המערכת ממירה אישורים לפורמט נתמך

אתם צופים במסמכי העזרה של Apigee Edge.
לעיון במאמרי העזרה של Apigee X. מידע

במסמך הזה מוסבר איך להמיר את אישור ה-TLS ואת המפתח הפרטי המשויך לפורמטים PEM או PFX‏ (PKCS #12).

ב-Apigee Edge יש תמיכה באחסון של אישורים בפורמט PEM או PFX רק במאגרי מפתחות ובמאגרי אמון. השלבים להמרת אישורים מכל פורמט קיים לפורמטים PEM או PFX מסתמכים על ערכת הכלים OpenSSL, והם רלוונטיים בכל סביבה שבה OpenSSL זמין.

לפני שמתחילים

לפני שמבצעים את השלבים שמפורטים במסמך הזה, חשוב להבין את הנושאים הבאים:

  • אם אתם לא מכירים את הפורמטים PEM או PFX, כדאי לקרוא את המאמר מידע על TLS/SSL.
  • אם אתם לא מכירים את הפורמטים של אישורים, כדאי לקרוא את המאמר פורמטים של אישורי SSL.
  • אם אתם לא מכירים את ספריית OpenSSL, כדאי לקרוא את המאמר OpenSSL.
  • אם רוצים להשתמש בדוגמאות לשורת הפקודה במדריך הזה, צריך להתקין או לעדכן את הגרסה העדכנית ביותר של לקוח OpenSSL.

המרת אישור מפורמט DER לפורמט PEM

בקטע הזה מוסבר איך להמיר אישור ומפתח פרטי משויך מפורמט DER לפורמט PEM.

  1. מעבירים את הקובץ שמכיל את שרשרת האישורים המלאה (certificate.der) ואת המפתח הפרטי המשויך (private_key.der) שרוצים להמיר לפורמט PEM למכונה שבה מותקן OpenSSL באמצעות scp,‏ sftp או כל תוכנית שירות אחרת.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL, באופן הבא: 

    scp certificate.der servername:/tmp
scp private_key.der servername:/tmp

    כאשר servername הוא השם של השרת שמכיל את OpenSSL.

  2. מתחברים למחשב שבו מותקנת OpenSSL.
  3. בספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור ואת המפתח הפרטי המשויך מפורמט DER לפורמט PEM: 
    openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
  4. מוודאים שהאישור הומר לפורמט PEM.

המרת אישור מפורמט P7B לפורמט PEM

בקטע הזה מוסבר איך להמיר אישורים מפורמט P7B לפורמט PEM.

  1. מעבירים את הקובץ שמכיל את שרשרת האישורים המלאה (certificate.p7b) שרוצים להמיר לפורמט PEM למכונה שבה מותקן OpenSSL באמצעות scp,‏ sftp או כל כלי אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.p7b servername:/tmp

    כאשר servername הוא השם של השרת שמכיל את OpenSSL.

  2. מתחברים למכונה שבה מותקן OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור מפורמט P7B לפורמט PEM: 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
  4. מוודאים שהאישור מומר לפורמט PEM.

המרת אישור מפורמט PFX לפורמט PEM

בקטע הזה מוסבר איך להמיר אישורי TLS מפורמט PFX לפורמט PEM.

כשממירים קובץ PFX לפורמט PEM, המערכת של OpenSSL מעבירה את כל האישורים והמפתח הפרטי לקובץ אחד. צריך לפתוח את הקובץ בעורך טקסט ולהעתיק כל אישור ומפתח פרטי (כולל הצהרות ה-BEGIN/END) לקובצי טקסט נפרדים ולשמור אותם בתור certificate.pfx,‏ Intermediate.pfx (אם רלוונטי),‏ CACert.pfx ו-privateKey.key, בהתאמה.

Apigee תומך בפורמט PFX/PKCS #12, אבל פורמט PEM נוח מסיבות רבות, כולל אימות.

  1. מעבירים את האישורים ואת המפתח הפרטי (certificate.pfx, Intermediate.pfx CACert.pfx, privateKey.key) שרוצים להמיר לפורמט PEM למכונה שבה OpenSSL מותקנת באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.pfx servername:/tmp

    כאשר servername הוא השם של השרת שמכיל את OpenSSL.

  2. מתחברים למכונה שבה מותקן OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור מפורמט P7B לפורמט PEM: 
    openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
  4. מוודאים שהאישור הומר לפורמט PEM.

המרת אישור מפורמט P7B לפורמט PFX

בקטע הזה מוסבר איך להמיר אישורי TLS מפורמט P7B לפורמט PFX.

כדי להמיר לפורמט PFX, צריך לקבל גם את המפתח הפרטי.

  1. מעבירים את האישור (certificate.p7b) שרוצים להמיר ל-PFX למכונה שבה מותקן OpenSSL באמצעות scp,‏ sftp או כל כלי אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.p7b servername:/tmp
scp private_key.key servername:/tmp

    כאשר servername הוא השם של השרת שמכיל את OpenSSL.

  2. מתחברים למכונה שבה מותקן OpenSSL.
  3. בתיקייה שבה נמצאים האישורים, מריצים את הפקודות הבאות כדי להמיר את האישור מפורמט P7B לפורמט PFX ולייצא את אישורי הישות ואת אישורי הרשות המנפיקה (CA) הבינונית לקובצים נפרדים: 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer

אימות האישור בפורמט PEM

בקטע הזה מוסבר איך מוודאים שהאישור בפורמט PEM.

  1. כדי להציג את האישור בפורמט PEM, מריצים את הפקודה הבאה: 
    openssl x509 -in certificate.pem -text -noout
  2. אם אתם מצליחים להציג את תוכן האישור בפורמט שאפשר לקרוא ללא שגיאות, סימן שהאישור בפורמט PEM.
  3. אם האישור הוא בפורמט אחר, יופיעו שגיאות כמו בדוגמאות הבאות: 
    unable to load certificate
12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate

אריזה של מפתחות ושל קובצי אישורים בפורמט PEM ב-PKCS12/PFX

  1. יש לוודא שקובץ המפתח הפרטי הוא בפורמט PEM. לגבי האישור, אם יש לכם קובצי PEM נפרדים בשרשרת, פותחים כל קובץ בכלי לעריכת טקסט ומקשרים אותם לקובץ אחד, כפי שמתואר בהמשך: 
    -----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
  2. מעבירים את הקבצים למכונה שבה מותקנת OpenSSL באמצעות scp,‏ sftp או כל כלי אחר: 
    scp certificate.pem servername:/tmp
scp private.key servername:/tmp
  3. מתחברים למכונה שבה מותקן OpenSSL.
  4. בספרייה שבה נמצאים הקבצים, מריצים את הפקודה הבאה כדי לארוז את הקבצים בקובץ PKCS12 עם הכינוי myalias. כשמופיעה בקשה, מזינים סיסמה מתאימה: 
    openssl pkcs12 -export -in certificate.pem -inkey private.key -out keystore.pfx -name myalias