در آن نصب شده است.
- از دایرکتوری که گواهی ها در آن قرار دارند، دستور زیر را برای تبدیل گواهی از فرمت P7B به فرمت PEM اجرا کنید:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
- بررسی کنید که گواهی به فرمت PEM تبدیل شده است .
تبدیل گواهی از فرمت PFX به فرمت PEM
این بخش نحوه تبدیل گواهینامه های TLS از فرمت PFX به فرمت PEM را توضیح می دهد.
هنگام تبدیل یک فایل PFX به فرمت PEM، OpenSSL تمام گواهی ها و کلید خصوصی را در یک فایل واحد قرار می دهد. شما باید فایل را در یک ویرایشگر متن باز کنید و هر گواهی و کلید خصوصی (شامل عبارات BEGIN/END) را در فایل های متنی جداگانه کپی کنید و آنها را به عنوان certificate.pfx ، Intermediate.pfx (در صورت وجود)، CACert.pfx ذخیره کنید. و privateKey.key به ترتیب.
Apigee از فرمت PFX/PKCS #12 پشتیبانی می کند. با این حال، فرمت PEM به دلایل بسیاری از جمله اعتبار سنجی مناسب است.
- گواهیها و کلید خصوصی (
certificate.pfx،Intermediate.pfxCACert.pfx،privateKey.key) را که میخواهید به فرمت PEM تبدیل کنید، به ماشینی که OpenSSL با استفاده ازscp،sftpیا هر ابزار دیگر نصب شده است، منتقل کنید.به عنوان مثال، از دستور
scpبرای انتقال فایل به دایرکتوری/tmpروی سرور حاوی OpenSSL به صورت زیر استفاده کنید:scp certificate.pfx servername:/tmp
جایی که servername نام سرور حاوی OpenSSL است.
- وارد دستگاهی شوید که OpenSSL در آن نصب شده است.
- از دایرکتوری که گواهی ها در آن قرار دارند، دستور زیر را برای تبدیل گواهی از فرمت P7B به فرمت PEM اجرا کنید:
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
- بررسی کنید که گواهی به فرمت PEM تبدیل شده است .
تبدیل گواهی از فرمت P7B به فرمت PFX
در این بخش نحوه تبدیل گواهینامه های TLS از فرمت P7B به فرمت PFX توضیح داده شده است.
برای تبدیل به فرمت PFX، باید کلید خصوصی را نیز دریافت کنید.
- گواهی (
certificate.p7b) را که می خواهید به PFX تبدیل کنید، به دستگاهی که OpenSSL با استفاده ازscp،sftpیا هر ابزار دیگر نصب شده است، منتقل کنید.به عنوان مثال، از دستور
scpبرای انتقال فایل به دایرکتوری/tmpروی سرور حاوی OpenSSL به صورت زیر استفاده کنید:scp certificate.p7b servername:/tmp scp private_key.key servername:/tmp
جایی که servername نام سرور حاوی OpenSSL است.
- وارد دستگاهی شوید که OpenSSL در آن نصب شده است.
- از دایرکتوری که گواهی ها در آن قرار دارند، دستورات زیر را برای تبدیل گواهی از فرمت P7B به PFX اجرا کنید و گواهینامه های موجودیت و Intermediate CA را به فایل های جداگانه صادر کنید:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
تأیید گواهی در قالب PEM است
این بخش نحوه تأیید اینکه گواهی در قالب PEM است را توضیح می دهد.
- برای مشاهده گواهی که در قالب PEM است، دستور زیر را اجرا کنید:
openssl x509 -in certificate.pem -text -noout
- اگر بتوانید محتویات گواهی را در قالب قابل خواندن توسط انسان بدون هیچ خطایی مشاهده کنید، می توانید تأیید کنید که گواهی در قالب PEM است.
- اگر گواهی در قالب دیگری باشد، خطاهایی مانند زیر را مشاهده خواهید کرد:
unable to load certificate 12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate
بسته بندی کلید PEM و فایل های گواهی در PKCS12/PFX
- مطمئن شوید که فایل کلید خصوصی در قالب PEM باشد. برای گواهی، اگر فایلهای PEM جداگانهای برای زنجیره خود دارید، هر فایل را در یک ویرایشگر متن باز کنید و آنها را در یک فایل به شکل زیر به هم متصل کنید:
-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
- فایل ها را با استفاده از
scp،sftpیا هر ابزار دیگر به دستگاهی که OpenSSL در آن نصب شده است منتقل کنید:scp certificate.pem servername:/tmp scp private.key servername:/tmp
- وارد دستگاهی شوید که OpenSSL در آن نصب شده است.
- از دایرکتوری که فایل ها در آن قرار دارند، دستور زیر را برای بسته بندی فایل ها در یک فایل PKCS12 با نام مستعار myalias اجرا کنید. هنگامی که از شما خواسته شد، رمز عبور مناسب را وارد کنید:
openssl pkcs12 -export -in certificate.pem -inkey private.key -out keystore.pfx -name myalias