Назад | Перейти на главную страницу

OpenSSL на Windows Server извлекает цепочку сертификатов из pfx

Я пытаюсь загрузить наш сертификат в хранилище сертификатов AWS для использования с CloudFront.

Сначала я попытался загрузить его без связки цепочки. Это привело к ошибке, когда я попытался включить его на конечной точке CloudFront, сказав, что у него нет действующей цепочки сертификатов.

Поэтому я попытался извлечь цепочку сертификатов из архива PFX с помощью следующей команды:

openssl pkcs12 -in archive.pfx -nodes -nokeys -cacerts -passin pass:password | openssl x509 -chain -out bundle.crt

Но это говорит unknown option -chain Я много гуглил, но каждый раз, когда открываю страницу, объясняющую, как извлечь цепочку, он говорит, что нужно использовать -chain переключатель.

Я подумал, может быть, будет достаточно просто попробовать загрузить вывод первой команды. Когда я это делаю, AWS-CLI сообщает следующее:

Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: -1

OpenSSL не размещает сертификаты в правильном порядке при выгрузке хранилища ключей PKCS12, как ни странно.

Выгрузите сертификаты в файл PEM:

openssl pkcs12 -in archive.pfx -nodes -nokeys \
  -passin pass:password -out chain.pem

После этого отредактируйте файл, чтобы расположить их в правильном порядке.

-chain действительно только для pkcs12 подкоманда и используется, когда создание хранилище ключей PKCS12.