我有两个 .p12 证书,我使用以下命令将它们转换为 .pem 文件:
openssl pkcs12 -in cert1.p12 -out cert1.pem -nodes
openssl pkcs12 -in cert2.p12 -out cert2.pem -nodes
然后我将两个 .pem 文件连接到一个 .pem 文件中:
cat cert1.pem cert2.pem > combo.pem
然后我将其combo.pem转换为 .p12 证书:
openssl pkcs12 -export -in combo.pem -out combo.p12
但是当我去检查combo.p12证书的内容时,它只有 cert1.pem 的信息:
keytool -v -list -keystore combo.p12
我希望combo.p12证书同时具有 .pem 证书信息。我究竟做错了什么?
出于说明目的,让我们看看使用 StackExchange.com 证书链重复实验时会发生什么。我已经从网站上下载了它们并将它们转换为 PEM 并将它们连接成一个 PEM 文件,就像你做的那样。它被称为SE.pem。然后将它们转换成PKCS#12这样的格式会产生:
$ openssl pkcs12 -export -in SE.pem -out SE.p12
unable to load private key
140736004633472:error:0906D06C:PEM routines:PEM_read_bio:no start line:crypto/pem/pem_lib.c:686:Expecting: ANY PRIVATE KEY
你没有提到这一点。在没有私钥的情况下工作所需的附加参数是-nokeys,如下所示:
$ openssl pkcs12 -export -in SE.pem -out SE.p12 -nokeys
Enter Export Password:
Verifying - Enter Export Password:
然后验证生成的.p12文件中是否包含所有内容:
$ openssl pkcs12 -info -in SE.p12 | grep subject=
Enter Import Password:
MAC:sha1 Iteration 2048
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Certificate bag
Certificate bag
subject=/C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
subject=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
subject=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
我无法弄清楚为什么keytool没有正确列出证书,这两个工具似乎期望.p12捆绑的内容不同:
$ keytool -list -v -keystore SE.p12 -storetype pkcs12
Enter keystore password:
Keystore type: PKCS12
Keystore provider: SunJSSE
Your keystore contains 0 entries
实际上,我自己可能会问一个不同的 SO 问题:-)。这对您的情况至关重要,还是只是另一个验证步骤?