我正在与一个合作伙伴合作,该合作伙伴要求我提供SSL证书(用于Web,以便将SAML用于网络应用)。
他给我发送了一个CSR文件。 这样,我生成了一个cer文件(使用我的pki http://pkiserver/certsrv我也将其转换为crt文件(以防万一)。
我生成了带有密码短语(使用openSSL)的密钥文件file.key
所以我理解正确,我现在需要为我的partne生成一个pfx文件,我不知道它如何与开放式SSL一起工作
我并不理解这个命令: openssl pkcs12 -in certificat-ssl.cer -certfile cert-intermediaire.cer -certfile cert-racine.cer -inkey cle-privee.key -export -out certificat-ssl.pfx
在-in“之后是我的crt文件吗?-certfile我不知道在这里放什么 -inkey我生成的file.key-生成我想要的著名文件
答案 0 :(得分:0)
从您的CA服务器的URL,我假设您正在使用Microsoft CA。
合作伙伴已向您发送了CSR。这意味着它们在其位置处具有私钥,因此没有理由让您为它们生成一个私钥-假设这就是 keyfile 的意思。
您要做的就是用Microsoft CA签署CSR,并将证书导出为PEM文件。
将证书退还给合作伙伴后,他们便可以安装它。如果那意味着他们需要将证书与私钥配对并创建PKCS#12文件,那就这样吧;但这是他们(而不是您)的任务,因为您不想处理其私钥。
要弄清OpenSSL命令,以防万一,您需要向合作伙伴组织解释它:
openssl pkcs12告诉实用程序您正在使用PKCS#12文件;
-certfile cert-intermediaire.cer是从属(或中间)CA证书。这是您的Microsoft CA的证书。如果您具有三层PKI,只需添加更多-certfile选项即可涵盖所有CA证书。如果您有单层PKI,请删除此选项或下一个选项(均为-certfile)
-certfile cert-racine.cer是根CA证书(签署您的CA证书的证书)。通常不需要在PKCS#12文件中发送此证书,因为您的合作伙伴应该通过更正式的过程来接收和安装此证书,该过程应包括检查文件的真实性和组织PKI的可信赖性。另一方面,发送它没有害处。
-in certificat-ssl.cer是您通过CA为他们生成的证书;
-inkey cle-privee.key是只有您的合作伙伴才能持有的私钥(这就是为什么他们应该运行此命令的原因);
-export告诉实用程序它正在导出新的PKCS#12文件;
-out certificat-ssl.pfx是您要导出到的文件名。