TLS/SSL: openssl – извлечь KEY и CRT из PFX

Автор: | 10/08/2016
 

sslИмеется набор файлов сертификатов, переданные нам из другого агентства, где приложение работало на Windows-сервере в Azure:

# ls -l
total 68
-rw-r--r-- 1 root       root        1521 May 30  2000 AddTrustExternalCARoot.crt
-rw-r--r-- 1 root       root        1952 May 30  2000 COMODORSAAddTrustCA.crt
-rw-r--r-- 1 root       root        2151 Feb 12  2014 COMODORSADomainValidationSecureServerCA.crt
-rw-r--r-- 1 root       root        5623 Oct 28  2014 COMODO_meister.crt
-rw-r--r-- 1 root       root        2000 Oct 15  2014 STAR_meister_de.crt
-rw-r--r-- 1 root       root          10 Oct 28  2014 password.txt
-rw-r--r-- 1 root       root        7626 Oct 27  2014 wildcard.meister.de.p7b
-rw-rw-r-- 1 admin      admin 17977 Aug  4 12:08 wildcard.meister.de_2017.rar
-rw-r--r-- 1 root       root        3369 Oct 28  2014 wildcard_meister_de_2014.pfx

Формат SSL сертификата PKCS#12 или, как его еще называют, PFX сертификат — бинарный формат, при использовании которого в одном зашифрованном файле хранится не только ваш личный сертификат сервера и промежуточные сертификаты центра сертификации, но и ваш закрытый ключ. PFX файлы, как правило, имеют расширение .pfx или .p12. Обычно, файлы формата PFX используются на Windows серверах для импорта и экспорта файлов SSL сертификатов и вашего приватного ключа.

Источник.

Что бы извлечь сертификат из PFX – выполняем:

# openssl pkcs12 -in wildcard_meister_de_2014.pfx -out music.meister.de.crt -nodes -nokeys -cacerts 
Enter Import Password:
MAC verified OK

Ключ:

# openssl pkcs12 -in wildcard_meister_de_2014.pfx -nocerts -out music.meister.de.key
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

Проверяем:

# ls -l music.meister.de.*
-rw-r--r-- 1 root root    0 Aug  4 12:16 music.meister.de.crt
-rw-r--r-- 1 root root 2118 Aug  4 12:17 music.meister.de.key

И копируем в каталог NGINX:

# cp music.meister.de.* /etc/nginx/ssl/music.meister.de/

Готово.