Trang này được dịch bởi Cloud Translation API.

Đang chuyển đổi chứng chỉ sang định dạng được hỗ trợ

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Tài liệu này giải thích cách chuyển đổi chứng chỉ TLS và khoá riêng tư được liên kết sang các định dạng PEM hoặc PFX (PKCS #12).

Apigee Edge chỉ hỗ trợ lưu trữ chứng chỉ định dạng PEM hoặc PFX trong kho khoá và kho tin cậy. Các bước dùng để chuyển đổi chứng chỉ từ bất kỳ định dạng hiện có nào sang định dạng PEM hoặc PFX đều dựa trên bộ công cụ OpenSSL và có thể áp dụng trên mọi môi trường có OpenSSL.

Trước khi bắt đầu

Trước khi sử dụng các bước trong tài liệu này, hãy đảm bảo bạn hiểu rõ các chủ đề sau:

Nếu bạn chưa quen với định dạng PEM hoặc PFX, hãy đọc bài viết Giới thiệu về TLS/SSL.
Nếu bạn chưa quen với các định dạng chứng chỉ, hãy đọc bài viết Các định dạng chứng chỉ SSL.
Nếu bạn chưa hiểu rõ về thư viện OpenSSL, hãy đọc OpenSSL.
Nếu bạn muốn sử dụng các ví dụ về dòng lệnh trong hướng dẫn này, hãy cài đặt hoặc cập nhật lên phiên bản mới nhất của ứng dụng OpenSSL.

Chuyển đổi chứng chỉ từ định dạng DER sang định dạng PEM

Phần này mô tả cách chuyển đổi chứng chỉ và khoá riêng liên kết từ định dạng DER sang định dạng PEM.

Chuyển tệp chứa chuỗi chứng chỉ hoàn chỉnh (certificate.der) và khoá riêng tư được liên kết (private_key.der) mà bạn muốn chuyển đổi sang định dạng PEM sang máy đã cài đặt OpenSSL bằng scp, sftp hoặc bất kỳ tiện ích nào khác.
Ví dụ: sử dụng lệnh scp để chuyển tệp sang thư mục /tmp trên máy chủ chứa OpenSSL như sau:
```
scp certificate.der servername:/tmp
scp private_key.der servername:/tmp
```
Trong đó servername là tên của máy chủ chứa OpenSSL.
Đăng nhập vào máy đã cài đặt OpenSSL.
Từ thư mục chứa chứng chỉ, hãy chạy lệnh sau để chuyển đổi chứng chỉ và khoá riêng tư liên kết từ định dạng DER sang định dạng PEM:
```
openssl x509 -inform DER -in certificate.der -outform PEM -out certificate.pem
openssl rsa -inform DER -in private_key.der -outform PEM -out private.key
```
Xác minh rằng chứng chỉ được chuyển đổi sang định dạng PEM.

Chuyển đổi chứng chỉ từ định dạng P7B sang định dạng PEM

Phần này mô tả cách chuyển đổi chứng chỉ từ định dạng P7B sang định dạng PEM.

Chuyển tệp chứa chuỗi chứng chỉ hoàn chỉnh (certificate.p7b) mà bạn muốn chuyển đổi sang định dạng PEM sang máy đã cài đặt OpenSSL bằng scp, sftp hoặc bất kỳ tiện ích nào khác.
Ví dụ: sử dụng lệnh scp để chuyển tệp vào thư mục /tmp trên máy chủ chứa OpenSSL như sau:
```
scp certificate.p7b servername:/tmp
```
Trong đó servername là tên của máy chủ chứa OpenSSL.
Đăng nhập vào máy đã cài đặt OpenSSL.
Từ thư mục chứa chứng chỉ, hãy chạy lệnh sau để chuyển đổi chứng chỉ từ định dạng P7B sang định dạng PEM:
```
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
```
Xác minh rằng chứng chỉ được chuyển đổi sang định dạng PEM.

Chuyển đổi chứng chỉ từ định dạng PFX sang định dạng PEM

Phần này mô tả cách chuyển đổi chứng chỉ TLS từ định dạng PFX sang định dạng PEM.

