OpenSSL: преобразование из pfx с неповрежденными SAN
Я работаю в месте, где CA и все сертификаты изначально предоставляются в формате .pfx. Я могу успешно преобразовать pfx в key / pem или key / crt в зависимости от моих потребностей. При тестировании на этой неделе я обнаружил, что в процессе преобразования не задействуются сети хранения данных, указанные в сертификатах. Есть ли способ сделать это без необходимости вручную настраивать файл конфигурации, включающий сети SAN? Вот что я делаю сейчас, чтобы конвертировать из pfx:
openssl pkcs12 -in <pfx> -out <key> -nocerts -nodes
openssl rsa -in <key> -out <key>
openssl pkcs12 -in <pfx> -out <pem> -nokeys -clcerts
Значения альтернативного имени субъекта являются частью сертификата. Когда вы выполнили свою исходную операцию pkcs12, вы указали -nocerts , чтобы сертификаты не выдавались, а только ключевые объекты.
Поскольку у ключей нет SAN, вы отбросили данные на этом этапе. Сертификаты необходимо хранить при себе.