0

我已经替换mod_sslmod_nss密码FIPS学,它很好用,Apache但现在我们有通配符证书,我想将其导入 NSS 数据库,但我不知道如何导入证书private key

我正在使用以下命令

certutil -A -d /etc/httpd/alias/ -n "GlobalSign" -t "CT,," -a -i wildcard_domain.crt

如何导入私钥?还是我缺少什么?

[root@web01 ~]# certutil -L -d /etc/httpd/alias

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

cacert                                                       CTu,Cu,Cu
Server-Cert                                                  u,u,u
GlobalSign-Intermediate                                      CT,,
GlobalSign                                                   CTu,u,u
alpha            

                                        u,pu,u
4

1 回答 1

3

解决方案:

将crt文件转换为PEM格式

从原始证书创建 pem 文件。

openssl x509 -inform PEM -in ./ssl.crt/example.com.GlobalSign-2010.crt > /root/example.com.GlobalSign-2010.pem
openssl x509 -inform PEM -in ./ssl.crt/intermediate.GlobalSign.crt > /root/intermediate.GlobalSign.crt.pem

在单个文件、根 crt 和链 crt 中连接 PEM 证书。

cat /root/example.com.GlobalSign-2010.pem /root/intermediate.GlobalSign.crt.pem > /root/example.com-GlogalSign-2010.pem

以 PKCS12 格式导出 PEM 证书和私钥

openssl pkcs12 -export -in example.com-GlogalSign-2010.pem -inkey ./ssl.key/example.com.GlobalSign.key -out /root/example.com-Globalsign.p12 -name Example-GlobalSign

在 NSS DB 中导入 PKCS12 (.p12) 证书

pk12util -i /root/example.com-Globalsign.p12 -d /etc/httpd/alias

您可以使用以下命令验证您的证书

certutil -L -d /etc/httpd/alias -n Example-GlobalSign

注意:Example-GlobalSign昵称放在 nss.conf 配置文件中,瞧!

于 2014-05-19T19:13:02.060 回答