Cipta Sijil dalam format PEM

DIPOS oleh Zevenet | 15 Mac 2016

TINJAUAN

Zen Load Balancer dapat menguruskan sambungan HTTPS (Profil HTTP), jadi pentadbir sistem mesti membuat sijil sendiri (sijil ditandatangani sendiri) atau memperoleh Sijil Berdaftar oleh Pihak Berkuasa Sijil, dalam kedua-dua kes itu sijil mesti dibina PEM format.

Sijil Selamat mestilah diwujudkan tanpa kata laluan dan kunci dan CSR mestilah dijana dalam pelayan yang akan dijamin.

Positif SSL bersedia untuk masuk dalam format PEM tetapi Rapid SSL perlu ditukar kerana setiap fail mengandungi cert, CA pertengahan dan akar CA dipisahkan.

KEPERLUAN

Pakej openssl harus dipasang untuk menghasilkan kunci dalam pelayan, dalam kes kami akan menjadi contoh Zen Load Balancer yang harus dipasang.

Pertama, buat kunci tanpa frasa laluan.

openssl genrsa -out host_domain_com.key 2048

Kemudian, buat Permintaan Tandatangan Sijil (.csr) menggunakan kekunci yang dihasilkan (.key) sebagai input.

openssl req -new -key host_domain_com.key -out host_domain_com.csr

Sebaik sahaja sijil dan fail CA pertengahan dihantar, pastikan untuk mendapatkan sijil akar penerbit.

Semua fail yang dipisahkan perlu dalam format PEM: Sijil Pelayan, Sijil Pertengahan dan Sijil Root CA. Sekiranya tidak, ubah fail dengan arahan berikut:

openssl x509 -in certFileName.cer -outform PEM -out convertedCertFileName.pem

Akhirnya, kami mempunyai Kunci Peribadi, Sijil yang dikeluarkan, Sijil Pertengahan dan Sijil Root CA. Semua kandungan fail ini harus digabungkan untuk membuat fail PEM dalam format UNIX.

GENERATE SERVICE DI PEM FORMAT

Sijil PEM mesti dibina dengan struktur berikut.

-----BEGIN RSA PRIVATE KEY-----
Private Key (without passphrase)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
Certificate (CN=www.mydomain.com)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate (Intermediate CA, if exists)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root (ROOT CA, who signs the Certificate)
-----END CERTIFICATE-----

Untuk membuat struktur PEM yang betul, perlu menggabungkan isi kandungan fail yang dihasilkan pada langkah di atas dengan pemisahan:

-----BEGIN RSA PRIVATE KEY-----
uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL
1AOO5EEikir239UoFm6DQkkO7z4Nd+6Ier9fncpN1p1EZtqPxT64nsUTNow/z1Pp
nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n
ZW90cnVzdC5jb20vY3Jscy9yYXBpZHNzbC5jcmwwHQYDVR0OBBYEFA8nu+rbiNqg
DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG
gOYD8kmKOsxLRWeZo6Tn8
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
Lmdlb3RydXN0LmNvbS9jcmxzL2d0Z2xvYmFsLmNybDA0BggrBgEFBQcBAQQoMCYw
JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy
dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1
jOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
-----END CERTIFICATE-----

Wajib menukar keseluruhan fail PEM dalam format UNIX.

Terdapat sijil bernama zencert.pem untuk tujuan pengujian agar dapat digunakan dengan ladang profil HTTPS.

Berkongsi pada:

Dokumentasi di bawah syarat-syarat Lesen Dokumentasi Bebas GNU.

Adakah artikel ini berguna?

Artikel yang berkaitan