מוצג המסמך של Apigee Edge.
עוברים אל
מסמכי תיעוד של Apigee X. מידע
במסמך הזה נסביר איך להמיר את אישור ה-TLS ואת המפתח הפרטי המשויך אל הפורמטים PEM או PFX (PKCS #12).
ב-Apigee Edge יש תמיכה באחסון אישורים בפורמט PEM או PFX בלבד במאגרי מפתחות ובמאגרי Truststore. השלבים להמרת אישורים מכל פורמט קיים לפורמטים PEM או PFX מסתמכים על ערכת הכלים OpenSSL, וניתן להחיל אותם בכל מכשיר שבה OpenSSL זמין.
לפני שמתחילים
לפני שתשתמשו בשלבים שבמסמך הזה, חשוב שתוודאו שאתם מבינים את הנושאים הבאים:
- אם אתם לא מכירים את הפורמט PEM או PFX, אפשר לקרוא את המאמר מידע על TLS/SSL (אבטחת שכבת התעבורה).
- אם אתם לא מתמצאים בפורמטים של אישורים, מומלץ לקרוא את המאמר פורמטים של אישורי SSL.
- אם אתם לא מכירים את ספריית OpenSSL, עליכם לקרוא את המאמר OpenSSL.
- אם ברצונך להשתמש בדוגמאות של שורת הפקודה במדריך הזה, עליך להתקין או לעדכן לגרסה האחרונה של לקוח OpenSSL.
מתבצעת המרה של אישור מפורמט DER לפורמט PEM
בקטע הזה מוסבר איך להמיר אישור ומפתח פרטי משויך מ-DER. בפורמט PEM.
-
העברת הקובץ שמכיל את שרשרת האישורים המלאה (
certificate.der
) ואת המפתח הפרטי המשויך (private_key.der
) שברצונך להמיר לפורמט PEM במכונה שבה מותקנת OpenSSL באמצעותscp
,sftp
או כל אחד מהם אחרת.לדוגמה, אפשר להשתמש בפקודה
scp
כדי להעביר את הקובץ אל/tmp
בשרת שמכיל את OpenSSL באופן הבא:scp certificate.der servername:/tmp scp private_key.der servername:/tmp
כאשר servername הוא שם השרת שמכיל את OpenSSL.
- מתחברים למחשב שבו מותקנת OpenSSL.
-
מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי
להמיר את האישור ואת המפתח הפרטי המשויך מפורמט DER לפורמט PEM:
openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
- מוודאים שהאישור מומר לפורמט PEM.
המרת אישור מפורמט P7B לפורמט PEM
בקטע הזה נסביר איך להמיר אישורים מפורמט P7B לפורמט PEM.
- העברת הקובץ שמכיל את שרשרת האישורים המלאה (
certificate.p7b
) שברצונך להמיר לפורמט PEM למכונה שבה מותקנת OpenSSL באמצעותscp
,sftp
או כל כלי שירות אחר.לדוגמה, אפשר להשתמש בפקודה
scp
כדי להעביר את הקובץ אל/tmp
בשרת שמכיל את OpenSSL באופן הבא:scp certificate.p7b servername:/tmp
כאשר servername הוא שם השרת שמכיל את OpenSSL.
- מתחברים למחשב שבו מותקנת OpenSSL.
-
מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר אותם
מפורמט P7B לפורמט PEM:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
- מוודאים שהאישור מומר לפורמט PEM.
המרת אישור מפורמט PFX לפורמט PEM
בקטע הזה נסביר איך להמיר אישורים של TLS מפורמט PFX לפורמט PEM.
כשממירים קובץ PFX לפורמט PEM, OpenSSL מכניס את כל האישורים ואת המפתח הפרטי
לקובץ אחד. צריך לפתוח את הקובץ בכלי לעריכת טקסט ולהעתיק כל אחד מהאישורים
והמפתח הפרטי (כולל הצהרות ה-BEGIN/END) לקובצי טקסט נפרדים, ולשמור אותם בתור
certificate.pfx
, Intermediate.pfx
(אם רלוונטי),
CACert.pfx
ו-privateKey.key
בהתאמה.
Apigee תומכת בפורמט PFX/PKCS #12. עם זאת, הפורמט PEM מתאים במקרים רבים כולל אימות.
-
העברת האישורים והמפתח הפרטי (
certificate.pfx
,Intermediate.pfx
CACert.pfx
,privateKey.key
) שרוצים להמיר לפורמט PEM למכונה שבה מותקנת OpenSSL באמצעותscp
,sftp
או כל כלי שירות אחר.לדוגמה, אפשר להשתמש בפקודה
scp
כדי להעביר את הקובץ אל/tmp
בשרת שמכיל את OpenSSL באופן הבא:scp certificate.pfx servername:/tmp
כאשר servername הוא שם השרת שמכיל את OpenSSL.
- מתחברים למחשב שבו מותקנת OpenSSL.
-
מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר אותם
מפורמט P7B לפורמט PEM:
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
- מוודאים שהאישור מומר לפורמט PEM.
המרת אישור מפורמט P7B לפורמט PFX
בקטע הזה נסביר איך להמיר אישורים של TLS מפורמט P7B לפורמט PFX.
כדי להמיר לפורמט PFX, עליך לקבל גם את המפתח הפרטי.
-
מעבירים את האישור (
certificate.p7b
) שרוצים להמיר ל-PFX. במחשב שבו OpenSSL מותקן באמצעותscp
,sftp
או כל כלי שירות אחר.לדוגמה, אפשר להשתמש בפקודה
scp
כדי להעביר את הקובץ אל/tmp
בשרת שמכיל את OpenSSL באופן הבא:scp certificate.p7b servername:/tmp scp private_key.key servername:/tmp
כאשר servername הוא שם השרת שמכיל את OpenSSL.
- מתחברים למחשב שבו מותקנת OpenSSL.
-
מהספרייה שבה נמצאים האישורים, מריצים את הפקודות הבאות כדי להמיר אותם
האישור מפורמט P7B ל-PFX ולייצא את הישות ואת רשות האישורים הביניים
את האישורים לקבצים נפרדים:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
אימות האישור הוא בפורמט PEM
בקטע הזה מוסבר איך לוודא שהאישור הוא בפורמט PEM.
- כדי להציג את האישור בפורמט PEM, מריצים את הפקודה הבאה:
openssl x509 -in certificate.pem -text -noout
- אם אתה יכול להציג את תוכן האישור בפורמט קריא (לבני אדם), שגיאות כלשהן, ניתן לוודא שהאישור הוא בפורמט PEM.
-
אם האישור הוא בפורמט אחר, יופיעו שגיאות כמו בדוגמאות הבאות:
unable to load certificate 12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate