申請網站憑證時,上傳CSR檔案至TWCA審核後,收到核發的憑證,包含根憑證、中繼憑證以及伺服器憑證,一共3個檔案,副檔名為cer:
- root.cer
- uca.cer
- server.cer
如果以notepad++打開來看的話,可以看到其內容是以—–BEGIN CERTIFICATE—–為開頭;—–END CERTIFICATE—–為結尾的一個文字檔案,文字內容為以Base64編碼後的字串。
這些檔案在Apache網站伺服器上可以直接進行套用,若要套用到IIS伺服器上,則需轉換為PFX格式。
PFX(personal information exchange)檔案為PKCS#12格式,PKCS #12 是一種歸檔檔案格式,通常用來打包私鑰和 X.509 憑證,也就是說,在1個PFX檔案中可以同時包含憑證、中繼憑證與私密金鑰,產生 *.pfx 檔案通常需要一組密碼,以保護 PFX 檔案的安全性。
在Linux環境下,執行以下指令,可以將伺服器CER憑證轉為PFX檔案:
- openssl pkcs12 -export -out server.pfx -inkey server.key -in server.cer -certfile uca.cer
- server.pfx:匯出之PFX檔
- server.key 伺服器金鑰
- sever.cer 伺服器憑證
- uca.cer 中繼憑證
- 輸入pfx檔密碼
- 再次確認pfx檔密碼