Opret certifikater i PEM-format

SENDT AF Zevenet | 15. marts, 2016

OVERSIGT

Zen Load Balancer er i stand til at styre HTTPS-forbindelser (HTTP-profil), så systemadministratoren skal oprette deres egne certifikater (selvsignerede certifikater) eller erhverve underskrevne certifikater af en certifikatmyndighed. I begge tilfælde skal certifikatet indbygges i PEM-format.

Det sikre certifikat skal oprettes uden adgangskode, og nøglerne og CSR'en skal genereres i den server, der skal sikres.

Positiver SSL er klar til at gå i PEM-format, men Rapid SSL skal konverteres, da hver fil indeholder cert, mellemliggende CA og CA CA separeret.

KRAV

Pakken openssl skal installeres for at generere nøglerne på serveren, i vores tilfælde bliver Zen Load Balancer-forekomsten, som allerede skal installeres.

Opret først nøglen uden adgangskode.

openssl genrsa -out host_domain_com.key 2048

Derefter genererer certifikat signeret anmodning (.csr) ved hjælp af den genererede nøgle (.key) som input.

openssl req -new -key host_domain_com.key -out host_domain_com.csr

Når certifikatet og mellemliggende CA-filer er leveret, skal du sørge for at få udstederens rodcertifikat.

Alle adskilte filer skal være i PEM-format: Servercertifikat, mellemliggende certifikat og rod-CA-certifikat. Hvis det ikke er det, skal du konvertere filen med følgende kommando:

openssl x509 -in certFileName.cer -outform PEM -out convertedCertFileName.pem

Endelig har vi den private nøgle, det udstedte certifikat, det mellemliggende certifikat og root-CA-certifikatet. Alt dette filindhold skal kombineres for at oprette PEM-filen i UNIX-format.

GENERERET CERTIFIKAT I PEM FORMAT

PEM certifikatet skal bygges med følgende struktur.

-----BEGIN RSA PRIVATE KEY-----
Private Key (without passphrase)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
Certificate (CN=www.mydomain.com)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate (Intermediate CA, if exists)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root (ROOT CA, who signs the Certificate)
-----END CERTIFICATE-----

For at oprette en korrekt PEM-struktur er det nødvendigt at sammenkæde det forskellige filindhold, der er genereret i ovenstående trin, med adskillelserne:

-----BEGIN RSA PRIVATE KEY-----
uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL
1AOO5EEikir239UoFm6DQkkO7z4Nd+6Ier9fncpN1p1EZtqPxT64nsUTNow/z1Pp
nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n
ZW90cnVzdC5jb20vY3Jscy9yYXBpZHNzbC5jcmwwHQYDVR0OBBYEFA8nu+rbiNqg
DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG
gOYD8kmKOsxLRWeZo6Tn8
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
Lmdlb3RydXN0LmNvbS9jcmxzL2d0Z2xvYmFsLmNybDA0BggrBgEFBQcBAQQoMCYw
JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy
dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1
jOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
-----END CERTIFICATE-----

Det er obligatorisk at konvertere hele PEM-filen i UNIX-format.

Det findes certifikatet navngivet zencert.pem til testformål for at blive brugt med HTTPS-profilbedrifter.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler