Opret certifikater i PEM-format

  • Blog
  • Opret certifikater i PEM-format

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Opret certifikater i PEM-format

9 min læses

Indholdsfortegnelse

Oversigt #

RELIANOID er i stand til at administrere HTTPS-forbindelser (HTTP-profil), så systemadministratoren skal oprette sine egne certifikater (selvsignerede certifikater) eller erhverve signerede certifikater fra en certifikatmyndighed. I begge tilfælde skal certifikatet være bygget i PEM-format.

Det sikre certifikat skal oprettes uden adgangskode, og nøglerne og CSR'en skal genereres på serveren for at blive sikret.

Positive SSL-certifikater er klar til brug i PEM-format, men Rapid SSL skal konverteres, da hver fil indeholder certifikatet, den mellemliggende CA og rod-CA'en adskilt.

Krav #

Pakken openssl skal installeres for at generere nøglerne på serveren, i vores tilfælde vil det være RELIANOID instans, som allerede burde være installeret.

Generer først nøglen uden adgangskode.

root@noid-ee-01:~# openssl genrsa -out host_domain_com.key 2048

Generer derefter den underskrevne anmodning om certifikat (.csr) ved hjælp af den genererede nøgle (.key) som input.

root@noid-ee-01:~# openssl req -new -key host_domain_com.key -out host_domain_com.csr

Når certifikatet og de mellemliggende CA-filer er leveret, skal du sørge for at få udstederens rodcertifikat.
Alle adskilte filer skal være i PEM-format: Servercertifikat, mellemliggende certifikat og rod-CA-certifikat. Hvis det ikke er det, skal du konvertere filen med følgende kommando:

root@noid-ee-01:~# openssl x509 -in certFileName.csr -outform PEM -out konverteretCertFileName.pem

Endelig har vi den private nøgle, det udstedte certifikat, det mellemliggende certifikat og rod-CA-certifikatet. Alt dette filindhold skal kombineres for at oprette PEM-filen i UNIX-format.

Generer SSL-certifikat i PEM-format #

For at generere et SSL-certifikat i PEM-format skal du typisk bruge en privat nøgle, en certifikat, en mellemliggende CA-certifikat (hvis en sådan findes), og en rod-CA-certifikatSådan kan du generere PEM-filen:

Forbered komponenterne #

private nøgleSørg for, at du har den private nøgle, der svarer til certifikatet.
certifikatHent det certifikat, der er udstedt til dit domæne eller din server.
Mellemliggende CA-certifikatHvis dit certifikat er udstedt af en mellemliggende CA (ikke direkte af rod-CA'en), skal du bruge det mellemliggende CA-certifikat.
Rod-CA-certifikatDu skal muligvis også bruge rod-CA-certifikatet, især hvis det ikke allerede er inkluderet i klientapplikationernes eller -enhedernes tillidslager.

Sammenkæd komponenterne #

Åbn en teksteditor, eller brug kommandolinjeværktøjer til at sammenkæde den private nøgle, certifikatet, det mellemliggende CA-certifikat (hvis relevant) og rod-CA-certifikatet (hvis nødvendigt) til en enkelt PEM-fil, som vist nedenfor.

-----BEGIN RSA PRIVAT NØGLE----- Privat nøgle (uden adgangskode) -----END RSA PRIVAT NØGLE----- -----BEGIN CERTIFICATE----- Certifikat (CN=www.mitdomæne.com) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Mellemliggende (Mellemliggende CA, hvis eksisterende) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Rod (ROOT CA, der underskriver certifikatet) -----END CERTIFICATE-----

Se eksemplet nedenfor for at se, hvordan en korrekt PEM-fil vil se ud.

-----BEGIN RSA PRIVATE KEY-----
uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL
nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n
DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG
gOYD8kmKOsxLRWeZo6Tn8
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
-----END CERTIFICATE-----

Det er obligatorisk at konvertere hele PEM-filen til UNIX-format. Der findes et certifikat med navnet zencert.pem or noidcert.pem til testformål for at blive brugt med HTTPS-profilfarme.

