การแปลงใบรับรองเป็นรูปแบบที่สนับสนุน

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

เอกสารนี้อธิบายวิธีแปลงใบรับรอง TLS และคีย์ส่วนตัวที่เกี่ยวข้องเป็นรูปแบบ PEM หรือ PFX (PKCS #12)

Apigee Edge รองรับการจัดเก็บเฉพาะใบรับรองรูปแบบ PEM หรือ PFX ในคีย์สโตร์และ Truststore ขั้นตอนที่ใช้ในการแปลงใบรับรองจากรูปแบบที่มีอยู่ไปเป็นรูปแบบ PEM หรือ PFX จะขึ้นอยู่กับชุดเครื่องมือ OpenSSL และสามารถใช้ได้กับสภาพแวดล้อมใดก็ได้ที่ OpenSSL มีให้ใช้งาน

ก่อนเริ่มต้น

ก่อนทําตามขั้นตอนในเอกสารฉบับนี้ โปรดทําความเข้าใจหัวข้อต่อไปนี้

  • หากไม่คุ้นเคยกับรูปแบบ PEM หรือ PFX โปรดอ่านเกี่ยวกับ TLS/SSL
  • หากไม่คุ้นเคยกับรูปแบบใบรับรอง โปรดอ่านรูปแบบใบรับรอง SSL
  • หากคุณไม่คุ้นเคยกับไลบรารี OpenSSL โปรดอ่าน OpenSSL
  • หากต้องการใช้ตัวอย่างบรรทัดคำสั่งในคู่มือนี้ ให้ติดตั้งหรืออัปเดตไคลเอ็นต์ OpenSSL เป็นเวอร์ชันล่าสุด

กำลังแปลงใบรับรองจากรูปแบบ DER เป็นรูปแบบ PEM

หัวข้อนี้จะอธิบายวิธีการแปลงใบรับรองและคีย์ส่วนตัวที่เกี่ยวข้องจากรูปแบบ DER เป็นรูปแบบ PEM

  1. โอนไฟล์ที่มีห่วงโซ่ใบรับรองที่สมบูรณ์ (certificate.der) และคีย์ส่วนตัวที่เกี่ยวข้อง (private_key.der) ที่คุณต้องการแปลงเป็นรูปแบบ PEM ไปยังเครื่องที่มีการติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่น

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.der servername:/tmp
scp private_key.der servername:/tmp

    โดยที่ servername คือชื่อของเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่มีการติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรอง ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองและคีย์ส่วนตัวที่เกี่ยวข้องจากรูปแบบ DER เป็นรูปแบบ PEM 
    openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
  4. ตรวจสอบว่าใบรับรองแปลงเป็นรูปแบบ PEM แล้ว

กำลังแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM

ส่วนนี้จะอธิบายวิธีแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM

  1. โอนไฟล์ที่มีห่วงโซ่ใบรับรองที่สมบูรณ์ (certificate.p7b) ที่คุณต้องการแปลงเป็นรูปแบบ PEM ไปยังเครื่องที่มีการติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่น

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.p7b servername:/tmp

    โดยที่ servername คือชื่อของเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่มีการติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรอง ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
  4. ตรวจสอบว่าใบรับรองแปลงเป็นรูปแบบ PEM แล้ว

กำลังแปลงใบรับรองจากรูปแบบ PFX เป็นรูปแบบ PEM

หัวข้อนี้จะอธิบายวิธีการแปลงใบรับรอง TLS จากรูปแบบ PFX เป็นรูปแบบ PEM

เมื่อแปลงไฟล์ PFX เป็นรูปแบบ PEM OpenSSL จะรวมใบรับรองและคีย์ส่วนตัวทั้งหมดไว้ในไฟล์เดียว คุณจะต้องเปิดไฟล์ในเครื่องมือแก้ไขข้อความและคัดลอกใบรับรองและคีย์ส่วนตัวแต่ละรายการ (รวมถึงคำสั่ง BEGIN/END) ไปยังไฟล์ข้อความแต่ละไฟล์ และบันทึกเป็น certificate.pfx, Intermediate.pfx (หากมี), CACert.pfx และ privateKey.key ตามลำดับ

Apigee รองรับรูปแบบ PFX/PKCS #12 แต่รูปแบบ PEM นั้นใช้งานสะดวกด้วยเหตุผลหลายประการ รวมถึงการตรวจสอบความถูกต้อง

  1. โอนใบรับรองและคีย์ส่วนตัว (certificate.pfx, Intermediate.pfx CACert.pfx, privateKey.key) ที่ต้องการแปลงเป็นรูปแบบ PEM ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่น

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.pfx servername:/tmp

    โดยที่ servername คือชื่อของเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่มีการติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรอง ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PEM 
    openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
  4. ตรวจสอบว่าใบรับรองแปลงเป็นรูปแบบ PEM แล้ว

กำลังแปลงใบรับรองจากรูปแบบ P7B เป็นรูปแบบ PFX

ส่วนนี้จะอธิบายวิธีการแปลงใบรับรอง TLS จากรูปแบบ P7B เป็นรูปแบบ PFX

หากต้องการแปลงเป็นรูปแบบ PFX คุณต้องมีคีย์ส่วนตัวด้วย

  1. โอนใบรับรอง (certificate.p7b) ที่คุณต้องการแปลงเป็น PFX ไปยังเครื่องที่ติดตั้ง OpenSSL โดยใช้ scp, sftp หรือยูทิลิตีอื่น

    เช่น ใช้คำสั่ง scp เพื่อโอนไฟล์ไปยังไดเรกทอรี /tmp ในเซิร์ฟเวอร์ที่มี OpenSSL ดังนี้ 

    scp certificate.p7b servername:/tmp
scp private_key.key servername:/tmp

    โดยที่ servername คือชื่อของเซิร์ฟเวอร์ที่มี OpenSSL

  2. เข้าสู่ระบบเครื่องที่มีการติดตั้ง OpenSSL
  3. จากไดเรกทอรีที่มีใบรับรอง ให้เรียกใช้คำสั่งต่อไปนี้เพื่อแปลงใบรับรองจาก P7B เป็นรูปแบบ PFX และส่งออกเอนทิตีและใบรับรอง CA ระดับกลางไปยังไฟล์แยกจากกัน: 
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer

การยืนยันใบรับรองอยู่ในรูปแบบ PEM

หัวข้อนี้จะอธิบายวิธียืนยันว่าใบรับรองอยู่ในรูปแบบ PEM

  1. หากต้องการดูใบรับรองในรูปแบบ PEM ให้เรียกใช้คำสั่งต่อไปนี้ 
    openssl x509 -in certificate.pem -text -noout
  2. หากคุณดูเนื้อหาของใบรับรองในรูปแบบที่มนุษย์อ่านได้โดยไม่มีข้อผิดพลาด คุณตรวจสอบได้ว่าใบรับรองอยู่ในรูปแบบ PEM หรือไม่
  3. หากใบรับรองอยู่ในรูปแบบอื่น คุณจะเห็นข้อผิดพลาดต่อไปนี้ 
    unable to load certificate
12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate