Подтвердить что ты не робот

Конвертировать p7b в pfx для Azure

Я пытаюсь настроить конечные точки для Azure.

Мне был предоставлен файл .p7b, но мне нужен файл .pfx с закрытым ключом для Azure.

Есть ли способ конвертировать мой .p7b в .pfx?

4b9b3361

ОТВЕТЫ

Ответ 1

Хорошо, вот краткий обзор в целом по Azure SSL-сертификату rigmarole. Я сделал это с GoDaddy (и больше, чем небольшая помощь от одного из их знающих техников технической поддержки). Также обратите внимание, что я сделал это на Windows 8 Pro; ваш опыт может несколько отличаться и/или ваш пробег может варьироваться; -)

Оплатите свои деньги в CA (Certificate Authority), чтобы купить сертификат SSL.

Создать CSR (запрос подписи сертификата)

Теперь вам нужно создать CSR, который является текстом, который вы должны предоставить в ЦС, чтобы создать сертификат. CSR содержит пару частей информации:

  • Имя домена, связанного с сертификатом.
  • Открытый ключ для связи с сертификатом. Обратите внимание, что CSR, который вы передаете CA, НЕ содержит связанный закрытый ключ.

Вы создаете CSR локально на своем ПК с помощью диспетчера IIS. Примечание. IIS входит в состав Windows, но не установлен по умолчанию. [Я оставлю детали установки IIS в качестве упражнения для ученика. Возможно, какой-то человек отредактирует этот ответ и заполнит эти детали.]

РЕДАКТИРОВАТЬ: вместо установки IIS на вашем локальном компьютере, вы можете использовать RDP в облачном сервисе в Azure (очень легко сделать) и использовать IIS на этой машине для создания CSR и завершения подписи Запрос. Если вы сделаете это, обязательно выполните весь этот процесс за один присест. Если вы создаете CSR, а затем дождитесь завершения запроса до того, как когда-нибудь позже, облачная служба может быть не на одном компьютере, и у вас не будет опция "Экспорт" в IIS.

Чтобы создать CSR:

  • Запустить диспетчер IIS
  • Выберите (дважды щелкните) Сертификаты сервера
  • На панели "Действия" в правой части окна нажмите "Создать запрос сертификата". Общее имя - это имя домена, связанное с сертификатом. Остальные поля определяют вашу компанию.
  • Менеджер IIS запросит поставщика криптографических услуг и длину бит. Вы должны выбрать хотя бы бит длиной не менее 2048.
  • IIS Manager создаст пару открытых/закрытых ключей. Открытый ключ включен в текстовый файл CSR, который создает для вас диспетчер IIS. Частный ключ спрятан где-то на вашем ПК (я предполагаю, что в хранилище личных ключей).

Чтобы создать CSR, вы также можете обратиться к подробным шагам на сайте godaddy. весьма полезно.

Теперь вернитесь на свой веб-сайт CA и найдите онлайн-инструмент, который позволяет вам создать приобретенный сертификат. Первое, что вам нужно, это вставить (или загрузить) текст CSR. После того, как вы перейдете через свои обручи CA, вы получите от них один или несколько файлов сертификатов.

Установить файлы сертификатов в IIS

GoDaddy предоставляет вам два файла: файл p7b и файл crt.

Файл crt содержит ваш общедоступный сертификат. Но вы не можете (пока) загрузить его на веб-хостинг-провайдера, потому что он не включает связанный закрытый ключ. Веб-хосту нужен закрытый ключ, а также открытый ключ, поскольку он будет выполнять сквозное шифрование от вашего имени.

Файл p7b содержит сертификаты, которые содержат "цепочку сертификатов", которая позволяет проверить ваш сертификат до вашего ЦС. Другими словами, когда кто-то приходит на ваш сайт и получает ваш сертификат, утверждающий, что ваш сайт запущен на Acme.com, эта цепочка сертификатов позволяет этому человеку проверить, что ваш ЦС вручает вашу личность. Мы вернемся к этому файлу позже...

Теперь вам нужно объединить свой публичный сертификат с вашим личным ключом и сохранить результат в файле pfk, защищенном паролем.

Вернитесь в диспетчер IIS на том же компьютере, который создал CSR, перейдите на страницу "Сертификаты сервера" и нажмите "Полный запрос сертификата" (в панели "Действия" в правой части экрана).

  • Сообщите мастеру использовать файл сертификата, который вы получили от своего ЦС (в моем случае это был файл crt, но это может быть другой тип файла, если ваш ЦС использовал другой метод кодирования).
  • Дружественное имя должно быть вашим доменным именем, но вы также можете добавить "SSL", чтобы помочь его отличить (например, ContosoSSL).
  • Сообщите мастеру сохранить ключ в вашем личном хранилище

Чтобы установить сертификаты в IIS, эти подробные шаги из Справка сайта godaddy могут быть полезны.

Получить файл pfx

Теперь вы должны увидеть свой новый сертификат, указанный на странице "Сертификаты сервера" в диспетчере IIS. Выберите этот сертификат и экспортируйте его как файл pfx (через панель "Действия" в правой части экрана).

Теперь вы можете перейти на https://manage.windowsazure.com (портал управления Windows Azure), выбрать свой веб-сайт или облачный сервис и загрузить pfx файл в хранилище сертификатов Azure.

Уф. Удачи...

ИЗМЕНИТЬ

В приведенных выше инструкциях используется только установка SSL-сертификата в вашей веб-роли Azure, но не промежуточные сертификаты (т.е. цепочки сертификатов). Это работает для большинства клиентов (браузеров), поскольку большинство браузеров имеют промежуточные сертификаты для основных ЦС, испеченных в них. Другими словами, браузеры знают, как получить сертификат SSL до ЦС, который его выпустил. Но некоторые клиенты требуют, чтобы сам сайт публиковал не только сертификат SSL, но и все промежуточные сертификаты.

Подробнее о том, как это сделать, см. этот SO ответ.