.p7b কীটিকে একটি .pfx এ রূপান্তর করুন

10

আমার কাছে .p7b ফর্ম্যাটে একটি এসএসএল শংসাপত্র রয়েছে যা আমাকে .pfx এ রূপান্তর করতে হবে। যদি আমি উইন্ডোজ শংসাপত্রের মাধ্যমে এটি চেষ্টা করি তবে বিশেষজ্ঞের বিকল্প হিসাবে একটি .pfx অক্ষম করা হবে।

ওপেনসেল দিয়ে চেষ্টা করে আমি রূপান্তরটি করতে নিম্নলিখিত দুটি কমান্ড পেয়েছি:

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

তবে আমি নিশ্চিত নই যে তেহ সেকেন্ড কমান্ডের জন্য কোন কী ব্যবহার করা উচিত, বা কোন শংসাপত্র CACert.cer বোঝায়।

কীভাবে আমি এই কীটিকে .pfx ফর্ম্যাটে রূপান্তর করতে পারি?

ssl  certificate  encryption  openssl 
DrStalker
সূত্র

উত্তর:

20

পিকেসিএস # 7 কোনও শংসাপত্রের ব্যক্তিগত (কী) অংশটি / ব্যক্তিগত-কী জুটি অন্তর্ভুক্ত করে না, এটি সাধারণত শংসাপত্র প্রচারের জন্য ব্যবহৃত হয় (যেমন একটি পিকেসিএস # 10 শংসাপত্রের অনুরোধের প্রতিক্রিয়া হিসাবে, এস / এমআইএমআই শংসাপত্র বিতরণের উপায় হিসাবে বার্তাগুলি এনক্রিপ্ট করতে বা স্বাক্ষরিত বার্তাগুলি যাচাই করতে ব্যবহৃত হয়)। এটি মনে রাখা গুরুত্বপূর্ণ যে এটি কেবলমাত্র শংসাপত্রের জন্য যা সংজ্ঞা জনসাধারণের আইটেমগুলি দ্বারা।

পিকেসিএস # 12 একটি আরও সার্বজনীন ধারক - এটি ব্যক্তিগত কী এবং পাবলিক শংসাপত্র উভয় অংশই একসাথে সংরক্ষণ করার উদ্দেশ্যে করা হয়েছে যাতে এগুলি চারপাশে স্থানান্তরিত করা যায়। কীগুলিতে কিছু সুরক্ষা দেওয়ার জন্য এটিতে পাসওয়ার্ড সুরক্ষিত থাকার ক্ষমতা রয়েছে।

পিএফএক্স পিকেসিএস # 12 এর পূর্বসূর ছিল।

আপনি অতিরিক্ত তথ্য (প্রাইভেট কী অংশ) ছাড়াই পিকেসিএস # 7 থেকে পিকেসিএস # 12 এ রূপান্তর করতে পারবেন না (অনীতক পয়েন্ট আউট হিসাবে) পিকেসিএস # 7 এর সমস্ত ডেটা নেই।

আপনি কেন পিএফএক্স হিসাবে রফতানি করতে পারছেন না তা মার্ক সুতান নির্দেশ করেছেন - শংসাপত্রের শংসাপত্রটির তার ব্যক্তিগত কীটি অ-রফতানযোগ্য হিসাবে চিহ্নিত করা হয়েছে। ক্রিপ্টোগ্রাফিক পরিষেবা সরবরাহকারী (সিএসপি) সেই কীটি সরানোর অনুমতি দেবে না, এটি ইচ্ছাকৃত। রফতানিযোগ্য ফ্ল্যাট সেট সহ যদি মূল শংসাপত্র জারি করা হয় তবে আপনি রফতানিযোগ্য শংসাপত্র-কী জুড়িটি পেতে পারেন * এটিও সম্ভব যে সার্টিটির সাথে কোনও প্রাইভেট কী নেই তবে আমি ধরে নিচ্ছি যে এখানে বিষয়টি তেমন নয়।

উইকিপিডিয়ায় বিভিন্ন পিকেসিএস প্রকারের একটি ভাল সংক্ষিপ্তসার রয়েছে ।

  • অন্তত একমাত্র বৈধ উপায়। সিএসপি \ ক্রিপ্টো হার্ডওয়্যারের উপর নির্ভর করে এমন ব্যবস্থা থাকতে পারে, বিশেষত কেবলমাত্র সিএসপি'র সফটওয়্যারগুলির জন্য, তবে এটি কেবল সুরক্ষিত দুর্বলতার গবেষণার ক্ষেত্র, সিস্টেম অ্যাডমিন নয়।
Helvick
সূত্র
ধন্যবাদ - দেখে মনে হচ্ছে যে কোনও নতুন শংসাপত্র কেনা এটি পুনরুদ্ধারের চেয়ে সস্তা হতে পারে, এটি করার জন্য আমাদের যে পরিমাণ তৃতীয় পক্ষের সাথে সময় কাটাতে হবে তার ভিত্তিতে।
DrStalker
12

আমি প্রতি 2 বছর অন্তর এটি যাচ্ছি (যখন আমি একটি কোড-স্বাক্ষরকরণের শংসাপত্র পুনর্নবীকরণ করি) এবং প্রতিবার এটি ব্যথা হয়।

তথ্যের একটি মূল অংশটি হ'ল আপনি .sp7b ফাইলগুলিকে কেবল .spc- এ নাম পরিবর্তন করতে পারেন (যেমন এখানে বলা হয়েছে: http://support.microsoft.com/kb/269395 )।

তারপরে আপনি আপনার পিভিকে + এসপিকে পিএফএক্স রূপান্তর করতে pvk2pfx.exe সরঞ্জামটি ব্যবহার করতে পারেন।

pvk2pfx.exe -pvk input.pvk -pi <existing_input.pvk_password> -spc input.spc -pfx output.pfx -po <new_output.pfx_password>

(আপনি পি 7 বি নামকরণের পদক্ষেপটি এড়িয়ে যেতে এবং এটি সরাসরি ব্যবহার করতে সক্ষম হতে পারেন; আমি চেষ্টা করি নি ...)

জন হার্ট
সূত্র
এটি গৃহীত উত্তরের চেয়ে অনেক বেশি কার্যকর। আমি কোড স্বাক্ষর করার বাজে কথা শুনে অবাক হয়েছি। শংসাপত্রগুলির মেয়াদ শেষ হয়ে গেলে আমি বারবার এই পুনরাবৃত্তি করার চিন্তায় ক্রিংজ করি।
টিম
3

উইন্ডোজ সরঞ্জামের সাথে যদি পিএফএক্স বিকল্পটি অক্ষম থাকে তবে এর অর্থ হ'ল ব্যক্তিগত কী স্থানীয় স্টোর থেকে রফতানি করতে সক্ষম হয় না। এটি হয় না কারণ এটি সেখানে নেই (কারণ আপনার ব্যবহারযোগ্য বাক্সগুলিতে কীগুলি তৈরি করা হয়নি) বা আপনি কীগুলি তৈরি করার সময় ব্যক্তিগত কীটি রফতানযোগ্য হিসাবে চিহ্নিত করা হয়নি এবং রফতানির অনুমতি দেওয়ার জন্য উইন্ডোজ শংসাপত্র টেমপ্লেটটি কনফিগার করা হয়নি।

আমি ধরে নিচ্ছি যে আপনার শংসাপত্র জারি করতে আপনি একটি মাইক্রোসফ্ট শংসাপত্র কর্তৃপক্ষ ব্যবহার করছেন। এটা কি সঠিক?

তা হলে: -

1. নিশ্চিত করুন যে শংসাপত্র টেমপ্লেটটি ব্যক্তিগত কীগুলি রফতানির অনুমতি দেয়।
২. আপনি কীভাবে আপনার শংসাপত্রের অনুরোধ তৈরি করছেন, আপনি নিম্নলিখিত কৌশলটি ব্যবহার করতে পারেন

নিম্নরূপ INF ফাইল তৈরি

[সংস্করণ]
স্বাক্ষর = "$ উইন্ডোজ এনটি $

[NewRequest]
সাপেক্ষে =" ইত্যাদি "
KeySpec = 1
রপ্তানিযোগ্য = 1
MachineKeySet = true
ProviderName =" CSPName "
ProviderType = 1

[RequestAttributes] CertificateTemplate =

উল্লেখ্য রপ্তানিযোগ্য = 1
তারপরে কমান্ড প্রম্পটে সহকারী কমান্ডগুলি ব্যবহার করুন

certreq গেম infile.inf reqfile.req // যেখানে infile.inf উপরে ফাইল এবং reqfile আউটপুট অনুরোধ ফাইল

certreq -submit -config \ reqfile.req // জমা CA এ যা নিশ্চিতভাবে ঘটবে অনুরোধ

একবার সম্পূর্ণ হলে আপনি হবে সার্টিফিকেট পিএফএক্স হিসাবে রফতানি করতে সক্ষম হবেন

বিকল্পভাবে গেটো http://www.blacktipconsulting.com/Site/Products.html যেখানে আমি আমার ফ্রি কমান্ড লাইন সরঞ্জামটি রেখেছি যা আপনার জন্য এই সমস্ত করে এবং পিএফএক্স হিসাবে সার্টিফিকেটটি শেষ হয়ে গেলে তা রফতানি করে

মার্ক সাটন
সূত্র
2

হেলভিক যেমন উল্লেখ করেছেন, পিকেসিএস 10 এর প্রতিক্রিয়াটি পিকেসিএস 7 এবং এটিতে ব্যক্তিগত কী নেই। সুতরাং সিএসআর তৈরি করার সময় আপনার উচিত হবে প্রাইভেটকি.কি ফাইল তৈরি করা। আপনি নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন। (আমি জানি এটি চার বছরের পুরনো প্রশ্ন তবে পৃষ্ঠায় আলোচনার পরে আমি তা করতে পারিনি)।

openssl pkcs7 -inform DER -in PK7BDownloadedArchive.p7b -text -print_certs -out intermediateCert.pem

openssl pkcs12 -export -in intermediateCert.pem -inkey privateKey.key -out FinalPKCS12Cert.p12

শুভকামনা!

শুভেচ্ছা, জে

java_enthu
সূত্র
আপনার পক্ষে -informযুক্তি প্রয়োজন হতে পারে না ।
পালসুইম
1

আমি ভুল হতে পারি, তবে আমি মনে করি আপনার পিসি কেসিএস # 7 ফাইলটিতে আপনার শংসাপত্রের সার্বজনীন অর্ধেক অন্তর্ভুক্ত রয়েছে।

পিকেসিএস # 12 ফাইলের দুটি অংশই থাকা দরকার - সুতরাং কেন এটির -inkeyবিকল্প প্রয়োজন।

ঊষা
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.