Khi chuyển đổi tệp PFX sang định dạng PEM, OpenSSL sẽ đặt tất cả chứng chỉ và khoá riêng tư vào một tệp duy nhất. Bạn sẽ cần mở tệp trong trình soạn thảo văn bản và sao chép từng chứng chỉ và khoá riêng tư (bao gồm cả câu lệnh BEGIN/END) vào các tệp văn bản riêng lẻ rồi lưu dưới dạng certificate.pfx, Intermediate.pfx (nếu có), CACert.pfx và privateKey.key tương ứng.

Apigee hỗ trợ định dạng PFX/PKCS #12; tuy nhiên, định dạng PEM rất thuận tiện vì nhiều lý do, bao gồm cả việc xác thực.

Chuyển các chứng chỉ và khoá riêng tư (certificate.pfx, Intermediate.pfx CACert.pfx, privateKey.key) mà bạn muốn chuyển đổi sang định dạng PEM sang một máy đã cài đặt OpenSSL bằng scp, sftp hoặc bất kỳ tiện ích nào khác.
Ví dụ: sử dụng lệnh scp để chuyển tệp sang thư mục /tmp trên máy chủ chứa OpenSSL như sau:
```
scp certificate.pfx servername:/tmp
```
Trong đó servername là tên của máy chủ chứa OpenSSL.
Đăng nhập vào máy đã cài đặt OpenSSL.
Từ thư mục chứa chứng chỉ, hãy chạy lệnh sau để chuyển đổi chứng chỉ từ định dạng P7B sang định dạng PEM:
```
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
```
Xác minh rằng chứng chỉ được chuyển đổi sang định dạng PEM.

Chuyển đổi chứng chỉ từ định dạng P7B sang định dạng PFX

Phần này mô tả cách chuyển đổi chứng chỉ TLS từ định dạng P7B sang định dạng PFX.

Để chuyển đổi sang định dạng PFX, bạn cũng cần lấy khoá riêng tư.

Chuyển chứng chỉ (certificate.p7b) mà bạn muốn chuyển đổi sang PFX sang một máy đã cài đặt OpenSSL bằng scp, sftp hoặc bất kỳ tiện ích nào khác.
Ví dụ: sử dụng lệnh scp để chuyển tệp sang thư mục /tmp trên máy chủ chứa OpenSSL như sau:
```
scp certificate.p7b servername:/tmp
scp private_key.key servername:/tmp
```
Trong đó servername là tên của máy chủ chứa OpenSSL.
Đăng nhập vào máy đã cài đặt OpenSSL.
Từ thư mục chứa các chứng chỉ, hãy chạy các lệnh sau để chuyển đổi chứng chỉ từ định dạng P7B sang PFX và xuất chứng chỉ thực thể và chứng chỉ CA trung gian sang các tệp riêng biệt:
```
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey private_key.key -out certificate.pfx -certfile CACert.cer
```

Xác minh chứng chỉ theo định dạng PEM

Phần này mô tả cách xác minh rằng chứng chỉ ở định dạng PEM.

Để xem chứng chỉ ở định dạng PEM, hãy chạy lệnh sau:
```
openssl x509 -in certificate.pem -text -noout
```
Nếu có thể xem nội dung của chứng chỉ ở định dạng mà con người đọc được mà không gặp lỗi nào, thì bạn có thể xác nhận rằng chứng chỉ đó ở định dạng PEM.

Nếu chứng chỉ ở định dạng khác, bạn sẽ thấy các lỗi như sau:

unable to load certificate
12626:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE View DER encoded Certificate

Đóng gói khoá PEM và tệp chứng chỉ vào PKCS12/PFX

Đảm bảo tệp khoá riêng tư ở định dạng PEM. Đối với chứng chỉ, nếu bạn có các tệp PEM riêng biệt cho chuỗi, hãy mở từng tệp trong trình soạn thảo văn bản rồi nối các tệp đó thành một tệp duy nhất như minh hoạ bên dưới:
```
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
```
Chuyển các tệp sang máy đã cài đặt OpenSSL bằng scp, sftp hoặc bất kỳ tiện ích nào khác:
```
scp certificate.pem servername:/tmp
scp private.key servername:/tmp
```
Đăng nhập vào máy đã cài đặt OpenSSL.
Từ thư mục chứa các tệp, hãy chạy lệnh sau để đóng gói các tệp vào một tệp PKCS12 có bí danh myalias. Khi được nhắc, hãy nhập một mật khẩu thích hợp:
```
openssl pkcs12 -export -in certificate.pem -inkey private.key -out keystore.pfx -name myalias
```