ssl - 尝试生成 pfx 文件时无法加载证书

Question

在过去的三个小时里，我一直在努力尝试使用 OpenSSL 创建一个 .pfx 文件。我一直在关注这个document并一直按照 Get a certificate using OpenSSL header 下的说明进行操作。

我在这一步:openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt 并且正在使用 OpenSSL.exe控制台。

我收到错误:无法加载证书

我也试过这个:x509 -text -in myserver.key 并收到错误:0906D06D06C:PEM_read_bio:no start line:.\crypto\pem\pem_lib.b.c: 703:Expecting: TRUSTED CERTIFICATE 如果我尝试 myserver.crt，我也会收到该错误。

无论我做什么，我似乎都能得到它。

有人可以帮忙吗？

Answer 1

I get the error: unable to load certificates

myserver.crt 需要是 PEM 格式。它是否有 ----- BEGIN CERTIFICATE ----- 和 ----- END CERTIFICATE -----？

---

myserver.crt 实际上应该是一个证书链(而不仅仅是一个服务器证书)。该链应包括客户端验证链所需的所有中间证书。

你发送所有的中间证书来解决“哪个目录”的问题。 “哪个目录”是 PKI 中众所周知的问题。本质上，客户端不知道去哪里获取丢失的中间证书。为避免该问题，您发送所有中间体。

我经常使用 Startcom因为他们提供免费的 1 类证书。当我从他们那里获得签名的服务器证书时(例如，www-example-com.crt)，我将他们的 Class 1 Server Intermediate 添加到其中。我从他们的网站 Startcom CA certs 获得了他们的 Class 1 Server Intermediate .我使用的是 sub.class1.server.ca.pem。

对于 www-example-com.crt，我的服务器证书如下所示:

$ cat www-example-com.crt

-----BEGIN CERTIFICATE-----
< My Server Certificate >
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
< Startcom Intermediate >
-----END CERTIFICATE-----

为了完整起见，私钥(例如，www-example-com.key)也是 PEM 格式。它使用 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY-----。

使用 PEM 格式的服务器证书(以及所需的中间体)和私钥，然后我发出以下命令(看起来与您使用的命令相同):

openssl pkcs12 -export -in www-example-com.crt -inkey www-example-com.key -out www-example-com.p12

当客户端连接时，他们使用 Startcom CA。因此，要测试连接(加载到 IIS 后):

openssl s_client -connect www.example.com:443 -CAfile startcom-ca.pem

该命令应以“Verify OK”完成:

SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 37E5AF0EE1745AB2...
    Session-ID-ctx:
    Master-Key: 7B9F8A79D3CC3A41...
    Key-Arg   : None
    Start Time: 1243051912
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

---

I have also tried this: x509 -text -in myserver.key and received the error...

x509 用于证书。如果要转储 key ，请使用 OpenSSL 的 pkey 命令。请参阅 OpenSSL 上的文档 pkey(1)命令。