המערכת ממירה אישורים לפורמט נתמך

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X. מידע

במסמך זה מוסבר איך להמיר את אישור ה-TLS (אבטחת שכבת התעבורה) ואת המפתח הפרטי המשויך לפורמט PEM או PFX (PKCS #12).

ב-Apigee Edge אפשר לשמור רק אישורים בפורמט PEM או PFX בחנויות מפתחות וב-Truststore. השלבים להמרת אישורים מכל פורמט קיים לפורמטים PEM או PFX מסתמכים על ערכת הכלים OpenSSL והם חלים בכל סביבה שבה OpenSSL זמין.

לפני שמתחילים

לפני שמבצעים את השלבים במסמך הזה, חשוב להבין את הנושאים הבאים:

  • אם אתם לא מכירים את הפורמט PEM או PFX, כדאי לקרוא את מידע על TLS/SSL.
  • אם אתם לא מתמצאים בפורמטים של אישורים, כדאי לקרוא את המאמר פורמטים של אישורי SSL.
  • אם אתם לא מכירים את ספריית OpenSSL, כדאי לקרוא את OpenSSL.
  • כדי להשתמש בדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את הגרסה האחרונה של לקוח OpenSSL או לעדכן אותה לגרסה האחרונה.

המרת אישור מפורמט DER לפורמט PEM

בקטע הזה מוסבר איך להמיר אישור ומפתח פרטי משויך מפורמט DER לפורמט PEM.

  1. מעבירים את הקובץ שמכיל את שרשרת האישורים המלאה (certificate.der) ואת המפתח הפרטי המשויך אליה (private_key.der) שרוצים להמיר לפורמט PEM, למכונה שבה OpenSSL מותקן באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.der servername:/tmp
scp private_key.der servername:/tmp

    servername הוא שם השרת שמכיל את OpenSSL.

  2. התחבר למכונה שבה מותקן OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור ואת המפתח הפרטי המשויך מפורמט DER לפורמט PEM: 
    openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
  4. ודא שהאישור הומר לפורמט PEM.

המרת אישור מפורמט P7B לפורמט PEM

הקטע הזה מתאר כיצד להמיר אישורים מפורמט P7B לפורמט PEM.

  1. מעבירים את הקובץ שמכיל את שרשרת האישורים המלאה (certificate.p7b) שרוצים להמיר לפורמט PEM, למכונה שבה OpenSSL מותקן באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.p7b servername:/tmp

    servername הוא שם השרת שמכיל את OpenSSL.

  2. התחבר למכונה שבה מותקן OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור מפורמט P7B לפורמט PEM: 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
  4. ודא שהאישור הומר לפורמט PEM.

המרת אישור מפורמט PFX לפורמט PEM

בקטע הזה מוסבר איך להמיר אישורי TLS מפורמט PFX לפורמט PEM.

כשממירים קובץ PFX לפורמט PEM, OpenSSL שומרת את כל האישורים והמפתח הפרטי בקובץ אחד. צריך לפתוח את הקובץ בעורך טקסט ולהעתיק כל אישור ומפתח פרטי (כולל הצהרות ה-BEGIN/END) לקובצי טקסט נפרדים ולשמור אותם בתור certificate.pfx, Intermediate.pfx (אם רלוונטי), CACert.pfx ו-privateKey.key, בהתאמה.

Apigee כן תומכת בפורמט PFX/PKCS #12; עם זאת, פורמט PEM נוח מסיבות רבות, כולל אימות.

  1. יש להעביר את האישורים ואת המפתח הפרטי (certificate.pfx, Intermediate.pfx CACert.pfx, privateKey.key) שברצונך להמיר לפורמט PEM למכונה שבה OpenSSL מותקן באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.pfx servername:/tmp

    servername הוא שם השרת שמכיל את OpenSSL.

  2. התחבר למכונה שבה מותקן OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור מפורמט P7B לפורמט PEM: 
    openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
  4. ודא שהאישור הומר לפורמט PEM.

המרת האישור מפורמט P7B לפורמט PFX

בקטע הזה מוסבר איך להמיר אישורי TLS מפורמט P7B לפורמט PFX.

כדי להמיר לפורמט PFX, צריך להשיג גם את המפתח הפרטי.

  1. עליך להעביר את האישור (certificate.p7b) שברצונך להמיר ל-PFX למכונה שבה מותקן OpenSSL באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, משתמשים בפקודה scp כדי להעביר את הקובץ לספרייה /tmp בשרת שמכיל את OpenSSL באופן הבא: 

    scp certificate.p7b servername:/tmp
scp private_key.key servername:/tmp

    servername הוא שם השרת שמכיל את OpenSSL.

  2. התחבר למכונה שבה מותקן OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודות הבאות כדי להמיר את האישור מפורמט P7B לפורמט PFX, ולייצא את אישורי הישות ואת אישורי CA הביניים לקבצים נפרדים: 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer

מתבצע אימות של האישור בפורמט PEM

בקטע הזה מוסבר איך לוודא שהאישור הוא בפורמט PEM.

  1. כדי להציג את האישור בפורמט PEM, מריצים את הפקודה הבאה: 
    openssl x509 -in certificate.pem -text -noout
  2. אם הצלחת להציג את תוכן האישור בפורמט קריא לאנשים ללא שגיאות, אפשר לוודא שהאישור הוא בפורמט PEM.
  3. אם האישור הוא בפורמט אחר, יוצגו שגיאות כמו: 
    unable to load certificate
12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate