我工作的地方 CA 和所有证书最初都是以 .pfx 格式提供的。我可以根据需要将 pfx 成功转换为 key/pem 或 key/crt。本周测试时,我发现转换过程不会带来证书上的 SAN。有没有办法实现这一点,而不必手动配置包含 SAN 的配置文件?以下是我现在从 pfx 转换的步骤:
openssl pkcs12 -in <pfx> -out <key> -nocerts -nodes
openssl rsa -in <key> -out <key>
openssl pkcs12 -in <pfx> -out <pem> -nokeys -clcerts
答案1
主体备用名称值是证书的一部分。当您执行原始 pkcs12 操作时,您指定-nocerts不会发出证书,只会发出密钥对象。
由于密钥没有 SAN,您已在该步骤丢弃了数据。您需要保留证书。