公司的同事问到我一些有关 ssl 转换的问题,常见的 iis 上的还有 ibm 的 ihs 上的转换,所以研究了一下,记录如下。
1. 导出 IBM keystore certificate 成标准的 apache/openssl/mod_ssl 可以使用的 x509 的证书
刚见到这个时晕了,一堆文件, .sth.kdb.rdb.crl 之类,查了很久后才发现是 ibm 自己搞的一个格式,如果转换我们先要使用 gsk6ikm.exe 之类的软件来导出 WebSphere or IBMIHS server 的.kdb file 成为 .p12/.pk12 格式,这样我们才能接着转换。
我给一个图形的转换的 pdf 给大家参考:
https://www.gxsolc.com/public/EDI/us/support/Products/expedite/Exp_Base_iKEYMAN_setup.pdf
转完后,在使用下面 openssl 的方法就能转出来了。
从 pkcs12 中来取这个的 crt 文件,可能要去掉"―-BEGIN CERTIFICATE―-"之类的信息
openssl pkcs12 -in ihscert.p12 -clcerts -nokeys -out ihscert.crt如果需要 key 文件,可以还使用 openssl 中的命令,先生成一个没有 certs 的文件,然后在导出 key 文件
openssl pkcs12 -in ihscert.p12 -nocerts -nodes -out middle.tmp
openssl rsa -in middle.tmp -out ihskey.key2. 常见的 windows 中的证书 PFX 转成可用的 X509 证书文件和 RSA 密钥文件
这也是个很烦人的东西 ,我们知道.pfx/.p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式.转换过程如下:
openssl pkcs12 -in server.pfx -nodes -out server.pem # 生成明文所有内容
openssl rsa -in server.pem -out server.key # 取 key 文件
openssl x509 -in server.pem -out server.crt # 取证书