Điểm:1

Tạo tệp PFX từ khóa riêng và tệp CRT

lá cờ gb

Tôi đang cố tạo tệp PFX cho trang web của mình được lưu trữ trên Azure.

tôi đã tạo mycsr.csr cũng như khóa riêng.key và từ Entrust tôi đã nhận lại 3 tệp root.crt, Trung gian.crtMáy chủCertificate.crt.

Tôi đã cố tạo tệp PFX của mình bằng lệnh sau

  • "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -export -out myPrivateCert.pfx -inkey PRIVATEKEY.key -in ServerCertificate.crt

Điều này tạo ra một tệp PFX nhưng khi tôi cố tải nó lên Azure thì nó báo

  • Mật khẩu không chính xác hoặc chứng chỉ không hợp lệ

Tôi biết mình đã nhập đúng mật khẩu, vì vậy tôi cảm thấy mình đã tạo PFX không chính xác.

Tôi mới sử dụng chứng chỉ SSL và tôi không chắc lắm về sự khác biệt giữa 3 tệp CRT mà tôi đã được trả lại. Bất kỳ trợ giúp được đánh giá cao.

CHỈNH SỬA

Tôi đã thử hợp nhất 3 tệp CRT thành một chain.pem tệp sao cho tệp ServerCertificate là tệp đầu tiên, sau đó là tệp Trung gian, sau đó là tệp gốc.

Sau đó, tôi đã cố gắng tạo tệp PFX bằng lệnh này:

  • "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -in chain.pem -inkey PRIVATEKEY.key -export -out myPrivateCert.pfx

Một lần nữa, tệp PFX này sẽ không tải lên Azure.

nhập mô tả hình ảnh ở đây

lá cờ cn
Điều gì về việc nhập chứng chỉ trên điểm cuối Windows vanilla? Điều đó có hiệu quả không?
lá cờ cn
Hãy thử certutil: https://serverfault.com/questions/790786/convert-crt-and-key-to-pfx/790845
Điểm:1
lá cờ gb

Tôi đã làm theo các bước từ @Lacek nhưng đó chỉ là một phần vấn đề của tôi. Tệp PFX được tạo sau các bước của anh ấy vẫn không được Azure chấp nhận. Đây là giải pháp hoàn chỉnh.

  1. Kết hợp các tệp CRT (ServerCertificate.crt rồi Intermediate.crt rồi root.crt) thành một tệp chain.pem

  2. sau đó xuất tệp này dưới dạng PFX bằng openssl

    openssl.exe pkcs12 -in chain.pem -inkey PRIVATEKEY.key -export -out myPrivateCert.pfx

  3. sau đó nhập tệp PFX này vào MMC (Microsoft Management Console). Điều quan trọng là khi bạn nhập nó, bạn kiểm tra "Đánh dấu khóa này là có thể xuất..."

nhập mô tả hình ảnh ở đây

  1. Sau khi tệp PFX được nhập, bạn cần nhấp chuột phải vào chứng chỉ máy chủ rồi "xuất..." tệp đó.

nhập mô tả hình ảnh ở đây

  1. Khi xuất, hãy chắc chắn kiểm tra "Có, xuất khóa riêng". Sau đó, trên trang tiếp theo, chọn tùy chọn "PFX", sau đó chọn "Xuất tất cả các thuộc tính mở rộng". Đặt mật khẩu cho tệp, sau đó lưu tệp. Tệp PFX được tạo từ ứng dụng MMC sẽ tải lên Cổng thông tin Azure một cách chính xác.

Tôi không phải là người xuất chứng chỉ SSL nên tôi không chắc liệu tất cả các bước này có cần thiết hay không, tôi chỉ biết rằng chúng hiệu quả với tôi.

Tôi cũng không biết sự khác biệt giữa tệp PFX do OpenSSL tạo và tệp PFX do MMC tạo ra, nhưng rõ ràng có một sự khác biệt và Azure thích cái sau hơn.

Hy vọng điều này sẽ giúp người khác.

lá cờ cn
Có vẻ như đây là một ví dụ điển hình về OpenSSL so với việc sử dụng các công cụ hệ điều hành gốc.
Điểm:0
lá cờ in

Vấn đề của bạn (có thể) là tệp PFX không chứa tất cả chuỗi chứng chỉ, vì vậy nếu trung gian không được tin cậy, thì chứng chỉ của bạn cũng sẽ không được tin cậy.

Những gì bạn cần làm là sao chép tất cả các chứng chỉ vào một tệp, từ "lá" đến "gốc", tức là chứng chỉ máy chủ phải là đầu tiên, sau đó là trung gian, sau đó là gốc. Đối với điều này, các tệp chứng chỉ phải ở định dạng PEM (từ lệnh trong bài đăng của bạn có vẻ như chúng là như vậy). Vì vậy, những gì bạn cần là ghép tất cả các chứng chỉ vào một tệp:

gõ ServerCertificate.crt Intermediate.crt root.crt >chain.pem

sau đó chuyển đổi tệp kết quả thành PKCS12:

openssl.exe pkcs12 -in chain.pem -inkey PRIVATEKEY.key -export -out myPrivateCert.pfx

Bằng cách này, tệp kết quả sẽ chứa tất cả các chứng chỉ trong chuỗi và mối quan hệ giữa chúng.

Stanton avatar
lá cờ gb
Tôi đã thử như bạn đề xuất (mặc dù tôi phải sửa đổi tệp PEM vì `-----END CERTIFICATE-----` kết thúc trên cùng một dòng với `-----BEGIN CERTIFICATE--- -` và dường như cần phải ở trên các dòng khác nhau). Sau đó, tôi đã tạo tệp PFX bằng chain.pem này. Tệp PFX kết quả vẫn bị Azure từ chối.
Andrew Henle avatar
lá cờ ph
@Stanton Tôi nghi ngờ nó có thể hoạt động nếu bạn thay thế `type ServerCertificate.crt Intermediate.crt root.crt >chain.pem` bằng `type Intermediate.crt root.crt >chain.pem`, để chứng chỉ của máy chủ nằm ngoài ` tệp chain.pem`.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.