Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Questo documento spiega come convertire il certificato TLS e la chiave privata associata nei formati PEM o PFX (PKCS #12).
Apigee Edge supporta l'archiviazione solo di certificati in formato PEM o PFX in archivi chiavi e truststore. I passaggi utilizzati per convertire i certificati da qualsiasi formato esistente in formato PEM o PFX si basano sul toolkit OpenSSL e sono applicabili a qualsiasi ambiente in cui è disponibile OpenSSL.
Prima di iniziare
Prima di seguire la procedura descritta in questo documento, assicurati di comprendere i seguenti argomenti:
- Se non hai dimestichezza con il formato PEM o PFX, leggi l'articolo Informazioni su TLS/SSL.
- Se non hai familiarità con i formati dei certificati, leggi Formati dei certificati SSL.
- Se non hai dimestichezza con la libreria OpenSSL, leggi OpenSSL.
- Se vuoi utilizzare gli esempi di riga di comando di questa guida, installa o aggiorna il client OpenSSL all'ultima versione.
Conversione del certificato dal formato DER al formato PEM
Questa sezione descrive come convertire un certificato e la chiave privata associata dal formato DER al formato PEM.
-
Trasferisci il file contenente la catena di certificati completa (
certificate.der) e la chiave privata associata (private_key.der) che vuoi convertire in formato PEM su una macchina su cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utilità.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL nel seguente modo:scp certificate.der servername:/tmp scp private_key.der servername:/tmp
Dove servername è il nome del server contenente OpenSSL.
- Accedi alla macchina su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui questo comando per convertire il certificato e la chiave privata associata dal formato DER al formato PEM:
openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
- Verifica che il certificato sia convertito in formato PEM.
Conversione del certificato dal formato P7B a formato PEM
Questa sezione descrive come convertire i certificati dal formato P7B a quello PEM.
- Trasferisci il file contenente la catena di certificati completa (
certificate.p7b) che vuoi convertire in formato PEM in una macchina su cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utilità.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL nel seguente modo:scp certificate.p7b servername:/tmp
Dove servername è il nome del server contenente OpenSSL.
- Accedi alla macchina su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui questo comando per convertire il certificato dal formato P7B a quello PEM:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
- Verifica che il certificato sia convertito in formato PEM.
Conversione del certificato dal formato PFX in formato PEM
Questa sezione descrive come convertire i certificati TLS dal formato PFX al formato PEM.
Quando converti un file PFX in formato PEM, OpenSSL inserisce tutti i certificati e la chiave privata in un unico file. Dovrai aprire il file in un editor di testo e copiare ogni certificato e ogni chiave privata (incluse le istruzioni BEGIN/END) in singoli file di testo e salvarli rispettivamente come certificate.pfx, Intermediate.pfx (se applicabile), CACert.pfx e privateKey.key.
Apigee supporta il formato PFX/PKCS #12, tuttavia, il formato PEM è pratico per molti motivi, tra cui la convalida.
-
Trasferisci i certificati e la chiave privata (
certificate.pfx,Intermediate.pfxCACert.pfx,privateKey.key) che vuoi convertire in formato PEM a una macchina su cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utilità.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL nel seguente modo:scp certificate.pfx servername:/tmp
Dove servername è il nome del server contenente OpenSSL.
- Accedi alla macchina su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui questo comando per convertire il certificato dal formato P7B a quello PEM:
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
- Verifica che il certificato sia convertito in formato PEM.
Conversione del certificato dal formato P7B a formato PFX
Questa sezione descrive come convertire i certificati TLS dal formato P7B al formato PFX.
Per convertirlo nel formato PFX, devi ottenere anche la chiave privata.
-
Trasferisci il certificato (
certificate.p7b) che vuoi convertire in PFX su una macchina in cui è installato OpenSSL utilizzandoscp,sftpo qualsiasi altra utilità.Ad esempio, utilizza il comando
scpper trasferire il file nella directory/tmpsul server contenente OpenSSL nel seguente modo:scp certificate.p7b servername:/tmp scp private_key.key servername:/tmp
Dove servername è il nome del server contenente OpenSSL.
- Accedi alla macchina su cui è installato OpenSSL.
-
Dalla directory in cui si trovano i certificati, esegui i comandi seguenti per convertire il certificato dal formato P7B a PFX ed esportare i certificati dell'entità e della CA intermedia in file separati:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
Verifica del certificato in formato PEM
Questa sezione descrive come verificare che il certificato sia in formato PEM.
- Per visualizzare il certificato in formato PEM, esegui questo comando:
openssl x509 -in certificate.pem -text -noout
- Se riesci a visualizzare i contenuti del certificato in un formato leggibile senza errori, puoi confermare che il certificato è in formato PEM.
-
Se il certificato è in un altro formato, verranno visualizzati errori come il seguente:
unable to load certificate 12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate