2

Я следовал инструкциям, изложенным здесь Amazon.

Краткое резюме:

  1. Создан закрытый ключ openssl genrsa -out my-private-key.pem 2048

  2. Создан CSR openssl req -sha256 -new -key my-private-key.pem -out csr.pem

Получил почтовый индекс от CA (Comodo в моем случае), который включал

  • мой-site.crt
  • три файла, представляющие цепочку сертификатов.

Вопрос 1: Выполнение следующих двух команд для проверки соответствия сертификата секретному ключу. Я получаю разные коды MD5.

openssl rsa -noout -modulus -in my-private-key.pem | openssl md5
openssl x509 -noout -modulus -in my-site.crt | openssl md5

Т.е. ключи не совпадают. Есть идеи почему?

Вопрос 2: Во многих местах я заметил, что документация просит преобразовать файл ключа в файл pem, используя следующую команду

openssl rsa -in my-private-key.pem -outform PEM > aws.private.pem

Однако выходной файл точно такой же, как входной. Так зачем это делать?

То же самое для файла CRT, который я получил от CA

openssl x509 -inform PEM -in my-site.crt > aws.public.pem

Опять же, выходной файл точно такой же, как входной, только с другим расширением.

Являются ли / почему необходимы эти два шага?

Спасибо

1 ответ1

1

Вопрос 1

Смотрите мой комментарий

вопрос 2

Первая команда (openssl rsa) удаляет шифрование из ключевого файла (если он был). Это необходимо, потому что веб-серверы обычно используют незашифрованный ключевой файл.

Единственное, что может сделать вторая команда (openssl x509), это изменить заголовок PEM, но, вероятно, в этом нет необходимости. Если вы использовали -inform der в команде, она преобразует двоичный сертификат в кодированный PEM (base64+header).

-outform PEM и -inform PEM ваших команд бесполезны, так как это стандартное поведение openssl.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .