Frage Wie man verschiedene Zertifikate in einzelne .pem kombiniert


Ich habe gerade das gelesen toller Thread Erklären der verschiedenen SSL-Formate.

Jetzt suche ich im Wesentlichen nach dem Gegenteil von Wie teilt man eine PEM-Datei?

Es gibt 4 Dateien, die ich konsolidieren möchte, die ursprünglich für Apache erstellt wurden

  • SSLCertificateFile
  • SSLCertificateKeyFile
  • SSLCertificateChainFile
  • SSLCACertificateFile

Worüber ich hauptsächlich neugierig bin, ist die Reihenfolge der Dateien im konsolidierten Derativ, ist das wichtig? Z.B. wenn ich nur wäre cat sie zusammen in der Reihenfolge, in der sie oben erscheinen, in eine .pem, wäre es gültig oder sollten sie auf eine bestimmte Weise bestellt werden?

Zu Ihrer Information, ich mache das, um diese Zertifikate als kombinierte Single zu verwenden .pem im SimpleSAMLphp.


31
2018-02-07 20:00


Ursprung


Die Bestellung sollte privater Schlüssel, Zwischenzertifikate, Ihr Zertifikat sein. - Zoredache
Was ist mit der CA, ist das nicht die Wurzel der Kette, und deshalb würde es nach der Kette in der konsolidierten Datei gehen? Oder kann es ganz weggelassen werden? - quickshiftin
Klingt wie es ist optional, Ich werde es für jetzt rollen. - quickshiftin


Antworten:


Die Reihenfolge ist wichtig, nach RFC 4346.

Hier ist ein Zitat direkt aus dem RFC:

  certificate_list
    This is a sequence (chain) of X.509v3 certificates.  The sender's
    certificate must come first in the list.  Each following
    certificate must directly certify the one preceding it.  Because
    certificate validation requires that root keys be distributed
    independently, the self-signed certificate that specifies the root
    certificate authority may optionally be omitted from the chain,
    under the assumption that the remote end must already possess it
    in order to validate it in any case.

Basierend auf diesen Informationen sollte das Serverzertifikat an erster Stelle stehen, gefolgt von Zwischenzertifikaten und schließlich dem Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle (falls selbstsigniert). Ich konnte keine Informationen über den privaten Schlüssel finden, aber ich denke, das sollte keine Rolle spielen, da ein privater Schlüssel in pem leicht zu identifizieren ist, da er mit dem folgenden Text beginnt und endet, der das Schlüsselwort hat PRIVATE drin.

 -----BEGIN RSA PRIVATE KEY-----
 -----END RSA PRIVATE KEY-----

38
2018-02-07 21:39



cat site.crt root.crt site.key> site.pem - corvuszero


Hier ist der Befehl zum kombinieren mit cat

cat first_cert.pem second_cert.pem > combined_cert.pem

2
2018-06-20 20:31



Es ist eine Antwort, wie man zwei certs verkettet, aber nicht, wie man certs für Apache konsolidiert / verkettet. - asdmin
Dies ist nicht wirklich die Frage zu beantworten, die akzeptierte Antwort ist gut genug. Ich gebe nur zusätzliche Informationen zur Verkettung, da das ursprüngliche Poster über die Verwendung von Katze sprach, dachte ich, es könnte anderen helfen. - tidileboss
Ihre Antwort zeigt nicht an welcher Reihenfolge Die Dateien sollten verkettet werden (Sie haben nur "first_cert.pem" und "second_cert.pem"). Die richtige Antwort wäre cat my_site.pem ca_chain.pem my_site.key > combined_cert.pem - Doktor J