google-app-engine - 为 Google App Engine 转换 pfx 文件

Question

我花了几天时间寻找答案，但没有成功，所以我决定在这里提问。

我的问题是我无法在 Google Cloud App Engine 上添加 ssl 证书。我正在尝试添加由瑞典银行 ID 系统提供的 ssl 证书，以将他们的服务与我的后端集成。他们有一个用于测试目的的 rest api，并为测试 api 提供证书。

证书采用 .pfx 格式，要将其导入 Google Cloud App Engine，我需要提取两个 key :

• PEM 编码的 X.509 公钥证书
• 未加密的 PEM 编码 RSA key

因为我在 ubuntu 上并且可以轻松访问 openssl，所以我尝试使用这些命令:

openssl pkcs12 -in Server.pfx -nodes -nokeys -out certificate.pem
openssl pkcs12 -in Server.pfx -nodes -nocerts -out key.pem
openssl rsa -in key.pem -out key2.pem -outform pem 

当使用来自 ceriticate.pem 的公共(public)证书和来自 key2.pem 的 RSA 私钥时，出现此错误:

The certificate data is invalid. Please ensure that the private key and public certificate match.

我已经尝试使用其他一些 openssl 命令进行试验，但它总是会导致此错误。

我做错了什么吗？如果需要，我会提供更多信息。

---

对第一条评论的回复:

certificate.pem 文件的内容以:

-----BEGIN CERTIFICATE-----

至于 key2.pem 文件，它开始于:

-----BEGIN RSA PRIVATE KEY-----

注意事项:ceritficate.pem 文件在 -----BEGIN CERTIFICATE----- header 之前包含包属性、主题和发行者行，但是当我尝试导入整个文件时，我收到一条错误消息:

The public certificate you've selected does not appear to be valid.

所以我把这些线去掉了。

---

作为对第一个答案的回应，这正是我一直在做的。 certificate.pem 文件仅包含一个包含-----BEGIN CERTIFICATE----- 和-----END CERTIFICATE-----。所以我复制了这些行(包括 BEGIN 和 END 行)并得到了上述第一个错误。

Answer 1

您的证书具有 Bag Attributes 的评论是您的问题。您的私钥看起来正确 (PKCS#1)。

您的证书文件是一个包含多个证书的复合文件。通常第一个证书是您想要的证书(您的 SSL 证书)。其他证书用于中间证书颁发机构。

在文本编辑器中打开 certificate.pem(例如使用 VI)。然后查找以 subject= 开头的行。如果您在行中看到证书的名称(域名、公司名称)，这就是您想要的。保存从 -----BEGIN CERTIFICATE----- 到 -----END CERTIFICATE----- 的所有内容。其他证书将在 subject= 中具有证书颁发机构的名称。

注意:您可能还需要其他证书(取决于您是否使用大公司)。在这种情况下，对于每个其他证书，将每个证书从 BEGIN/END 复制到一个名为 intermediate.pem 的文件中。您不需要 Bag Attribute 部分。

另一种选择是将证书保存在一个文件中。打开 certifcate.pem 并删除 Bag Attributes 部分(删除 -----END CERTIFICATE----- 和 -----BEGIN 之间的所有内容证书-----).