En utilisant OpenSSL pour générer et formater des certificats

Utiliser OpenSSL pour créer vos propres certificats auto-signés ou convertir des fichiers de certificat PEM en P12 des dossiers.

OpenSSL est une boîte à outils open source qui peut être utilisée pour générer et valider des certificats TLS.

Cette rubrique explique comment générer un certificat TLS auto-signé à l'aide de l'outil OpenSSL boîte à outils et comment convertir des certificats au format PEM en P12 format.

Création d'un certificat auto-signé avec OpenSSL

Utilisez la commande suivante pour créer une clé privée et un certificat public avec OpenSSL:
openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 365 -out public_certificate.pem

Le OpenSSL La commande demande les informations suivantes pour créer votre clé privée et votre certificat public (exemples de valeurs affichés) :

  • Nom du pays (code à 2 lettres) [] : US
  • Nom de l'État ou de la province (nom complet) [] : Californie
  • Nom de la localité (par exemple, ville) [] : Sacramento
  • Nom de l'organisation (par exemple, entreprise) [] : exemple d'organisation
  • Nom de l'unité organisationnelle (par exemple, section) [] :
  • Nom commun (par exemple, nom d'hôte complet) [] : gateway.exampleorganization.com
  • Adresse e-mail []:

Common Name doit être défini sur le nom de domaine complet du système qui utilise le certificat. Pour le DNS statique, utilisez le nom d'hôte ou l'adresse IP définie dans votre cluster de passerelle (par exemple. 192.16.183.131ougateway.exampleorganization.com ).

Pour examiner l'exécution du certificat public généré :
openssl x509 -text -noout -in public_certificate.pem
Pour combiner les fichiers PEM private_key et public_certificate générés dans un fichier protégé par mot de passe P12 fichier, exécutez :
openssl pkcs12 -inkey private_key.pem -in public_certificate.pem -export -out certificate.p12
Pour valider un P12 fichier, exécutez :
openssl pkcs12 -in certificate.p12 -noout -info

Création PKCS#12 ( P12 ) certificat à partir de fichiers PEM

PKCS#12 (P12 ) définit un format de fichier d'archive pour stocker les objets cryptographiques sous forme de fichier unique. Utiliser OpenSSL créer un mot de passe protégé P12 fichier à partir de vos fichiers PEM.

Prérequis :
  • Fichier de clé privée. Par exemple : private_key.pem.
  • Certificat signé par une autorité de certification. Par exemple : public_certificate.pem.
  • Si vous disposez de certificats intermédiaires de votre autorité de certification, concaténez-les en un seul.pem fichier pour créer unca_chain.pem déposer:
    cat ca1.pem ca2.pem ca3.pem > ca_chain.pem
    leca_chain.pem le fichier devrait ressembler à ceci :
    
-----BEGIN CERTIFICATE-----
MIIEpjCCA46gAwIBAgIQEOd26KZabjd+BQMG1Dwl6jANBgkqhkiG9w0BAQUFADCB
...
lQX7CkTJn6lAJUsyEa8H/gjVQnHp4VOLFR/dKgeVcCRvZF7Tt5AuiyHY
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEPDCCAySgAwIBAgIQSEus8arH1xND0aJ0NUmXJTANBgkqhkiG9w0BAQUFADBv
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
...
-----END CERTIFICATE-----
  • Si vous disposez de plusieurs certificats d'entité finale (feuille) dans un seul fichier, divisez-les en fichiers distincts et créez des certificats distincts. P12 fichiers pour chaque certificat.
Créer le P12 fichier avec ce qui suit OpenSSL commande (si vous n'avez pas de certificats CA à inclure, omettez-CAfile <filename> -chain ) :
openssl pkcs12 -inkey private_key.pem -in public_certificate.pem -export -out certificate.p12 -CAfile caChain.pem -chain