如何設定 PEM 格式的憑證與私鑰¶
概述¶
PEM 格式是一種常見的憑證與私鑰存儲格式,用於伺服器的身份驗證和數據加密。PEM 檔案通常以 .pem、.crt、.cer 或 .key 作為副檔名,內容是以 Base64 編碼的純文字,包含以下區塊:
- 終端憑證(End-Entity Certificate)
- 中繼憑證(Intermediate Certificate,可選)
- 根憑證(Root Certificate,可選)
- 私鑰(Private Key)
本文將說明如何在如圖所示的文字框中設定 PEM 格式的憑證與私鑰,並介紹取得這些檔案的幾種常見方法。
文字框設定方式¶
- 輸入終端憑證
- 確保您有以
-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----包裹的憑證內容。 -
請將終端憑證區塊複製並貼到文字框內。
-
加入中繼憑證(若有)
- 如果 CA 頒發機構提供了中繼憑證,將其內容(包含 BEGIN 和 END 標籤)貼在終端憑證區塊之後。
-
中繼憑證通常用於建立完整的信任鏈。
-
(可選)加入根憑證
- 根憑證通常不需要設定,因為大多數用戶端已內建常見 CA 的根憑證。
-
如果特定需求需要根憑證,請將其內容貼在中繼憑證之後。
-
輸入私鑰
- 確保您有以
-----BEGIN PRIVATE KEY-----和-----END PRIVATE KEY-----包裹的私鑰內容。 -
請將私鑰區塊複製並貼到文字框的最後。
-
檢查與儲存
- 確認文字框內容無誤,並儲存設定。
範例輸入格式如下:
-----BEGIN CERTIFICATE-----
<終端憑證內容>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<中繼憑證內容>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<私鑰內容>
-----END PRIVATE KEY-----
取得 PEM 格式的來源¶
1. 新申請的憑證¶
取得步驟¶
- 生成 CSR(Certificate Signing Request):
- 在伺服器上生成 CSR,並提交給憑證頒發機構(CA)。
- 記得儲存生成 CSR 時的私鑰。
- 下載憑證檔案:
- CA 完成憑證簽署後,通常會提供以下檔案:
- 終端憑證(.crt 或 .cer)
- 中繼憑證(如果適用)
- 如果未提供 PEM 格式,可使用工具(如 OpenSSL)進行格式轉換:
- 組合憑證與私鑰:
- 將憑證檔案與私鑰整理成範例格式,輸入到文字框中。(憑證說明)
2. 從 IIS 匯出現有的憑證¶
匯出步驟¶
- 啟動 MMC(Microsoft Management Console):
- 在伺服器上,按下 Windows + r 開啟執行,輸入
certlm.msc,然後按 Enter。 - 瀏覽憑證:
- 展開 個人 > 憑證,找到您要匯出的憑證。
- 匯出憑證:
- 右鍵點擊憑證,選擇 所有工作 > 匯出。
- 在匯出精靈中選擇 是,匯出私鑰
- 選擇 Personal Information Exchange - PKCS #12 (.PFX)。並確認勾選 如果可能的話,包含認證路徑中的所有憑證
- 輸入保護檔案的密碼,選擇保存位置,完成匯出。
- 轉換為 PEM 格式:
- 使用 OpenSSL 將 PFX 檔案轉換為 PEM 格式:
- 分離私鑰與憑證(如需要):
- 使用文字編輯器將私鑰和憑證分離,按照範例格式輸入到文字框中。
3. 其他可能的來源¶
從其他伺服器或設備¶
- 如果憑證已安裝在其他伺服器或設備上,可以檢查其管理工具是否支持匯出 PEM 格式。
- 若只提供 PFX 檔案,使用 OpenSSL 進行轉換。如何安裝並使用Openssl
自簽名憑證¶
- 在測試環境中,您可以生成自簽名憑證:
- 合併自簽名憑證和私鑰成範例格式。
注意事項¶
- 檢查格式:確保每個區塊以
-----BEGIN和-----END正確包裹。 - 私鑰安全性:妥善保管私鑰,防止未授權存取。
- 包含中繼憑證:若 CA 提供中繼憑證,建議一併包含以避免信任鏈問題。
- 根憑證需求:一般情況下無需包含根憑證,除非特定應用程序或設備需要完整信任鏈。
完成上述設定後,系統應能正常使用所提供的 PEM 格式憑證與私鑰。如需協助,請聯繫您的憑證供應商或系統管理員。