При покупке SSL-сертификата часто возникает проблема: цепочка сертификатов поставляется отдельно от самого сертификата. Это может привести к совместимостным проблемам, так как множество систем требуют, чтобы цепочка сертификатов была включена в сам сертификат, чтобы клиенты могли установить доверие. В этом руководстве мы покажем вам, как легко добавить цепочку к вашему SSL-сертификату с помощью OpenSSL. Также мы продемонстрируем, как извлечь сам сертификат и закрытый ключ из сертификата формата PKCS12 (также известного как P12 или PFX).
Почему OpenSSL:
OpenSSL – это многофункциональный инструмент, доступный на большинстве Linux-систем, а также существует версия для Windows. Он необходим для обработки SSL-сертификатов и обеспечения их правильной конфигурации и совместимости с различными системами.
Шаги по добавлению цепочки:
- Подготовка:
- Скопируйте свой SSL-сертификат в отдельную папку.
- Убедитесь, что у вас установлен OpenSSL (обычно он предустановлен на Linux).
- Извлечение сертификата и закрытого ключа:
- Используйте следующие команды:
openssl pkcs12 -in yourcert.pfx -nocerts -out yourcert.key
openssl pkcs12 -in yourcert.pfx -clcerts -nokeys -out yourcert.crt
- Вам потребуется ввести пароль от сертификата.
- Создание нового файла сертификата:
- Откройте файл yourcert.crt в текстовом редакторе.
- Скопируйте все, что находится между ‘—–BEGIN CERTIFICATE—–‘ и ‘—–END CERTIFICATE—–‘, включая эти строки, в новый файл с расширением .crt, например yourcert1.crt. Пример содержимого:
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
- Управление цепочкой сертификатов:
- Скопируйте цепочку сертификатов, на которых основан ваш SSL-сертификат, в ту же папку.
- Если вы не знаете, где найти цепочку, вы можете извлечь ее из деталей сертификата на компьютере под управлением Windows.
- Подготовка цепочки сертификатов:
- Преобразуйте сертификаты цепочки в формат PEM с помощью следующих команд:
openssl x509 -in intermediate.cer -out intermediate.pem
openssl x509 -in root.cer -out root.pem
openssl x509 -in yourcert1.crt -out yourcert1.pem
- Объединение сертификатов:
- Объедините все сертификаты в один файл:
cat yourcert.pem intermediate.pem root.pem >> yourcert-chain.pem
- Создание сертификата PKCS12:
- Сгенерируйте сертификат PKCS12 с помощью следующей команды:
openssl pkcs12 -export -out yourcert-fullchain.p12 -inkey yourcert.key -in yourcert-chain.pem
- Вам потребуется установить пароль для сертификата.
- Проверка:
- Чтобы убедиться в успехе, выполните следующую команду, чтобы отобразить все сертификаты в файле:
keytool -list -v -keystore yourcert-fullchain.p12 -storepass [ваш_пароль] -storetype PKCS12 | more
Следуя этим шагам и используя OpenSSL, вы можете легко добавить цепочку сертификатов к вашему SSL-сертификату, устраняя проблемы совместимости и обеспечивая доверие к вашим веб-сайтам, защищенным SSL.
Не забывайте, что правильная настройка SSL-сертификатов критически важна для обеспечения безопасности онлайн-присутствия и создания доверия среди посетителей вашего веб-сайта. С помощью OpenSSL в качестве вашего надежного инструмента, вы сможете легко решить эту задачу.