我正在尝试创建自签名证书,然后将该证书转换为具有完整证书链的P7格式。 我能够创建一个自签名证书,但不知道如何将其转换为带有完整证书链的p7
以下是我创建自签名证书的步骤
openssl genrsa -des3 -out server.key 4096
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
openssl pkcs12 -export -in fiserv\server.crt -inkey fiserv\server.key -out fiserv\server.p12
我在这里做错了什么?
答案 0 :(得分:2)
你说你想拥有P7格式(我假设你的意思是PKCS#7 / P7B),但你使用的是pkcs12
命令(对于PKCS#12 / PFX格式)。请改为使用crl2pkcs7
命令:
openssl crl2pkcs7 -nocrl -certfile fiserv\server.crt -out fiserv\server.p7b -certfile path\to\CA\CACert.cer
我建议您阅读https://www.sslshopper.com/ssl-converter.html,因为它解释了它们之间的不同格式和转换。使用该网页,我已经为我经常使用的转换提供了这个快速的“备忘单”:
openssl x509 -inform DER -in cert.der -out cert.pem
openssl x509 -outform DER -in cert.pem -out cert.der
openssl pkcs12 -export -in cert.pem -out cert.p12
openssl crl2pkcs7 -nocrl -certfile cert.pem -out cert.p7b
openssl pkcs12 -in cert.p12 -out cert.pem
openssl pkcs7 -in cert.p7b -print_certs -out cert.pem