המערכת ממירה אישורים לפורמט נתמך

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X.
מידע

במסמך הזה נסביר איך להמיר את אישור ה-TLS ואת המפתח הפרטי המשויך אל הפורמטים PEM או PFX (PKCS #12).

ב-Apigee Edge יש תמיכה באחסון אישורים בפורמט PEM או PFX בלבד במאגרי מפתחות ובמאגרי Truststore. השלבים להמרת אישורים מכל פורמט קיים לפורמטים PEM או PFX מסתמכים על ערכת הכלים OpenSSL, וניתן להחיל אותם בכל מכשיר שבה OpenSSL זמין.

לפני שמתחילים

לפני שתשתמשו בשלבים שבמסמך הזה, חשוב שתוודאו שאתם מבינים את הנושאים הבאים:

  • אם אתם לא מכירים את הפורמט PEM או PFX, אפשר לקרוא את המאמר מידע על TLS/SSL (אבטחת שכבת התעבורה).
  • אם אתם לא מתמצאים בפורמטים של אישורים, מומלץ לקרוא את המאמר פורמטים של אישורי SSL.
  • אם אתם לא מכירים את ספריית OpenSSL, עליכם לקרוא את המאמר OpenSSL.
  • אם ברצונך להשתמש בדוגמאות של שורת הפקודה במדריך הזה, עליך להתקין או לעדכן לגרסה האחרונה של לקוח OpenSSL.

מתבצעת המרה של אישור מפורמט DER לפורמט PEM

בקטע הזה מוסבר איך להמיר אישור ומפתח פרטי משויך מ-DER. בפורמט PEM.

  1. העברת הקובץ שמכיל את שרשרת האישורים המלאה (certificate.der) ואת המפתח הפרטי המשויך (private_key.der) שברצונך להמיר לפורמט PEM במכונה שבה מותקנת OpenSSL באמצעות scp, sftp או כל אחד מהם אחרת.

    לדוגמה, אפשר להשתמש בפקודה scp כדי להעביר את הקובץ אל /tmp בשרת שמכיל את OpenSSL באופן הבא:

    scp certificate.der servername:/tmp
    scp private_key.der servername:/tmp
    

    כאשר servername הוא שם השרת שמכיל את OpenSSL.

  2. מתחברים למחשב שבו מותקנת OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר את האישור ואת המפתח הפרטי המשויך מפורמט DER לפורמט PEM:
    openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
    openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
    
  4. מוודאים שהאישור מומר לפורמט PEM.

המרת אישור מפורמט P7B לפורמט PEM

בקטע הזה נסביר איך להמיר אישורים מפורמט P7B לפורמט PEM.

  1. העברת הקובץ שמכיל את שרשרת האישורים המלאה (certificate.p7b) שברצונך להמיר לפורמט PEM למכונה שבה מותקנת OpenSSL באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, אפשר להשתמש בפקודה scp כדי להעביר את הקובץ אל /tmp בשרת שמכיל את OpenSSL באופן הבא:

    scp certificate.p7b servername:/tmp
    

    כאשר servername הוא שם השרת שמכיל את OpenSSL.

  2. מתחברים למחשב שבו מותקנת OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר אותם מפורמט P7B לפורמט PEM:
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
    
  4. מוודאים שהאישור מומר לפורמט PEM.

המרת אישור מפורמט PFX לפורמט PEM

בקטע הזה נסביר איך להמיר אישורים של TLS מפורמט PFX לפורמט PEM.

כשממירים קובץ PFX לפורמט PEM, OpenSSL מכניס את כל האישורים ואת המפתח הפרטי לקובץ אחד. צריך לפתוח את הקובץ בכלי לעריכת טקסט ולהעתיק כל אחד מהאישורים והמפתח הפרטי (כולל הצהרות ה-BEGIN/END) לקובצי טקסט נפרדים, ולשמור אותם בתור certificate.pfx, Intermediate.pfx (אם רלוונטי), CACert.pfx ו-privateKey.key בהתאמה.

Apigee תומכת בפורמט PFX/PKCS #12. עם זאת, הפורמט PEM מתאים במקרים רבים כולל אימות.

  1. העברת האישורים והמפתח הפרטי (certificate.pfx, Intermediate.pfx CACert.pfx, privateKey.key) שרוצים להמיר לפורמט PEM למכונה שבה מותקנת OpenSSL באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, אפשר להשתמש בפקודה scp כדי להעביר את הקובץ אל /tmp בשרת שמכיל את OpenSSL באופן הבא:

    scp certificate.pfx servername:/tmp
    

    כאשר servername הוא שם השרת שמכיל את OpenSSL.

  2. מתחברים למחשב שבו מותקנת OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודה הבאה כדי להמיר אותם מפורמט P7B לפורמט PEM:
    openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
    
  4. מוודאים שהאישור מומר לפורמט PEM.

המרת אישור מפורמט P7B לפורמט PFX

בקטע הזה נסביר איך להמיר אישורים של TLS מפורמט P7B לפורמט PFX.

כדי להמיר לפורמט PFX, עליך לקבל גם את המפתח הפרטי.

  1. מעבירים את האישור (certificate.p7b) שרוצים להמיר ל-PFX. במחשב שבו OpenSSL מותקן באמצעות scp, sftp או כל כלי שירות אחר.

    לדוגמה, אפשר להשתמש בפקודה scp כדי להעביר את הקובץ אל /tmp בשרת שמכיל את OpenSSL באופן הבא:

    scp certificate.p7b servername:/tmp
    scp private_key.key servername:/tmp
    

    כאשר servername הוא שם השרת שמכיל את OpenSSL.

  2. מתחברים למחשב שבו מותקנת OpenSSL.
  3. מהספרייה שבה נמצאים האישורים, מריצים את הפקודות הבאות כדי להמיר אותם האישור מפורמט P7B ל-PFX ולייצא את הישות ואת רשות האישורים הביניים את האישורים לקבצים נפרדים:
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
    
    openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
    

אימות האישור הוא בפורמט PEM

בקטע הזה מוסבר איך לוודא שהאישור הוא בפורמט PEM.

  1. כדי להציג את האישור בפורמט PEM, מריצים את הפקודה הבאה:
    openssl x509 -in certificate.pem -text -noout
    
  2. אם אתה יכול להציג את תוכן האישור בפורמט קריא (לבני אדם), שגיאות כלשהן, ניתן לוודא שהאישור הוא בפורמט PEM.
  3. אם האישור הוא בפורמט אחר, יופיעו שגיאות כמו בדוגמאות הבאות:
    unable to load certificate
    12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate