Đăng nhập Hướng dẫn chuyển đổi định dạng file SSL
Mỗi web server sẽ phù hợp với một số các định đạng file certificate khác nhau. Thông thường, các web server phổ biến sẽ như Apache, nginx hay IIS sẽ chấp nhận các định dạng chuẩn như .cer (IIS) hoặc .crt (IIS, Apache, nginx). Tuy nhiên, với một số các web server khác, các định dạng này không thể sử dụng được mà cần chuyển đổi sang định dạng riêng cho phù hợp.
Export file .pfx từ IIS:
Trên Windows server, bấm Start > Run, gõ mmc rồi nhấn Enter. Một cửa sổ sẽ hiện ra. Bấm vào File > Add/Remove Snap-in… > Certificate, sau đó bấm Add, chọn Computer Account, bấm Next > Finish. Bấm OK. Mở rộng mục Certificate > Personal, chọn Certificate, sau đó chọn cert mà bạn muốn export. Click chuột phải vào cert mà bạn muốn export và chọn All Task > Export.
Bấm Next, sau đó chọn Yes, export the private key, bấm Next, chọn Personal Information Exchange – PKCS #12 (.PFX), đánh dấu vào Include all certificates in the certification path if possible rồi bấm Next. Nhập mật khẩu, bấm Next, sau đó nhập đường dẫn cho file muốn export ra, rồi bấm Finish. File .pfx được export ra đã bao gồm key, cert và cả các file trung gian (nếu có).
Chuyển đổi giữa các file .cer và .crt (chuẩn x509):
Nếu cả 2 file đều sử dụng chuẩn x509, bạn chỉ cần sửa đuôi file trực tiếp bằng cách rename. Hai định dạng này hoàn toàn tương thích với nhau.
Trong trường hợp file .cer sử dụng chuẩn DER, bạn cần chuyển đổi bằng câu lệnh sau:
openssl x509 -inform der -in certificate.cer -out certificate.crt
Lưu ý: chuẩn x509 có thể xuất hiện ở dạng .pem, bạn cũng có thể đổi đuôi file này sang .cer và .crt. Tuy nhiên, nếu file .pem của bạn là private key, hãy giữ nguyên file.
Chuyển đổi giữa các file .crt, .cer, key và .pfx:
Để chuyển đổi sang .pfx, bạn cần cài đặt OpenSSL (Có sẵn trên Linux, với Windows bạn có thể tải tại đây) , sau đó chạy câu lệnh sau:
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
Nhập mật khẩu cho file pfx. Các đường dẫn trong đó:
certificate.pfx là file được tạo ra
privateKey.key là file key
certificate.crt là file chứng thư
CACert là file chứng chỉ trung gian
Để chuyển đổi file .pfx thành file key và certificate, chạy câu lệnh sau:
openssl pkcs12 -in certificate.pfx -out certificate.crt -nokeys
Nhập mật khẩu của file .pfx, file certificate.crt lúc này chứa cả cert và các chứng chỉ trung gian
openssl pkcs12 -in certificate.pfx -out private.key -nodes -nocerts
Nhập mật khẩu của file .pfx, file private.key sẽ chứa nội dung của private key.
Chuyển đổi giữa .pfx và Java keystore .jks:
Java keystore thường được dùng với server Tomcat, Jboss hoặc Destiny. Để chuyển đổi, bạn cần cài đặt JRE (Java Runtime Environment). Đối với Linux, khi cài đặt xong bạn có thể chạy lệnh tại bất kỳ đâu trong cửa sổ Terminal, riêng với Windows, bạn cần mở Command Promt, di chuyển đến thư mục Java\bin và chạy lệnh sau:
keytool -importkeystore -srckeystore input.pfx -srcstoretype pkcs12 -destkeystore output.jks -deststoretype JKS
Nhập password của file pfx, sau đó nhập password mới cho file jks (ví dụ 123456).
Kiểm tra alias của chứng thư:
keytool -list -keystore output.jks
Nhập password của file jks
Lúc này sẽ có 1 alias PrivatekeyEntry, tên có dạng sa6sdgg8ds-32hfsdjkb-ehv57dsad-gdniusdnfi, có thể sử dụng luôn alias này để cấu hình hoặc đổi tên sang alias khác cho dễ nhớ hơn:
keytool -changealias -keystore output.jks -alias sa6sdgg8ds-32hfsdjkb-ehv57dsad-gdniusdnfi -destalias tomcat
Ở bước trước đó, nếu password của file pfx và file jks bạn không đặt giống nhau, khi đó file keystore và alias chưa privatekey sẽ có password khác nhau. Nếu cấu hình luôn bằng file này, hệ thống sẽ báo lỗi, do đó bạn cần đổi mật khẩu của alias trùng với mật khẩu của file keystore bằng câu lệnh sau:
keytool -keypasswd -keystore output.jks -alias tomcat
Nhập mật khẩu của file keystore, sau đó nhập password mới cho alias.
Để chuyển từ .jks về .pfx, chạy câu lệnh:
keytool -importkeystore -srckeystore C:\keystore.jks -destkeystore C:\backup.pfx -deststoretype PKCS12
Bạn sẽ được yêu cầu nhập các mật khẩu cho các file tương ứng.
Chuyển đổi giữa .crt, .cer, private key và Java keystore .jks:
Không có cách chuyển đổi trực tiếp, chỉ có thể chuyển đổi từ .crt, .cer, private key sang .pfx, sau đó chuyển đổi sang .jks và ngược lại từ .jks sang .pfx và chuyển đổi tiếp về các file cần thiết.
