¿Cómo puedo convertir un archivo de certificado PFX para su uso con Apache en un servidor Linux?

Question

¿Cómo puedo convertir un archivo de certificado PFX para utilizarlo con Apache en un servidor Linux?

Creé el PFX a partir de los Servicios de Certificado de Windows. El PFX contiene toda la cadena de certificados. (Que es solo una raíz y el certificado principal, no intermedio.)

Guíame, sabios.

Answer 1

Con OpenSSL puede convertir a formato compatible con pfj Apache con comandos siguientes:

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer 
openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain.key 

primer comando extrae la clave pública a domain.cer.
El segundo comando extrae la clave privada a domain.key.

actualizar el archivo de configuración de Apache con:

<VirtualHost 192.168.0.1:443> 
... 
SSLEngine on 
SSLCertificateFile /path/to/domain.cer 
SSLCertificateKeyFile /path/to/domain.key 
... 
</VirtualHost> 

Answer 2

tomó algunas dando vueltas, pero esto es lo que terminó con.

Generado e instalado un certificado en IIS7. exportan como PFX desde IIS

Convertir a pkcs12

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes 

NOTA: Si bien la conversión a formato PFX PEM, openssl pondrá toda la clave privada y certificados en un solo archivo. Necesitará abrir el archivo en el editor de texto y copiar cada certificado & clave privada (incluidas las instrucciones BEGIN/END) en su propio archivo de texto individual y guardarlas como certificate.cer, CAcert.cer, privateKey.key respectivamente.

-----BEGIN PRIVATE KEY----- 
Saved as certificate.key 
-----END PRIVATE KEY----- 

-----BEGIN CERTIFICATE----- 
Saved as certificate.crt 
-----END CERTIFICATE----- 

Agregado a apache vhost w/Webmin.

Answer 3

Para que funcione con Apache, necesitábamos un paso adicional.

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer 
openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain_encrypted.key 
openssl rsa -in domain_encrypted.key -out domain.key 

El último comando descifra la clave para usar con Apache. El archivo domain.key debe tener el siguiente aspecto:

-----BEGIN RSA PRIVATE KEY----- 
MjQxODIwNTFaMIG0MRQwEgYDVQQKEwtFbnRydXN0Lm5ldDFAMD4GA1UECxQ3d3d3 
LmVudHJ1c3QubmV0L0NQU18yMDQ4IGluY29ycC4gYnkgcmVmLiAobGltaXRzIGxp 
YWIuKTElMCMGA1UECxMcKGMpIDE5OTkgRW50cnVzdC5uZXQgTGltaXRlZDEzMDEG 
A1UEAxMqRW50cnVzdC5uZXQgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkgKDIwNDgp 
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArU1LqRKGsuqjIAcVFmQq 
-----END RSA PRIVATE KEY----- 

Answer 4

SSLSHopper tiene algunos artículos bastante detallados sobre el traslado entre diferentes servidores.

http://www.sslshopper.com/how-to-move-or-copy-an-ssl-certificate-from-one-server-to-another.html

Sólo tiene que elegir el enlace correspondiente en la parte inferior de esta página.

Nota: tienen un convertidor en línea que les da acceso a su clave privada. Probablemente se pueda confiar en ellos, pero sería mejor usar el comando OPENSSL (que también se muestra en este sitio) para mantener la clave privada privada en su propia máquina.

Answer 5

Adicionalmente a

openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer 
openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain.key 

También generada autoridad de certificación (CA) Certificado:

openssl pkcs12 -in domain.pfx -out domain-ca.crt -nodes -nokeys -cacerts 

y la incluyó en el archivo de configuración de Apache:

<VirtualHost 192.168.0.1:443> 
... 
SSLEngine on 
SSLCertificateFile /path/to/domain.cer 
SSLCertificateKeyFile /path/to/domain.key 
SSLCACertificateFile /path/to/domain-ca.crt 
... 
</VirtualHost>