Как получить файл.pem из файлов.key и.crt?

Мне нужно было сделать это для AWS ELB. После многократного избиения диалогом, вот что у меня получилось:

openssl rsa -in server.key -text > private.pem
openssl x509 -inform PEM -in server.crt > public.pem

Спасибо NCZ

Редактировать: как говорит @floatingrock

В AWS не забудьте добавить имя файла с помощью file://, Так это будет выглядеть так:

 aws iam upload-server-certificate --server-certificate-name blah --certificate-body file://path/to/server.crt --private-key file://path/to/private.key --path /cloudfront/static/

http://docs.aws.amazon.com/cli/latest/reference/iam/upload-server-certificate.html

pem Файл содержит сертификат и закрытый ключ. Это зависит от формата вашего сертификата / ключа, но, вероятно, это так просто:

cat server.crt server.key > server.pem

Кроме того, если вы не хотите, чтобы он запрашивал ключевую фразу, необходимо выполнить следующую команду:

openssl rsa -in server.key -out server.key

Это лучший вариант для создания.pem файла

openssl pkcs12 -in MyPushApp.p12 -out MyPushApp.pem -nodes -clcerts

Все файлы (*.crt, server.csr, server.key) уже могут быть в формате PEM, дальнейшие действия с этими файлами зависят от того, как вы хотите их использовать или какой инструмент их использует и в каком формате. это требует.

Здесь я пойду немного дальше, чтобы объяснить, какие форматы используются для хранения криптографических материалов и как их распознавать, а также преобразовывать один в другой.

Стандарты

Это суть объясняет то же самое + команды для преобразования/проверки/проверки.

В заключение, типичные шаги по работе с материалами криптографии/PKI:

• Поймите, в каком формате они находятся (используйте команды проверки/проверки)
• Понять, в каком формате они требуются (читать документ)
• Используйте команды преобразования для преобразования файлов
• Необязательно: используйте команды проверки/проверки для проверки преобразованных файлов.

Я пытался перейти от Godaddy к движку приложения. Что сделал трюк, используя эту строку:

openssl req -new -newkey rsa:2048 -nodes -keyout name.unencrypted.priv.key -out name.csr

Точно так же, как есть, но замена имени на мое доменное имя (не то, чтобы это действительно даже имело значение)

И я ответил на все вопросы, касающиеся общего названия / организации, как www.name.com

Затем я открыл csr, скопировал его, вставил его в go daddy, затем загрузил его, разархивировал, перешел в разархивированную папку с терминалом и ввел:

cat otherfilegodaddygivesyou.crt gd_bundle-g2-g1.crt > name.crt

Затем я использовал следующие инструкции из раздела "Проблемы с SSL для пользовательского домена Google Apps":

openssl rsa -in privateKey.key -text > private.pem
openssl x509 -inform PEM -in www_mydomain_com.crt > public.pem

в точности как есть, за исключением того, что вместо privateKey.key я использовал name.unencrypted.priv.key, а вместо www_mydomain_com.crt я использовал name.crt

Затем я загрузил public.pem в консоль администратора для "сертификата PEM в кодировке X.509" и загрузил private.pem для "незашифрованного закрытого ключа RSA в PEM"..

.. И это, наконец, сработало.

В Windows можно использовать certutilинструмент:

      certutil -encode server.crt cert.pem
certutil -encode server.key key.pem

Вы можете объединить оба файла в один в PowerShell следующим образом:

      Get-Content cert.pem, key.pem | Set-Content cert-and-key.pem

А в CMD вот так:

      copy cert.pem+key.pem cert-and-key.pem /b

Я заметил следующее: если вы используете openssl для генерации сертификатов, он захватывает как текстовую часть, так и часть сертификата base64 в файле crt. Строгий формат pem говорит ( определение вики), что файл должен начинаться и заканчиваться BEGIN и END.

.pem - (Privacy Enhanced Mail) Сертификат DER в кодировке Base64, заключенный между "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----"

Поэтому для некоторых библиотек (я сталкивался с этим в Java), которые ожидают строгого формата pem, сгенерированный crt не пройдет проверку как "неверный формат pem".

Даже если вы скопируете или выполните grep строки с помощью BEGIN/END CERTIFICATE и вставите их в файл cert.pem, это должно сработать.

Вот что я делаю, не очень чисто, но у меня работает, в основном фильтрует текст, начиная со строки BEGIN:

grep -A 1000 BEGIN cert.crt> cert.pem

Пытаясь загрузить сертификат GoDaddy в AWS, я несколько раз терпел неудачу, но в итоге все оказалось довольно просто. Не нужно ничего конвертировать в.pem. Вам просто нужно обязательно включить сертификат пакета GoDaddy в параметр цепочки, например

aws iam upload-server-certificate
    --server-certificate-name mycert
    --certificate-body file://try2/40271b1b25236fd1.crt
    --private-key file://server.key
    --path /cloudfront/production/
    --certificate-chain file://try2/gdig2_bundle.crt

И чтобы удалить предыдущую неудачную загрузку вы можете сделать

aws iam delete-server-certificate --server-certificate-name mypreviouscert

1. Скачать сертификат с временного портала по appleId,
2. Экспортируйте сертификат из Брелка и дайте имя (Certificates.p12),
3. Откройте терминал и перейдите в папку, в которой вы сохраняете файл Certificates.p12,

4. Запустите следующие команды:

   а) openssl pkcs12 -in Certificates.p12 -out CertificateName.pem -nodes,

   б) openssl pkcs12 -in Certificates.p12 -out pushcert.pem -nodes -clcerts

5. Ваш файл.pem готов "pushcert.pem".

Прежде всего нам нужно создать файл PFX, используя файл .crt и файл .key. Во время выполнения вам необходимо ввести пароль сертификата. Ниже приведена команда

       openssl pkcs12 -export -in company.crt -inkey company.key -out yourssl.pfx

Если у вас есть файл PFX. Пожалуйста, выполните команды ниже 2

      openssl pkcs12 -in yourssl.pfx -clcerts -nokeys -out yourcert.pem
openssl pkcs12 -in yourssl.pfx -clcerts -out yourkey.pem

• Откройте терминал.
• Перейдите в папку, где находится ваш сертификат.
• Выполните приведенную ниже команду, заменив имя своим сертификатом.

openssl pkcs12 - в YOUR_CERTIFICATE.p12 - в YOUR_CERTIFICATE.pem -nodes -clcerts

• Надеюсь, это сработает!