Verwenden von OpenSSL zur Erstellung und Formatierung von Zertifikaten

Verwenden OpenSSL um Ihre eigenen selbstsignierten Zertifikate zu erstellen oder PEM-Zertifikatdateien zu konvertieren in P12 Dateien.

OpenSSL ist ein Open-Source-Toolkit, das zum Generieren und Validieren von TLS-Zertifikaten verwendet werden kann.

In diesem Thema erfahren Sie, wie Sie ein selbstsigniertes TLS-Zertifikat mithilfe des OpenSSL Toolkit und wie man Zertifikate im PEM-Format konvertiert in P12 Format.

Erstellen eines selbstsignierten Zertifikats mit OpenSSL

Verwenden Sie den folgenden Befehl, um einen privaten Schlüssel und ein öffentliches Zertifikat zu erstellen mit OpenSSL:
openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 365 -out public_certificate.pem

Der OpenSSL Der Befehl fordert die folgenden Informationen an, um Ihren privaten Schlüssel und Ihr öffentliches Zertifikat zu erstellen (Beispielwerte angezeigt):

  • Ländername (2-Buchstaben-Code) []: US
  • Name des Staates oder der Provinz (vollständiger Name) []: Kalifornien
  • Ortsname (z. B. Stadt) []: Sacramento
  • Name der Organisation (z. B. Firma) []: Beispielorganisation
  • Name der Organisationseinheit (z. B. Abschnitt) []:
  • Allgemeiner Name (z. B. vollständig qualifizierter Hostname) []: gateway.exampleorganization.com
  • E-Mail-Adresse []:

Der allgemeine Name muss auf den vollqualifizierten Domänennamen des Systems eingestellt werden, das das Zertifikat verwendet. For static DNS, use the hostname or IP address set in your Gateway Cluster (for example. 192.16.183.131odergateway.exampleorganization.com ).

So überprüfen Sie das generierte öffentliche Zertifikat:
openssl x509 -text -noout -in public_certificate.pem
Um die generierten private_key und public_certificate PEM Dateien in einem passwortgeschützten P12 Datei, führen Sie aus:
openssl pkcs12 -inkey private_key.pem -in public_certificate.pem -export -out certificate.p12
Zur Validierung eines P12 Datei, führen Sie aus:
openssl pkcs12 -in certificate.p12 -noout -info

Erstellen PKCS#12 ( P12 ) Zertifikat aus PEM-Dateien

PKCS#12 (P12 ) definiert ein Archivdateiformat zum Speichern kryptografischer Objekte als einzelne Datei. Verwenden OpenSSL zur Erstellung eines passwortgeschützten P12 Datei aus Ihren PEM-Dateien.

Voraussetzungen:
  • Datei mit privatem Schlüssel. Beispiel: private_key.pem.
  • Von einer Zertifizierungsstelle signiertes Zertifikat. Beispiel: public_certificate.pem.
  • Wenn Sie Zwischenzertifikate von Ihrer Zertifizierungsstelle haben, verknüpfen Sie diese zu einem einzigen.pem Datei zum Erstellen einerca_chain.pem Datei:
    cat ca1.pem ca2.pem ca3.pem > ca_chain.pem
    Dieca_chain.pem Die Datei sollte folgendermaßen aussehen:
    
-----BEGIN CERTIFICATE-----
MIIEpjCCA46gAwIBAgIQEOd26KZabjd+BQMG1Dwl6jANBgkqhkiG9w0BAQUFADCB
...
lQX7CkTJn6lAJUsyEa8H/gjVQnHp4VOLFR/dKgeVcCRvZF7Tt5AuiyHY
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEPDCCAySgAwIBAgIQSEus8arH1xND0aJ0NUmXJTANBgkqhkiG9w0BAQUFADBv
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
...
-----END CERTIFICATE-----
  • Wenn Sie mehrere End-Entity-Zertifikate (Leaf-Zertifikate) in einer Datei haben, teilen Sie diese in separate Dateien auf und erstellen Sie separate P12 Dateien für jedes Zertifikat.
Erstellen Sie die P12 Datei mit folgendem OpenSSL Befehl (wenn Sie keine CA-Zertifikate zum Einbinden haben, lassen Sie-CAfile <filename> -chain ):
openssl pkcs12 -inkey private_key.pem -in public_certificate.pem -export -out certificate.p12 -CAfile caChain.pem -chain