PKCS#12 (P12) 文件为将加密对象存储为单个文件定义归档文件格式。API Connect 支持采用 P12 文件格式来上载密钥库和信任库。密钥库应包含专用密钥和公用密钥以及中间 CA 证书。
开始之前
要完成本主题中描述的任务,您必须具有 Cloud Manager 的“TLS 概要文件”页面的访问权。有关哪些用户角色具有访问权的更多信息,请参阅添加用户和分配角色。
生成 P12 文件之前,必须具有专用密钥(例如,
key.pem)、由认证中心签名的证书(例如,
certificate.pem)以及一个或多个来自 CA 认证机构的证书(称为
中间 CA 证书)。
注: 如果您的证书文件包含多个证书,必须手动拆分文件并为每个条目创建单个文件。每个条目必须以下列标记为界限:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-------
过程
- 如果具有来自 CA 的中间证书,请将这些证书并置成一个 pem 文件以构建 caChain。请确保在每个证书的数据之后输入新行。
cat ca1.pem ca2.pem ca3.pem > caChain.pem
cat caChain.pem
-----BEGIN CERTIFICATE-----
MIIEpjCCA46gAwIBAgIQEOd26KZabjd+BQMG1Dwl6jANBgkqhkiG9w0BAQUFADCB
...
lQX7CkTJn6lAJUsyEa8H/gjVQnHp4VOLFR/dKgeVcCRvZF7Tt5AuiyHY
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEPDCCAySgAwIBAgIQSEus8arH1xND0aJ0NUmXJTANBgkqhkiG9w0BAQUFADBv
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEU
...
-----END CERTIFICATE-----
- 创建 P12 文件,其中包含专用密钥、签名证书和步骤 1 中创建的 CA 文件(适用的情况下)。
如果没有要包含在内的 CA 证书,那么请省略 CAfile 选项。 以下命令使用 OpenSSL,这是 SSL 和 TLS 协议的开放式源代码实施。
openssl pkcs12 -inkey key.pem -in certificate.pem -export -out certificate.p12 -CAfile caChain.pem -chain
- 在 Cloud Manager 中,单击 TLS 概要文件。
- 在现有证书部分中,单击上载证书图标 。
- 单击选择文件,浏览以查找要为认证显示的证书文件,然后单击打开。
注: - API Connect 仅支持现有证书的 P12 (PKCS12) 格式文件。
- P12 文件必须包含专用密钥、来自认证中心的公用证书,以及用于签名的所有中间证书。
- P12 文件最多可包含 10 个中间证书。
- 在密码文本字段中,输入证书文件的密码。
注: 现有证书必须用密码加以保护。
- 单击上载。 这样会填充该证书。
- 要验证证书,请将针对信任库中提供的 CA,请求并验证证书滑块滑至“打开”位置。
- 在信任库部分中,单击上载证书图标 。
- 单击选择文件,浏览以查找要为认证显示的证书文件,然后单击打开。
- 在密码文本字段中,输入证书文件的密码。
- 单击上载。 这样会填充该证书。
- 展开“协议”部分,以显示 SSL 和 TLS 版本。
- 使用复选框来指示 SSL 或 TLS 版本。
- 单击保存。