Conversione di pfx in pem utilizzando openssl

Question

Ho client_ssl.pfx file generate da Generatore di certificati X509.

Come arrivare root.pem e client_ssl.pem da client_ssl.pfx utilizzando openssl?

Answer 1

È possibile utilizzare lo strumento riga di comando OpenSSL. I seguenti comandi dovrebbero fare il trucco

openssl pkcs12 -in client_ssl.pfx -out client_ssl.pem -clcerts 

openssl pkcs12 -in client_ssl.pfx -out root.pem -cacerts 

Se si desidera che il file sia protetto da password ecc., Ci sono altre opzioni.

È possibile leggere l'intera documentazione here.

Answer 2

Un'altra prospettiva per farlo su Linux ... ecco come fare in modo che il singolo file risultante contenga la chiave privata decrittografata in modo che qualcosa come HAProxy possa usarlo senza chiedere la passphrase.

openssl pkcs12 -in file.pfx -out file.pem -nodes 

Quindi è possibile configurare HAProxy per utilizzare il file file.pem.

---

Si tratta di una modifica dalla versione precedente in cui ho avuto queste molteplici passaggi fino a quando mi sono reso conto l'opzione -nodes ignora semplicemente la crittografia a chiave privata. Ma lo lascio qui perché potrebbe solo aiutare con l'insegnamento.

openssl pkcs12 -in file.pfx -out file.nokey.pem -nokeys 
openssl pkcs12 -in file.pfx -out file.withkey.pem 
openssl rsa -in file.withkey.pem -out file.key 
cat file.nokey.pem file.key > file.combo.pem 

1. Il primo passo che richiede la password per aprire il PFX.
2. Il 2o passo richiede all'utente di aggiungere anche una passphrase per la chiave.
3. Il terzo passaggio richiede di immettere la passphrase appena creata per memorizzare decrittografati.
4. Il 4 mette tutto insieme in 1 file.

Quindi è possibile configurare HAProxy per utilizzare il file file.combo.pem.

Il motivo per cui sono necessari 2 passaggi separati in cui si indica un file con la chiave e un altro senza chiave, è perché se si dispone di un nella passphrase quando lo usa.