Utilizzando OpenSSL per generare e formattare i certificati

Utilizzo OpenSSL per creare i tuoi certificati autofirmati o convertire i file dei certificati PEM in P12 File.

OpenSSL è un toolkit open source che può essere utilizzato per generare e convalidare certificati TLS.

Questo argomento illustra come generare un certificato TLS autofirmato utilizzando il file OpenSSL toolkit e come convertire i certificati in formato PEM in P12 formato.

Creazione di un certificato autofirmato con OpenSSL

Utilizzare il comando seguente per creare una chiave privata e un certificato pubblico con OpenSSL:
openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 365 -out public_certificate.pem

IL OpenSSL Il comando richiede le seguenti informazioni per creare la chiave privata e il certificato pubblico (valori di esempio mostrati):

  • Nome Paese (codice a 2 lettere) []: Stati Uniti
  • Nome dello stato o della provincia (nome completo) []: California
  • Nome della località (ad esempio, città) []: Sacramento
  • Nome dell'organizzazione (ad esempio, azienda) []: exampleorganization
  • Nome dell'unità organizzativa (ad esempio, sezione) []:
  • Nome comune (ad esempio, nome host completo) []: gateway.exampleorganization.com
  • Indirizzo e-mail []:

Il nome comune deve essere impostato sul nome di dominio completo del sistema che utilizza il certificato. Per il DNS statico, utilizzare il nome host o l'indirizzo IP impostato nel cluster gateway (ad esempio. 192.16.183.131Ogateway.exampleorganization.com ).

Per rivedere il certificato pubblico generato, eseguire:
openssl x509 -text -noout -in public_certificate.pem
Per combinare i file PEM private_key e public_certificate generati in un file protetto da password P12 file, esegui:
openssl pkcs12 -inkey private_key.pem -in public_certificate.pem -export -out certificate.p12
Per convalidare a P12 file, esegui:
openssl pkcs12 -in certificate.p12 -noout -info

Creare PKCS#12 ( P12 ) certificato dai file PEM

PKCS#12 (P12 ) definisce un formato di file di archivio per archiviare oggetti crittografici come un singolo file. Utilizzo OpenSSL per creare una password protetta P12 file dai tuoi file PEM.

Prerequisiti:
  • File della chiave privata Per esempio:private_key.pem .
  • Certificato firmato CA. Per esempio:public_certificate.pem .
  • Se disponi di certificati intermedi della tua CA, concatenali in uno solo.pem file per creare un fileca_chain.pem file:
    cat ca1.pem ca2.pem ca3.pem > ca_chain.pem
    ILca_chain.pem il file dovrebbe assomigliare a questo:
    
    -----BEGIN CERTIFICATE-----
    MIIEpjCCA46gAwIBAgIQEOd26KZabjd+BQMG1Dwl6jANBgkqhkiG9w0BAQUFADCB
    ...
    lQX7CkTJn6lAJUsyEa8H/gjVQnHp4VOLFR/dKgeVcCRvZF7Tt5AuiyHY
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIEPDCCAySgAwIBAgIQSEus8arH1xND0aJ0NUmXJTANBgkqhkiG9w0BAQUFADBv
    ...
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
    ...
    -----END CERTIFICATE-----
  • Se disponi di più certificati di entità finale (foglia) in un file, dividili in file separati e creane certificati separati P12 file per ciascun certificato.
Crea il P12 file con quanto segue OpenSSL comando (se non hai certificati CA da includere, ometti-CAfile <filename> -chain ):
openssl pkcs12 -inkey private_key.pem -in public_certificate.pem -export -out certificate.p12 -CAfile caChain.pem -chain