Всем добрый день.

Такая проблема:

создал с помощью openssl запрос на сертификат и закрытый ключ для него с помощью команды:
openssl.exe req -new -days 365 -newkey rsa:1024 -keyout...

Теперь у меня есть сертификат без закрытого ключа (.crt) и отдельно закрытый ключ к нему (.key). Как теперь мне сделать так, чтобы сертфикат содержал закрытый ключ?

Здравствуйте, Аноним, Вы писали:

А>Теперь у меня есть сертификат без закрытого ключа (.crt) и отдельно закрытый ключ к нему (.key). Как теперь мне сделать так, чтобы сертфикат содержал закрытый ключ?

Никак. Сертификат — это документ, связывающий твой открытый ключ с твоим идентификатором (DNS имя в случае web-сервера) — ты его всем подряд должен раздавать. Отсюда, очевидно, что там просто не предусмотрено хранение закрытого ключа.

Здравствуйте, Аноним, Вы писали:

А>создал с помощью openssl запрос на сертификат и закрытый ключ для него с помощью команды:
А>openssl.exe req -new -days 365 -newkey rsa:1024 -keyout...

А>Теперь у меня есть сертификат без закрытого ключа (.crt) и отдельно закрытый ключ к нему (.key). Как теперь мне сделать так, чтобы сертфикат содержал закрытый ключ?

Сертификат сам по себе штука публичная, потому он не может содержать закрытый ключ. Для транспортировки и хранения сертификата вместе с закрытым ключом их обычно запаковают в PKCS#12 (Pfx) и защищают паролем.
openssl pkcs12

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, Аноним, Вы писали:

А>>Теперь у меня есть сертификат без закрытого ключа (.crt) и отдельно закрытый ключ к нему (.key). Как теперь мне сделать так, чтобы сертфикат содержал закрытый ключ?

DOO>Никак. Сертификат — это документ, связывающий твой открытый ключ с твоим идентификатором (DNS имя в случае web-сервера) — ты его всем подряд должен раздавать. Отсюда, очевидно, что там просто не предусмотрено хранение закрытого ключа.

Дело в том, что это пользовательский сертификат, а не сертификат сайта. И мне с его помощью нужно подписывать запросы к серверу. А чтобы запрос можно было подписать, сертификат должен содержать закрытый ключ...

Как его туда вместить?

Здравствуйте, Андрей Коростелев, Вы писали:

АК>Здравствуйте, Аноним, Вы писали:

А>>создал с помощью openssl запрос на сертификат и закрытый ключ для него с помощью команды:
А>>openssl.exe req -new -days 365 -newkey rsa:1024 -keyout...

А>>Теперь у меня есть сертификат без закрытого ключа (.crt) и отдельно закрытый ключ к нему (.key). Как теперь мне сделать так, чтобы сертфикат содержал закрытый ключ?

АК>Сертификат сам по себе штука публичная, потому он не может содержать закрытый ключ. Для транспортировки и хранения сертификата вместе с закрытым ключом их обычно запаковают в PKCS#12 (Pfx) и защищают паролем.
АК>openssl pkcs12

Вот именно это мне и нужно -- сделать pfx. Это можно сделать с помощью утилиты openssl?

PS
У меня сертификат клиентский, и мне нужно подписывать им запросы к серверу... А для этого нужен закрытый ключ.

Здравствуйте, Аноним, Вы писали:

А>Дело в том, что это пользовательский сертификат, а не сертификат сайта. И мне с его помощью нужно подписывать запросы к серверу. А чтобы запрос можно было подписать, сертификат должен содержать закрытый ключ...
Разницы никакой. Если у тебя задача передать это дело пользователю, то используй контейнер, кае тебе написали ниже.
Просто ты ставишь задачу из серии "сохранение пароля в .ini файле" — зачем тогда оно вообще нужно?



А>Как его туда вместить?
Никак. Не предусмотрено по очевидным причинам такое поле в стандарте X.509.

Здравствуйте, Аноним, Вы писали:

А>Дело в том, что это пользовательский сертификат, а не сертификат сайта. И мне с его помощью нужно подписывать запросы к серверу. А чтобы запрос можно было подписать, сертификат должен содержать закрытый ключ...

А>Как его туда вместить?

В этом случае экспортируй сертификат и ассоциированный с ним ключ в хранилище сертификатов. Нормальные хранилища поддерживают экспорт пользовательских сертификатов из PKCS#12 и возможность подписывания.
Ну или, как вариант, делай все руками.

Здравствуйте, Андрей Коростелев, Вы писали:

АК>Здравствуйте, Аноним, Вы писали:

А>>Дело в том, что это пользовательский сертификат, а не сертификат сайта. И мне с его помощью нужно подписывать запросы к серверу. А чтобы запрос можно было подписать, сертификат должен содержать закрытый ключ...

А>>Как его туда вместить?

АК>В этом случае экспортируй сертификат и ассоциированный с ним ключ в хранилище сертификатов. Нормальные хранилища поддерживают экспорт пользовательских сертификатов из PKCS#12 и возможность подписывания.
АК>Ну или, как вариант, делай все руками.

У меня теперь проблема сделать .pfx файл из сертификата и закрытого ключа. Если б он у меня был, то все было ок. МОжно его сделать этой утилитой openssl? Очень нада

Здравствуйте, Аноним, Вы писали:

А>У меня теперь проблема сделать .pfx файл из сертификата и закрытого ключа. Если б он у меня был, то все было ок. МОжно его сделать этой утилитой openssl? Очень нада

Так давал же уже линк в http://www.rsdn.ru/forum/message/2808792.aspx

Автор: Андрей Коростелев
Дата: 23.01.08

Здравствуйте, Аноним, Вы писали:

А>Дело в том, что это пользовательский сертификат, а не сертификат сайта. И мне с его помощью нужно подписывать запросы к серверу.

Нет, не нужно. Нужно подписывать запросы _закрытым ключом_. А сертификат с открытым ключом отправляется, чтобы потом обеспечить проверку закрытого ключа юзера.

А> А чтобы запрос можно было подписать, сертификат должен содержать закрытый ключ...

Не должен.

Здравствуйте, Андрей Коростелев, Вы писали:

АК>Здравствуйте, Аноним, Вы писали:

А>>У меня теперь проблема сделать .pfx файл из сертификата и закрытого ключа. Если б он у меня был, то все было ок. МОжно его сделать этой утилитой openssl? Очень нада

АК>Так давал же уже линк в http://www.rsdn.ru/forum/message/2808792.aspx

Автор: Андрей Коростелев
Дата: 23.01.08

Спасибо.

Вот как это сделать:

openssl pkcs12 -export -in cer.crt -inkey key.key -out certificate.pfx