我的证书颁发机构向我提供了 5 个 PEM 文件。其中 3 个是链的一部分。其中一个文件是所有 3 个链文件作为单个文件。
第五个文件似乎是证书本身。
我使用的应用程序正在寻找 .key 文件和 .cert 或 .crt 文件。我能够使用 openSSL 制作所有 pem 文件的 .crt 文件版本。我还需要 .key 版本吗?那么,我应该在哪里安装各种证书文件?文件名重要吗?
答案1
程序通常以两种方式处理 SSL 证书:一些应用程序希望私钥和证书位于同一文件中,而另一些应用程序则希望它们位于不同的文件中。许多应用程序都允许这两种方式,将证书(以及可选密钥)作为必需选项,并将密钥指定在单独的文件中作为可选输入。
大多数证书还会为 CA 链提供单独的输入;这就是您在列表中使用文件 #4 的地方。有些证书可以使用目录而不是链文件;您可以将文件 #1-3 放在那里。(有些证书还希望这些文件的文件名是证书 DN 的哈希值)。
将文件命名为 .crt 或 .key 主要是为了您自己的理智;大多数程序并不关心。只要您为程序提供它期望的输入格式(PEM 是最常见的;DER 和 PKCS7 不太常见),就应该没问题。(Windows 有点挑剔;它喜欢将扩展名 .crt 用于带密钥的 PEM 格式证书,将扩展名 .pfx 或 .p12 用于 PKCS12 格式的客户端证书)。