การแปลงใบรับรองเป็นรูปแบบที่สนับสนุน

คุณกำลังดูเอกสารประกอบสำหรับ Apigee Edge
ไปที่เอกสารประกอบเกี่ยวกับ Apigee Xข้อมูล

เอกสารนี้อธิบายวิธีแปลงใบรับรอง TLS และคีย์ส่วนตัวที่เกี่ยวข้องเป็นรูปแบบ PEM หรือ PFX (PKCS #12)

Apigee Edge รองรับเฉพาะการจัดเก็บใบรับรองรูปแบบ PEM หรือ PFX ในคีย์สโตร์และทรัสต์สโตร์ ขั้นตอนที่ใช้แปลงใบรับรองจากรูปแบบที่มีอยู่เป็นรูปแบบ PEM หรือ PFX จะขึ้นอยู่กับชุดเครื่องมือ OpenSSL และใช้กับสภาพแวดล้อมใดก็ได้ที่มี OpenSSL

ก่อนเริ่มต้น

ก่อนที่จะใช้ขั้นตอนในเอกสารนี้ โปรดทำความเข้าใจหัวข้อต่อไปนี้

  • หากไม่คุ้นเคยกับรูปแบบ PEM หรือ PFX โปรดอ่านเกี่ยวกับ TLS/SSL
  • หากไม่คุ้นเคยกับรูปแบบใบรับรอง โปรดอ่านรูปแบบใบรับรอง SSL
  • หากคุณไม่คุ้นเคยกับไลบรารี OpenSSL โปรดอ่านหัวข้อ OpenSSL
  • หากต้องการใช้ตัวอย่างบรรทัดคำสั่งในคู่มือนี้ ให้ติดตั้งหรืออัปเดตไคลเอ็นต์ OpenSSL เป็นเวอร์ชันล่าสุด

การแปลงใบรับรองจากรูปแบบ DER เป็นรูปแบบ PEM

ส่วนนี้จะอธิบายวิธีแปลงใบรับรองและคีย์ส่วนตัวที่เชื่อมโยงจากรูปแบบ DER เป็นรูปแบบ PEM

  1. โอนไฟล์ที่มีเชนใบรับรอง (certificate.der) ที่สมบูรณ์และคีย์ส่วนตัวที่เกี่ยวข้อง (private_key.der) ที่ต้องการแปลงเป็นรูปแบบ PEM ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่นๆ

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.der servername:/tmp
scp private_key.der servername:/tmp

    โดยที่ servername คือชื่อเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่มีการติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรองอยู่ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองและคีย์ส่วนตัวที่เชื่อมโยงจากรูปแบบ DER เป็นรูปแบบ PEM 
    openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
  4. ตรวจสอบว่าใบรับรองได้รับการแปลงเป็นรูปแบบ PEM

กำลังแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM

ส่วนนี้จะอธิบายวิธีแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM

  1. โอนไฟล์ที่มีชุดใบรับรอง (certificate.p7b) ที่คุณต้องการแปลงเป็นรูปแบบ PEM ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่นๆ

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.p7b servername:/tmp

    โดยที่ servername คือชื่อเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่ติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรอง ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
  4. ยืนยันว่าใบรับรองถูกแปลงเป็นรูปแบบ PEM

กำลังแปลงใบรับรองจากรูปแบบ PFX เป็นรูปแบบ PEM

ส่วนนี้จะอธิบายวิธีแปลงใบรับรอง TLS จากรูปแบบ PFX เป็นรูปแบบ PEM

เมื่อแปลงไฟล์ PFX เป็นรูปแบบ PEM ทาง OpenSSL จะใส่ใบรับรองและคีย์ส่วนตัวทั้งหมดไว้ในไฟล์เดียว คุณจะต้องเปิดไฟล์ในเครื่องมือแก้ไขข้อความและคัดลอกใบรับรองและคีย์ส่วนตัว (รวมถึงคำสั่ง BEGIN/END) ไปยังไฟล์ข้อความแต่ละไฟล์ และบันทึกเป็น certificate.pfx, Intermediate.pfx (หากมี) CACert.pfx และ privateKey.key ตามลำดับ

Apigee รองรับรูปแบบ PFX/PKCS #12 แต่รูปแบบ PEM สะดวกกว่าในหลายๆ ด้าน รวมถึงการตรวจสอบ

  1. โอนใบรับรองและรหัสส่วนตัว (certificate.pfx, Intermediate.pfx CACert.pfx, privateKey.key) ที่ต้องการแปลงเป็นรูปแบบ PEM ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่นๆ

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.pfx servername:/tmp

    โดยที่ servername คือชื่อเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่ติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรองอยู่ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM 
    openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
  4. ยืนยันว่าใบรับรองถูกแปลงเป็นรูปแบบ PEM

การแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PFX

หัวข้อนี้จะอธิบายวิธีแปลงใบรับรอง TLS จากรูปแบบ P7B เป็นรูปแบบ PFX

หากต้องการแปลงเป็นรูปแบบ PFX คุณจะต้องได้รับคีย์ส่วนตัวด้วย

  1. โอนใบรับรอง (certificate.p7b) ที่คุณต้องการแปลงเป็น PFX ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่นๆ

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.p7b servername:/tmp
scp private_key.key servername:/tmp

    โดยที่ servername คือชื่อเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่ติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรอง ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองจากรูปแบบ P7B เป็น PFX และส่งออกใบรับรองเอนทิตีและใบรับรอง CA ระดับกลางเป็นไฟล์แยกต่างหาก 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer

ใบรับรองที่ใช้ยืนยันอยู่ในรูปแบบ PEM

ส่วนนี้จะอธิบายวิธียืนยันว่าใบรับรองอยู่ในรูปแบบ PEM

  1. หากต้องการดูใบรับรองที่อยู่ในรูปแบบ PEM ให้เรียกใช้คำสั่งต่อไปนี้ 
    openssl x509 -in certificate.pem -text -noout
  2. หากดูเนื้อหาของใบรับรองในรูปแบบที่มนุษย์อ่านได้โดยไม่มีข้อผิดพลาด แสดงว่าใบรับรองอยู่ในรูปแบบ PEM
  3. ถ้าใบรับรองอยู่ในรูปแบบอื่น คุณจะพบข้อผิดพลาดดังนี้ 
    unable to load certificate
12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate

การรวมคีย์ PEM และไฟล์ใบรับรองลงใน PKCS12/PFX

  1. ตรวจสอบว่าไฟล์คีย์ส่วนตัวอยู่ในรูปแบบ PEM สำหรับใบรับรอง หากคุณมีไฟล์ PEM แยกต่างหากสำหรับเชน ให้เปิดไฟล์แต่ละไฟล์ในเครื่องมือแก้ไขข้อความและต่อเข้าด้วยกันเป็นไฟล์เดียวดังที่แสดงด้านล่าง 
    -----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
  2. โอนไฟล์ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่นๆ ต่อไปนี้ 
    scp certificate.pem servername:/tmp
scp private.key servername:/tmp
  3. เข้าสู่ระบบเครื่องที่ติดตั้ง OpenSSL
  4. จากไดเรกทอรีที่มีไฟล์ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อจัดแพ็กเกจไฟล์เป็นไฟล์ PKCS12 ที่มีอีเมลแทน myalias ป้อนรหัสผ่านที่เหมาะสมเมื่อได้รับข้อความแจ้ง 
    openssl pkcs12 -export -in certificate.pem -inkey private.key -out keystore.pfx -name myalias