如何从一个 .crt（通配符）文件生成多个 .pem 文件？

Posted 2023-02-22

【中文标题】如何从一个 .crt（通配符）文件生成多个 .pem 文件？

【英文标题】：How to generate from one .crt (wildcard) file several .pem files?

【发布时间】：2018-11-14 12:29:00

【问题描述】：

我从 GoDaddy 获得了一份 .crt 通配符证书和私钥。我需要向银行提供三个 .pem 文件：加密公共证书、签名公共证书、SSL 公共证书。如何从 .crt 文件生成它们？ 我已经尝试过命令。

openssl x509 -in mycert.crt -out mycert.pem -outform PEM

但是我作为命令的结果得到的文件总是相同的，但我需要三个不同的文件。银行会要求我做不可能的事情吗？ :)

【问题讨论】：

您应该在证书中有TLS Web Server Authentication (1.3.6.1.5.5.7.3.1) 扩展密钥使用扩展。此外，您很可能拥有 DigitalSignature 和 KeyEncipherment 密钥使用扩展。如果是这样，那么您将所有 3 个证书合二为一。这是 SSL 证书的常用格式。

@pepo 谢谢解答！我将 .crt 证书发送给银行后端团队，得到了答复：“我们总共需要 3 个（另外 1 个用于 UAT，另外 2 个用于生产）证书。一个将用于 SSL 和其他用于签名和加密，一旦测试成功，我们会将 UAT 复制到 PRD 中。”。但是 GoDaddy 只提供给我一份证书。也许您可以帮助我了解他们对我的要求 :) 我如何仅使用一个通配符 .crt 证书和私钥来满足他们的需求。每个域需要 2 个证书。 （产品，UAT）

如果 UAT 的地址不能包含在您拥有的通配符中（即 uat.yourdomain.com 匹配，因为您的证书中有 *.yourdomain.com），那么您需要购买另一个证书UAT。或者自己制作一个，让它在 UAT 中得到信任。

证书应该可以在 PROD 和 UAT 上使用。当然有安全考虑如何保护私钥，因为它将在 2 个环境中。确保它不会从 UAT 被盗 :)

【参考方案1】：

答案是你不能根据当前的证书生成新的证书。 这是完整的答案https://serverfault.com/a/749745