Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di
Apigee X. informazioni
Questo documento spiega come convertire il certificato TLS e la chiave privata associata nei formati PEM o PFX (PKCS #12).
Apigee Edge supporta la memorizzazione solo di certificati in formato PEM o PFX negli archivi chiavi e nei truststore. I passaggi utilizzati per convertire i certificati da qualsiasi formato esistente in formati PEM o PFX si basano sul toolkit OpenSSL e sono applicabili a qualsiasi ambiente in cui OpenSSL è disponibile.
Prima di iniziare
Prima di utilizzare i passaggi descritti in questo documento, assicurati di comprendere i seguenti argomenti:
- Se non hai dimestichezza con il formato PEM o PFX, leggi Informazioni su TLS/SSL.
- Se non hai familiarità con i formati dei certificati, leggi l'articolo sui formati dei certificati SSL.
- Se non hai familiarità con la libreria OpenSSL, leggi OpenSSL.
- Se vuoi utilizzare gli esempi di riga di comando in questa guida, installa o esegui l'aggiornamento alla versione più recente del client OpenSSL.
Conversione del certificato dal formato DER al formato PEM
Questa sezione descrive come convertire un certificato e la chiave privata associata dal formato DER al formato PEM.
-
Trasferisci il file contenente la catena di certificati completa (
certificate.der) e la chiave privata associata (private_key.der) che vuoi convertire in formato PEM in una macchina in cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utilità.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL come segue:scp certificate.der servername:/tmp scp private_key.der servername:/tmp
Dove servername è il nome del server che contiene OpenSSL.
- Accedi alla macchina in cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui il seguente comando per
convertire il certificato e la chiave privata associata dal formato DER al formato PEM:
openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
- Verifica che il certificato sia convertito in formato PEM.
Conversione del certificato dal formato P7B al formato PEM
Questa sezione descrive come convertire i certificati dal formato P7B al formato PEM.
- Trasferisci il file contenente la catena di certificati completa (
certificate.p7b) che vuoi convertire in formato PEM a una macchina su cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utility.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL come segue:scp certificate.p7b servername:/tmp
Dove servername è il nome del server che contiene OpenSSL.
- Accedi al computer su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui il seguente comando per convertire
il certificato dal formato P7B al formato PEM:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
- Verifica che il certificato sia convertito in formato PEM.
Conversione del certificato dal formato PFX al formato PEM in corso...
Questa sezione descrive come convertire i certificati TLS dal formato PFX al formato PEM.
Durante la conversione di un file PFX in formato PEM, OpenSSL inserisce tutti i certificati e la chiave privata in un unico file. Dovrai aprire il file in un editor di testo e copiare ogni certificato
e ogni chiave privata (incluse le istruzioni BEGIN/END) in singoli file di testo e salvarli come
certificate.pfx, Intermediate.pfx (se applicabile),
CACert.pfx e privateKey.key rispettivamente.
Apigee supporta il formato PFX/PKCS #12; tuttavia, il formato PEM è pratico per molti motivi, inclusa la convalida.
-
Trasferisci i certificati e la chiave privata (
certificate.pfx,Intermediate.pfxCACert.pfx,privateKey.key) che vuoi convertire in formato PEM a una macchina su cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utility.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL come segue:scp certificate.pfx servername:/tmp
Dove servername è il nome del server che contiene OpenSSL.
- Accedi al computer su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui questo comando per convertire
il certificato dal formato P7B al formato PEM:
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
- Verifica che il certificato sia convertito in formato PEM.
Conversione del certificato dal formato P7B al formato PFX in corso...
Questa sezione descrive come convertire i certificati TLS dal formato P7B al formato PFX.
Per convertire in formato PFX, devi ottenere anche la chiave privata.
-
Trasferisci il certificato (
certificate.p7b) che vuoi convertire in PFX a un computer su cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utility.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL come segue:scp certificate.p7b servername:/tmp scp private_key.key servername:/tmp
Dove servername è il nome del server che contiene OpenSSL.
- Accedi alla macchina in cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui i seguenti comandi per convertire il certificato dal formato P7B a PFX ed esportare i certificati dell'entità e della CA intermedia in file separati:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
La verifica del certificato è in formato PEM
Questa sezione descrive come verificare che il certificato sia in formato PEM.
- Per visualizzare il certificato in formato PEM, esegui il seguente comando:
openssl x509 -in certificate.pem -text -noout
- Se riesci a visualizzare i contenuti del certificato in un formato leggibile senza errori, puoi confermare che il certificato è in formato PEM.
-
Se il certificato è in un altro formato, verranno visualizzati errori come i seguenti:
unable to load certificate 12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate
Pacchettizzazione della chiave PEM e dei file dei certificati in PKCS12/PFX
-
Assicurati che il file della chiave privata sia in formato PEM. Per il certificato, se hai file PEM separati per la catena, apri ogni file in un editor di testo e concatenali in un unico file come mostrato di seguito:
-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
-
Trasferisci i file su una macchina su cui è installato OpenSSL utilizzando
scp,sftpo qualsiasi altra utility:scp certificate.pem servername:/tmp scp private.key servername:/tmp
- Accedi al computer su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i file, esegui il seguente comando per impacchettarli in un file PKCS12 con l'alias myalias. Quando richiesto, inserisci una password appropriata:
openssl pkcs12 -export -in certificate.pem -inkey private.key -out keystore.pfx -name myalias