Witam. Próbuję pozbyć się ostrzeżenia o braku certyfikatu połączenia https serwowanego przez IIS-a. Fajnie działa certyfikat typu self-signed, ale dla każdego adresu trzeba tworzyć oddzielny. Dlatego próbuję to zrobić za pomocą raz dystrybuowanego certyfikatu głównego (root) z własnego CA, które sygnuje certyfikaty poszczególnych adresów. Do tego celu użyłem openssl-a i skryptu CA.pl. Bez problemu uzyskuję certyfikat główny (CA.pl -newca), później robię request i sign. Na końcu uzyskuję piękny certyfikat dla adresu pod tytułem newcert.pem, ale co mi po nim, skoro jest bez klucza prywatnego (tak mi się przynajmniej wydaje). Bo o ile mogę wyeksportować do .p12 sam certyfikat główny
openssl pkcs12 -export -in demoCA\cacert.pem -inkey demoCA\private\cakey.pem -out newcert.p12 -name "Certyfikat"
to w tym drugim przypadku coś takiego oczywiście nie działa, jest komunikat o braku PK. Jak mogę wygenerować .p12, które pozwoli mi zainstalować certyfikat wraz z kluczem prywatnym?
0
1
Dobra, sprawa była prosta - pliki wynikowe wylądowały w innym miejscu, niż się spodziewałem (folder bieżący zamiast demoCA). Może komuś się przyda kilka poleceń na tę okoliczność. Po zrobieniu kolejno CA.pl -newca, CA.pl -newreq, CA.pl -sign
konwertujemy cacert.pem na crt (format strawny dla Windowsa, do umieszczenia na kliencie): openssl x509 -outform der -in demoCA\cacert.pem -out cert_ca_dla_klienta.crt</code>, a na serwerze instalujemy pfx-a zrobionego tak: <code>openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out .pfx -name "Certyfikat"