Правильное содержание файла сертификата - PullRequest
Новая
       11

Правильное содержание файла сертификата

0 голосов
/ 29 августа 2018

Итак, я следовал этому руководству: https://docs.splunk.com/Documentation/Splunk/7.1.2/Security/Howtogetthird-partycertificates

Все было хорошо, пока я не получил новый сертификат от CA. У меня есть .crt файл из них, который начинается с: 

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 51698 (0xc9f2)
Signature Algorithm: sha256WithRSAEncryption
Issuer: <stuff here>
Validity
Not Before: Aug 29 18:35:08 2018 GMT
Not After : Dec 1 18:35:08 2020 GMT
Subject: <stuff here>
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
<stuff:here>
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: 
CA:FALSE
X509v3 Extended Key Usage: 
TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Time Stamping, Microsoft Individual Code Signing, Microsoft Commercial Code Signing, Microsoft Trust List Signing, Microsoft Encrypted File System
X509v3 Key Usage: 
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name: 
DNS:<<stuff.com>
Signature Algorithm: sha256WithRSAEncryption
<stuff:here>

Согласно сайту Spunk это должно быть в формате PEM, как когда я запускаю команду ssl, чтобы убедиться, что я получаю эту ошибку: 

# /opt/splunk/bin/splunk cmd openssl x509 -in SignedCert.crt -text
unable to load certificate
139880334464688:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE

То же самое происходит, даже если я переименую файл crt в pem.

Куда я иду не так?

1 Ответ

0 голосов
/ 30 августа 2018

Вы не делаете ничего плохого как таковое, вам нужно получить от CA ваш сертификат в формате "PEM", который должен выглядеть следующим образом: 

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Вы можете назвать это как хотите, это не имеет последствий. Но содержание должно быть таким. Я бы посоветовал еще раз SignedCert.crt, потому что семантически это избыточно, сертификат является ключом публикации, с метаданными и подписью. Так что всегда подписано. Вы должны назвать его в честь того, что связано с услугой / веб-сайтом, который будет его использовать.

Если у вас есть это в этом формате, вы можете сами сделать openssl x509 -text -in + имя файла, и, если все пойдет хорошо, это действительно даст текстовый вывод, который у вас есть в начале вопроса. Но преобразование этого текстового вывода обратно в PEM на практике невозможно.

...