証明書をサポートされている形式に変換する

Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください
情報

このドキュメントでは、TLS 証明書と関連する秘密鍵を PEM または PFX(PKCS #12)形式に変換する方法について説明します。

Apigee Edge では、PEM 形式または PFX 形式の証明書のみをキーストアとトラストストアに保存できます。証明書を既存の形式から PEM または PFX に変換する手順は、OpenSSL ツールキットに依存しており、OpenSSL が利用可能なすべての環境に適用できます。

始める前に

このドキュメントの手順を使用する前に、次のトピックを理解しておいてください。

  • PEM または PFX 形式に慣れていない場合は、TLS/SSL についてをご覧ください。
  • 証明書の形式についてよくご存じない場合は、SSL 証明書の形式をご覧ください。
  • OpenSSL ライブラリについてよくご存じない場合は、OpenSSL をご覧ください。
  • このガイドのコマンドラインの例を使用する場合は、OpenSSL クライアントの最新バージョンをインストールするか、最新バージョンに更新してください。

証明書を DER 形式から PEM 形式に変換しています

このセクションでは、証明書と関連する秘密鍵を DER 形式から PEM 形式に変換する方法について説明します。

  1. PEM 形式に変換する証明書チェーン全体(certificate.der)と関連する秘密鍵(private_key.der)を含むファイルを、scpsftp などのユーティリティを使用して、OpenSSL がインストールされているマシンに転送します。

    たとえば、OpenSSL を含むサーバー上の /tmp ディレクトリにファイルを転送するには、次のように scp コマンドを使用します。

    scp certificate.der servername:/tmp
    scp private_key.der servername:/tmp
    

    ここで、servername は OpenSSL を含むサーバーの名前です。

  2. OpenSSL がインストールされているマシンにログインします。
  3. 証明書が保存されているディレクトリから、次のコマンドを実行して、証明書と関連する秘密鍵を DER 形式から PEM 形式に変換します。
    openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
    openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
    
  4. 証明書が PEM 形式に変換されていることを確認します

証明書を P7B 形式から PEM 形式に変換する

このセクションでは、証明書を P7B 形式から PEM 形式に変換する方法について説明します。

  1. PEM 形式に変換する完全な証明書チェーン(certificate.p7b)を含むファイルを、scpsftp などのユーティリティを使用して、OpenSSL がインストールされているマシンに転送します。

    たとえば、OpenSSL を含むサーバー上の /tmp ディレクトリにファイルを転送するには、次のように scp コマンドを使用します。

    scp certificate.p7b servername:/tmp
    

    ここで、servername は OpenSSL を含むサーバーの名前です。

  2. OpenSSL がインストールされているマシンにログインします。
  3. 証明書があるディレクトリで、次のコマンドを実行して証明書を P7B 形式から PEM 形式に変換します。
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
    
  4. 証明書が PEM 形式に変換されていることを確認します

証明書を PFX 形式から PEM 形式に変換しています

このセクションでは、TLS 証明書を PFX 形式から PEM 形式に変換する方法について説明します。

PFX ファイルを PEM 形式に変換すると、OpenSSL はすべての証明書と秘密鍵を 1 つのファイルに保存します。ファイルをテキスト エディタで開き、各証明書と秘密鍵(BEGIN/END ステートメントを含む)を個別のテキスト ファイルにコピーし、それぞれ certificate.pfxIntermediate.pfx(該当する場合)、CACert.pfxprivateKey.key として保存する必要があります。

Apigee は PFX/PKCS #12 形式をサポートしていますが、PEM 形式は検証を含む多くの理由から便利です。

  1. PEM 形式に変換する証明書と秘密鍵(certificate.pfxIntermediate.pfx CACert.pfxprivateKey.key)を、scpsftp などのユーティリティを使用して、OpenSSL がインストールされているマシンに転送します。

    たとえば、OpenSSL を含むサーバー上の /tmp ディレクトリにファイルを転送するには、次のように scp コマンドを使用します。

    scp certificate.pfx servername:/tmp
    

    ここで、servername は OpenSSL を含むサーバーの名前です。

  2. OpenSSL がインストールされているマシンにログインします。
  3. 証明書があるディレクトリで、次のコマンドを実行して証明書を P7B 形式から PEM 形式に変換します。
    openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
    
  4. 証明書が PEM 形式に変換されていることを確認します

証明書を P7B 形式から PFX 形式に変換しています

このセクションでは、TLS 証明書を P7B 形式から PFX 形式に変換する方法について説明します。

PFX 形式に変換するには、秘密鍵も取得する必要があります。

  1. scpsftp などのユーティリティを使用して、PFX に変換する証明書(certificate.p7b)を、OpenSSL がインストールされているマシンに転送します。

    たとえば、OpenSSL を含むサーバー上の /tmp ディレクトリにファイルを転送するには、次のように scp コマンドを使用します。

    scp certificate.p7b servername:/tmp
    scp private_key.key servername:/tmp
    

    ここで、servername は OpenSSL を含むサーバーの名前です。

  2. OpenSSL がインストールされているマシンにログインします。
  3. 証明書があるディレクトリで、次のコマンドを実行して証明書を P7B から PFX 形式に変換し、エンティティ証明書と中間 CA 証明書を別々のファイルにエクスポートします。
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
    
    openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
    

証明書が PEM 形式であることを確認しています

このセクションでは、証明書が PEM 形式であることを確認する方法について説明します。

  1. PEM 形式の証明書を表示するには、次のコマンドを実行します。
    openssl x509 -in certificate.pem -text -noout
    
  2. 人が読める形式で証明書の内容をエラーなしで表示できる場合は、証明書が PEM 形式であることを確認できます。
  3. 証明書が上記以外の形式の場合、次のようなエラーが表示されます。
    unable to load certificate
    12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate