Konwersja pliku pfx na pem przy użyciu programu openssl

Question

Mam plik client_ssl.pfx wygenerowany z Generator certyfikatu X509.

Jak zdobyć root.pem i client_ssl.pem z client_ssl.pfx korzystając OpenSSL?

Answer 1

Można użyć narzędzia wiersza poleceń OpenSSL. Następujące komendy powinny wystarczyć, aby plik był chroniony hasłem itd., Jeśli istnieją dodatkowe opcje.

Możesz przeczytać całą dokumentację here.

Answer 2

Inna perspektywa zrobienia tego w Linuksie ... oto jak to zrobić, aby wynikowy pojedynczy plik zawierał odszyfrowany klucz prywatny, tak aby coś takiego jak HAProxy mogło go używać bez pytania o hasło.

openssl pkcs12 -in file.pfx -out file.pem -nodes 

Następnie można skonfigurować HAProxy do użycia pliku file.pem.

---

To EDIT od poprzedniej wersji, gdzie miałem te kilka kroków, aż zdałem sobie sprawę, opcja -nodes po prostu omija szyfrowania klucza prywatnego. Ale zostawiam to tutaj, ponieważ może to pomóc w nauczaniu.

openssl pkcs12 -in file.pfx -out file.nokey.pem -nokeys 
openssl pkcs12 -in file.pfx -out file.withkey.pem 
openssl rsa -in file.withkey.pem -out file.key 
cat file.nokey.pem file.key > file.combo.pem 

1. The 1st krok monit o hasło, aby otworzyć PFX.
2. Drugi krok monituje o to, a także aby utworzyć hasło dla klucza.
3. Trzeci krok powoduje wyświetlenie hasła, które właśnie przygotowano do przechowywania odszyfrowanego.
4. Czwórka umieszcza to wszystko w jednym pliku.

Następnie można skonfigurować HAProxy, aby używał pliku file.combo.pem.

Powodem, dla którego potrzebujesz 2 oddzielnych kroków wskazujących plik z kluczem, a drugi bez klucza, jest to, że jeśli masz plik, który ma zarówno zaszyfrowany, jak i odszyfrowany klucz, coś takiego jak HAProxy nadal monituje o wpisanie w frazie hasła, gdy z niej korzysta.