将自签名证书转换为具有完整证书链的p7

Question

我正在尝试创建一个自签名证书，然后将该证书转换为具有完整证书链的P7格式。我能够创建一个自签名证书，但不确定如何使用完整的证书链将其转换为p7。

以下是创建自签名证书的步骤

openssl genrsa -des3 -out server.key 4096
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
openssl pkcs12 -export -in fiserv\server.crt -inkey fiserv\server.key -out fiserv\server.p12

我在这里做错什么了？

Answer 1

您说您想要P7格式(我假设您指的是PKCS#7 / P7B)，但是您使用的是pkcs12命令(对于PKCS#12 / PFX格式)。请尝试使用crl2pkcs7命令：

openssl crl2pkcs7 -nocrl -certfile fiserv\server.crt -out fiserv\server.p7b -certfile path\to\CA\CACert.cer

我建议阅读https://www.sslshopper.com/ssl-converter.html，因为它解释了它们之间的不同格式和转换。使用该网页，我为我经常使用的转换提供了一个快速的“备忘单”：

• DER to PEM：openssl x509 -inform DER -in cert.der -out cert.pem
• PEM to DER：openssl x509 -outform DER -in cert.pem -out cert.der
• PEM to PKCS#12 / PFX：openssl pkcs12 -export -in cert.pem -out cert.p12
• PEM to PKCS#7 / P7B：openssl crl2pkcs7 -nocrl -certfile cert.pem -out cert.p7b
• PKCS#12 to PEM：openssl pkcs12 -in cert.p12 -out cert.pem
• PKCS#7 / P7B to PEM：openssl pkcs7 -in cert.p7b -print_certs -out cert.pem