【发布时间】:2018-11-14 12:29:00
【问题描述】:
我从 GoDaddy 获得了一份 .crt 通配符证书和私钥。我需要向银行提供三个 .pem 文件:加密公共证书、签名公共证书、SSL 公共证书。如何从 .crt 文件生成它们? 我已经尝试过命令。
openssl x509 -in mycert.crt -out mycert.pem -outform PEM
但是我作为命令的结果得到的文件总是相同的,但我需要三个不同的文件。银行会要求我做不可能的事情吗? :)
【问题讨论】:
-
您应该在证书中有
TLS Web Server Authentication (1.3.6.1.5.5.7.3.1)扩展密钥使用扩展。此外,您很可能拥有DigitalSignature和KeyEncipherment密钥使用扩展。如果是这样,那么您将所有 3 个证书合二为一。这是 SSL 证书的常用格式。 -
@pepo 谢谢解答!我将 .crt 证书发送给银行后端团队,得到了答复:“我们总共需要 3 个(另外 1 个用于 UAT,另外 2 个用于生产)证书。一个将用于 SSL 和其他用于签名和加密,一旦测试成功,我们会将 UAT 复制到 PRD 中。”。但是 GoDaddy 只提供给我一份证书。也许您可以帮助我了解他们对我的要求 :) 我如何仅使用一个通配符 .crt 证书和私钥来满足他们的需求。每个域需要 2 个证书。 (产品,UAT)
-
如果 UAT 的地址不能包含在您拥有的通配符中(即 uat.yourdomain.com 匹配,因为您的证书中有 *.yourdomain.com),那么您需要购买另一个证书UAT。或者自己制作一个,让它在 UAT 中得到信任。
-
证书应该可以在 PROD 和 UAT 上使用。当然有安全考虑如何保护私钥,因为它将在 2 个环境中。确保它不会从 UAT 被盗 :)
标签: ssl openssl certificate ssl-certificate wildcard