合并PFX(PKCS12)文件:
|
将csr文件交给CA签名后,获得cer文件,为了提供给IIS,TOMCAT,RESIN等服务器使用,需要将Key+Cer文件转换PKCS12格式的文件,如果CA签发的是单根证书(Single
Root Certificate:由CA内置浏览器的根证书直接签发服务器证书的)请用如下命令:
|
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.cer
|
如果CA签发出的是级联证书(Chained SSL Certificate: 在CA和服务器正式之间,还有1张或多张的中间证书,为了保证客户验证的完整性,必须在PFX,安装全部的中间证书),请用如下命令:
|
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile
chain.cer
|
chain.cer 包含了所有中间证书的内容,可以不包含根证书和服务器证书,如果有多个中间证书,可直接用记事本将各个证书打开(都必须是Base64的),然后粘帖到一个文件里就可以了。
举例,GeoTrust EV证书在IE5下的证书链格式如下:
|
--Equifax Sevure Certificate Authority
--GeoTrust Primary Certification Authority
--GeoTrust Extended Validation SSL CA
--www.domain.com
|
则chain.cer应该包含了GeoTrust Primary Certification Authority和GeoTrust Extended Validation
SSL CA两个中间证书。
|