Erstellen Sie Zertifikate im PEM-Format

GESCHRIEBEN VON Zevenet | 15. März 2016

EVENT

Zen Load Balancer kann HTTPS-Verbindungen verwalten (HTTP-Profil). Der Systemadministrator muss also eigene Zertifikate erstellen (selbstsignierte Zertifikate) oder von einer Zertifizierungsstelle signierte Zertifikate anfordern. In beiden Fällen muss das Zertifikat eingebaut sein PEM-Format.

Das sichere Zertifikat muss ohne Kennwort erstellt werden, und die Schlüssel und die CSR müssen auf dem Server erstellt werden, um gesichert zu werden.

Positives SSL ist im PEM-Format einsatzbereit. Rapid SSL muss jedoch konvertiert werden, da jede Datei das Zertifizierungszeichen, die Zwischenzertifizierungsstelle und die Stammzertifizierungsstelle getrennt enthält.

ANFORDERUNGEN

Das Paket openssl sollte installiert sein, um die Schlüssel auf dem Server zu generieren. In diesem Fall handelt es sich um die Zen Load Balancer-Instanz, die bereits installiert sein sollte.

Generieren Sie zuerst den Schlüssel ohne Passphrase.

openssl genrsa -out host_domain_com.key 2048

Generieren Sie dann die Certificate Signed Request (.csr) unter Verwendung des generierten Schlüssels (.key) als Eingabe.

openssl req -new -key host_domain_com.key -out host_domain_com.csr

Stellen Sie nach der Bereitstellung des Zertifikats und der Zwischen-CA-Dateien sicher, dass Sie das Aussteller-Stammzertifikat erhalten.

Alle getrennten Dateien müssen im PEM-Format vorliegen: Serverzertifikat, Zwischenzertifikat und Stammzertifizierungsstellenzertifikat. Wenn dies nicht der Fall ist, konvertieren Sie die Datei mit dem folgenden Befehl:

openssl x509 -in certFileName.cer -outform PEM -out convertedCertFileName.pem

Schließlich haben wir den privaten Schlüssel, das ausgestellte Zertifikat, das Zwischenzertifikat und das Stammzertifizierungsstellenzertifikat. Alle diese Dateiinhalte sollten kombiniert werden, um die PEM-Datei im UNIX-Format zu erstellen.

GENERATE-ZERTIFIKAT IN PEM-FORMAT

Das PEM-Zertifikat muss mit der folgenden Struktur erstellt werden.

-----BEGIN RSA PRIVATE KEY-----
Private Key (without passphrase)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
Certificate (CN=www.mydomain.com)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate (Intermediate CA, if exists)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root (ROOT CA, who signs the Certificate)
-----END CERTIFICATE-----

Um eine korrekte PEM-Struktur zu erstellen, müssen die verschiedenen im obigen Schritt generierten Dateiinhalte mit den Trennungen verknüpft werden:

-----BEGIN RSA PRIVATE KEY-----
uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL
1AOO5EEikir239UoFm6DQkkO7z4Nd+6Ier9fncpN1p1EZtqPxT64nsUTNow/z1Pp
nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n
ZW90cnVzdC5jb20vY3Jscy9yYXBpZHNzbC5jcmwwHQYDVR0OBBYEFA8nu+rbiNqg
DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG
gOYD8kmKOsxLRWeZo6Tn8
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
Lmdlb3RydXN0LmNvbS9jcmxzL2d0Z2xvYmFsLmNybDA0BggrBgEFBQcBAQQoMCYw
JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy
dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1
jOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
-----END CERTIFICATE-----

Es ist obligatorisch, die gesamte PEM-Datei im UNIX-Format zu konvertieren.

Das Zertifikat mit dem Namen zencert.pem steht zu Testzwecken zur Verfügung, um mit HTTPS-Profilfarmen verwendet zu werden.

Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel