Добавление цепочки в SSL-сертификат PKCS12 (P12, PFX) и конвертация в CRT/CER

При покупке SSL-сертификата часто возникает проблема: цепочка сертификатов поставляется отдельно от самого сертификата. Это может привести к совместимостным проблемам, так как множество систем требуют, чтобы цепочка сертификатов была включена в сам сертификат, чтобы клиенты могли установить доверие. В этом руководстве мы покажем вам, как легко добавить цепочку к вашему SSL-сертификату с помощью OpenSSL. Также мы продемонстрируем, как извлечь сам сертификат и закрытый ключ из сертификата формата PKCS12 (также известного как P12 или PFX).

Почему OpenSSL:
OpenSSL - это многофункциональный инструмент, доступный на большинстве Linux-систем, а также существует версия для Windows. Он необходим для обработки SSL-сертификатов и обеспечения их правильной конфигурации и совместимости с различными системами.

Шаги по добавлению цепочки:

1. Подготовка:

• Скопируйте свой SSL-сертификат в отдельную папку.
• Убедитесь, что у вас установлен OpenSSL (обычно он предустановлен на Linux).

2. Извлечение сертификата и закрытого ключа:

• Используйте следующие команды:

openssl pkcs12 -in yourcert.pfx -nocerts -out yourcert.key
openssl pkcs12 -in yourcert.pfx -clcerts -nokeys -out yourcert.crt

• Вам потребуется ввести пароль от сертификата.

3. Создание нового файла сертификата:

• Откройте файл yourcert.crt в текстовом редакторе.
• Скопируйте все, что находится между '-----BEGIN CERTIFICATE-----' и '-----END CERTIFICATE-----', включая эти строки, в новый файл с расширением .crt, например yourcert1.crt. Пример содержимого:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

4. Управление цепочкой сертификатов:

• Скопируйте цепочку сертификатов, на которых основан ваш SSL-сертификат, в ту же папку.
• Если вы не знаете, где найти цепочку, вы можете извлечь ее из деталей сертификата на компьютере под управлением Windows.

5. Подготовка цепочки сертификатов:

• Преобразуйте сертификаты цепочки в формат PEM с помощью следующих команд:

openssl x509 -in intermediate.cer -out intermediate.pem
openssl x509 -in root.cer -out root.pem
openssl x509 -in yourcert1.crt -out yourcert1.pem

6. Объединение сертификатов:

• Объедините все сертификаты в один файл:

cat yourcert.pem intermediate.pem root.pem >> yourcert-chain.pem

7. Создание сертификата PKCS12:

• Сгенерируйте сертификат PKCS12 с помощью следующей команды:

 openssl pkcs12 -export -out yourcert-fullchain.p12 -inkey yourcert.key -in yourcert-chain.pem

• Вам потребуется установить пароль для сертификата.

8. Проверка:

• Чтобы убедиться в успехе, выполните следующую команду, чтобы отобразить все сертификаты в файле:

keytool -list -v -keystore yourcert-fullchain.p12 -storepass [ваш_пароль] -storetype PKCS12 | more

Следуя этим шагам и используя OpenSSL, вы можете легко добавить цепочку сертификатов к вашему SSL-сертификату, устраняя проблемы совместимости и обеспечивая доверие к вашим веб-сайтам, защищенным SSL.

Не забывайте, что правильная настройка SSL-сертификатов критически важна для обеспечения безопасности онлайн-присутствия и создания доверия среди посетителей вашего веб-сайта. С помощью OpenSSL в качестве вашего надежного инструмента, вы сможете легко решить эту задачу.