Sørg for, at rækkefølgen af ​​certifikaterne er som følger:

1. Dit certifikat
2. Mellemliggende CA-certifikat (hvis relevant)
3. Rod-CA-certifikat

Gem sammenkædet PEM-fil #

Gem den sammenkædede PEM-fil med filtypenavnet .pem. Denne fil vil indeholde den private nøgle og hele certifikatkæden.

Brug PEM-filen #

Du kan nu bruge PEM-filen i din serverkonfiguration. Afhængigt af din serversoftware (f.eks. Apache, Nginx, RELIANOID), skal du muligvis angive stien til PEM-filen i SSL-konfigurationen. På RELIANOID, upload blot SSL-certifikatet ved hjælp af web-GUI'en og tildel det som Aktiveret certifikat i enhver HTTPS-farm.

Bekræft konfiguration #

Når du har konfigureret din server til at bruge PEM-filen, er det vigtigt at verificere SSL/TLS-konfigurationen for at sikre, at certifikatkæden præsenteres korrekt for klienter under SSL-handshake. Du kan bruge forskellige online SSL/TLS-testværktøjer eller kommandolinjeværktøjer som OpenSSL til at kontrollere konfigurationen og sikre, at certifikatkæden er komplet.

Generer et selvsigneret SSL-certifikat i PEM-format #

For at oprette et selvsigneret SSL-certifikat i PEM-format fra enten load balancer eller server, skal du udføre følgende trin:

1. Generer nøgle- og certifikatfilerne med en 4096-bit RSA-nøgle i 1 år og uden adgangskode ved hjælp af følgende kommando:

root@noid-ee-01:~# openssl req -nodes -new -x509 -newkey rsa:4096 -keyout server.key -out server.cert -days 365
Generering af en RSA-privatnøgle ....................++++ ............................................................................................................................................++++ Skrivning af en ny privatnøgle til 'server.key' ----- Du vil snart blive bedt om at indtaste oplysninger, der vil blive indarbejdet i din certifikatanmodning. Det, du er ved at indtaste, er det, der kaldes et Distinguished Name eller et DN. Der er en hel del felter, men du kan lade nogle stå tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster '.', vil feltet stå tomt. ----- Land (2-bogstavskode) [AU]: Stats- eller provinsnavn (fulde navn) [Nogle stater]: Områdenavn (f.eks. by) []: Organisationsnavn (f.eks. virksomhed) [Internet Widgits Pty Ltd]: Organisationsenhedsnavn (f.eks. sektion) []: Almindeligt navn (f.eks. server FQDN eller DIT navn) []: E-mailadresse []:

Under udførelsen af ​​denne kommando vil du blive bedt om at indtaste oplysninger interaktivt. Angiv venligst de nødvendige oplysninger.

2. Sammenkæd nøglen og certifikatet til en PEM-fil ved hjælp af følgende kommando:

root@noid-ee-01:~# cat server.key server.cert >> server.pem

Denne kommando kombinerer nøglen og certifikatet i én PEM-fil.

3. Dit selvsignerede SSL-certifikat i PEM-format (server.pem) er nu klar til brug med din proxy, webtjenester eller internettjenester.

Sådan ser du indholdet af et SSL-certifikat #

For at se indholdet af et SSL-certifikat kan du bruge forskellige værktøjer og kommandoer. En almindelig metode er at bruge OpenSSL, et alsidigt kommandolinjeværktøj, der understøtter forskellige kryptografiske operationer, herunder certifikatinspektion. Sådan kan du se indholdet af et SSL-certifikat ved hjælp af OpenSSL:

OpenSSL-kommando for at hente certifikatoplysningerne #

Åbn et terminal- eller kommandopromptvindue på dit system.

Brug følgende OpenSSL-kommando til at se indholdet af SSL-certifikatet:

root@noid-ee-01:~# openssl x509 -in certifikat.pem -text -noout

udskifte certifikat.pem med stien til din SSL-certifikatfil.

Hvis dit certifikat er i PEM-format, viser denne kommando detaljerede oplysninger om certifikatet, herunder:

Udsteder
Emne
Gyldighedsperiode (start- og slutdatoer)
Offentlig nøgleinformation
Certifikatudvidelser
Signaturalgoritme
Fingeraftryk (SHA-1, SHA-256 osv.)

Når du har kørt kommandoen, vil OpenSSL vise en tekstlig repræsentation af certifikatets indhold. Gennemgå de viste oplysninger for at bekræfte certifikatets detaljer, såsom udsteder, emne, gyldighedsdatoer og andre relevante metadata.

Inspicer DER-certifikater #

Hvis dit certifikat er i DER-format i stedet for PEM, kan du bruge -inform der-indstillingen til at angive inputformatet:

root@noid-ee-01:~# openssl x509 -informer der -in certificate.pem -text -noout

Du kan også gemme outputtet i en fil til yderligere analyse eller dokumentation ved at bruge shell-omdirigeringen (>):

root@noid-ee-01:~# openssl x509 -in certifikat.pem -text -noout > certifikat_detaljer.txt

Denne kommando gemmer certifikatoplysningerne i en fil med navnet certificate_details.txt.

Ved at bruge kommandolinjeværktøjet OpenSSL kan du nemt inspicere indholdet af et SSL-certifikat og verificere dets detaljer, hvilket hjælper dig med at sikre sikkerheden og gyldigheden af ​​dine SSL/TLS-forbindelser.

Bekræftelse af, om mellemliggende CA og rod-CA er til stede i et SSL-certifikat #

At verificere, om der er mellemliggende og rod-CA-certifikater i et SSL-certifikat, involverer en undersøgelse af certifikatkæden. Sådan gør du:

Brug OpenSSL eller et andet værktøj til at se detaljerne for SSL-certifikatet. Kør følgende kommando:

root@noid-ee-01:~# openssl crl2pkcs7 -nocrl -certfile certifikat.pem | openssl pkcs7 -print_certs -noout 
emne=CN = mydomain.com udsteder=C = US, O = "DigiCert, Inc.", CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1

I eksemplet ovenfor er kun certifikatet til stede.

root@noid-ee-01:~# openssl crl2pkcs7 -nocrl -certfile certifikat.pem | openssl pkcs7 -print_certs -noout 
emne=CN = mydomain.com udsteder=C = US, O = "DigiCert, Inc.", CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1 emne=C = US, O = "DigiCert, Inc.", CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1 udsteder=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA

I eksemplet ovenfor er både certifikatet og mellemproduktet til stede.

Erstat certificate.pem med stien til din SSL-certifikatfil.

Brug også OpenSSL til at se certifikatkæden præsenteret af SSL-serveren under handshake. Kør følgende kommando:

root@noid-ee-01:~# openssl s_client -connect mydomain.com:443 -showcerts

Erstat mydomain.com med domænenavnet på den SSL-aktiverede server, du vil oprette forbindelse til.

Se efter afsnittene mærket Certifikatkæde eller Certifikatkæde (PEER). Dette viser de certifikater, der præsenteres af serveren, startende fra slut-entitetscertifikatet og sluttende med rod-CA-certifikatet.

Bekræft mellemliggende og rod-CA-certifikater ved at undersøge hvert certifikat i kæden for at bekræfte, om både det mellemliggende og rod-CA-certifikatet er til stede.
Mellemliggende CA-certifikatSøg efter et certifikat i kæden, der matcher udstederen af ​​slutenhedscertifikatet, men går forud for det.
Rod-CA-certifikatBekræft, at det sidste certifikat i kæden er rod-CA-certifikatet.

Alternativt kan du bruge online SSL-valideringsværktøjer, der automatisk kontrollerer certifikatkæden og verificerer, om der er mellemliggende og rod-CA-certifikater til stede. Værktøjer som SSL Labs' SSL Server Test eller DigiCerts SSL Installation Diagnostics Tool kan give detaljerede oplysninger om certifikatkæden.

Ved at følge disse trin kan du kontrollere, om der findes mellemliggende og rod-CA-certifikater i et SSL-certifikat, og sikre integriteten og sikkerheden af ​​dine SSL/TLS-forbindelser.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs