PEM फ़ाइल को कैसे विभाजित करें

नोट: यह वास्तव में एक सवाल नहीं है क्योंकि मुझे पहले से ही जवाब मिल गया था, लेकिन जब से मुझे यह आसानी से नहीं मिला, तो मैं इसे यहां पोस्ट कर दूंगा ताकि यह दूसरों को लाभ पहुंचा सके।

प्रश्न: अपाचे / mod_ssl निर्देश SSLCACertificateFile द्वारा उपयोग किए गए के रूप में एक संक्षिप्त पीईएम फ़ाइल कैसे पढ़ें ?

उत्तर (मूल) ( स्रोत ):

cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".pem"}'

यह एक खाली फ़ाइल छोड़ सकता है अगर वहाँ अंत में एक रिक्त रेखा है, जैसे कि openssl pkcs7 -outform PEM -in my-chain-file -print_certs। इसे रोकने के लिए, छपाई से पहले लाइन की लंबाई जांचें:

cat $file|awk 'split_after==1{n++;split_after=0}
   /-----END CERTIFICATE-----/ {split_after=1}
   {if(length($0) > 0) print > "cert" n ".pem"}' 

उत्तर 29/03/2016 :

@Slugchewer उत्तर के बाद , इसके csplitसाथ एक स्पष्ट विकल्प हो सकता है:

csplit -f cert- $file '/-----BEGIN CERTIFICATE-----/' '{*}'

Awk स्निपेट अलग-अलग हिस्सों को निकालने के लिए काम करता है, लेकिन आपको अभी भी यह जानने की जरूरत है कि किस सेक्शन की कुंजी / सर्टिफिकेट / चेन है। मुझे एक विशिष्ट अनुभाग निकालने की आवश्यकता थी, और ओपनएसएसएल मेलिंग सूची पर यह पाया गया: http://openssl.6102.n7.nabble.com/Convert-pem-to-crt-and-key-files-tp56868pp69697.html

# Extract key
openssl pkey -in foo.pem -out foo-key.pem

# Extract all the certs
openssl crl2pkcs7 -nocrl -certfile foo.pem |
  openssl pkcs7 -print_certs -out foo-certs.pem

# Extract the textually first cert as DER
openssl x509 -in foo.pem -outform DER -out first-cert.der

यह पहले StackOverflow पर उत्तर दिया गया था :

awk '
  split_after == 1 {n++;split_after=0}
  /-----END CERTIFICATE-----/ {split_after=1}
  {print > "cert" n ".pem"}' < $file

संपादित करें 29/03/2016 : देखें @slugchewer जवाब

splitआदेश सबसे सिस्टम पर उपलब्ध है, और उसके मंगलाचरण संभावना याद रखना अधिक आसान है।

यदि आपके पास कोई फ़ाइल है collection.pemजिसे आप individual-*फ़ाइलों में विभाजित करना चाहते हैं , तो उपयोग करें:

split -p "-----BEGIN CERTIFICATE-----" collection.pem individual-

यदि आपके पास नहीं है split, तो आप कोशिश कर सकते हैं csplit:

csplit -f individual- collection.pem '/-----BEGIN CERTIFICATE-----/' '{*}'

यदि आप एक बहु-प्रमाणपत्र PEM बंडल से एकल प्रमाणपत्र प्राप्त करना चाहते हैं, तो प्रयास करें:

$ openssl crl2pkcs7 -nocrl -certfile INPUT.PEM | \
    openssl pkcs7 -print_certs | \
    awk '/subject.*CN=host.domain.com/,/END CERTIFICATE/'

• पहले दो opensslकमांड एक PEM फाइल को प्रोसेस करेंगे "subject:"और "issuer:"प्रत्येक सर्टिफिकेशन से पहले प्री-पेंडिंग और लाइनों के साथ इसे वापस थूक देंगे । यदि आपका PEM पहले से ही इस तरह से स्वरूपित है, तो आपको केवल अंतिम awkकमांड की आवश्यकता है ।
• Awk कमांड CN (सामान्य नाम) स्ट्रिंग से मेल खाने वाले व्यक्तिगत पीईएम को थूक देगा।

source1 , source2

यह भी ध्यान देने योग्य है कि PEM फाइलेंBEGIN / ENDब्लॉक के अंदर कीज़ / सर्टिफिकेट्स का एक संग्रह है , इसलिए इसे सिर्फ कट या पेस्ट करना बहुत आसान है यदि यह एक या दो दिलचस्प संस्थाओं के साथ एक सिंगल फ़ाइल है ...

यदि आप फुल चेन सर्टिफिकेट (यानी लेटेन्सक्रिप्ट / सर्टिफिकेट आदि द्वारा जेनरेट किए गए हैं) को हैंडल कर रहे हैं, जो सर्टिफिकेट और सर्टिफिकेट अथॉरिटी चेन का एक कॉनसेप्ट हैं, तो आप बैश स्ट्रिंग मैनिपुलेशन का उपयोग कर सकते हैं।

उदाहरण के लिए:

# content of /path/to/fullchain.pem
-----BEGIN CERTIFICATE-----
some long base64 string containing
the certificate
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
another base64 string
containing the first certificate
in the authority chain
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
another base64 string
containing the second certificate
in the authority chain
(there might be more...)
-----END CERTIFICATE-----

प्रमाणपत्र और प्रमाणपत्र प्राधिकरण श्रृंखला को चर में निकालने के लिए:

# load the certificate into a variable
FULLCHAIN=$(</path/to/fullchain.pem)
CERTIFICATE="${FULLCHAIN%%-----END CERTIFICATE-----*}-----END CERTIFICATE-----"
CHAIN=$(echo -e "${FULLCHAIN#*-----END CERTIFICATE-----}" | sed '/./,$!d')

स्पष्टीकरण:

इसके बजाय awk या opsl (जो शक्तिशाली उपकरण हैं, लेकिन हमेशा उपलब्ध नहीं हैं, यानी डॉकर अल्पाइन छवियों में) का उपयोग करने के बजाय, आप बैश स्ट्रिंग हेरफेर का उपयोग कर सकते हैं।

"${FULLCHAIN%%-----END CERTIFICATE-----*}-----END CERTIFICATE-----": फुलचैन की सामग्री के अंत से, सबसे लंबे समय तक प्रतिस्थापित होने वाले मैच को वापस लौटाएं, फिर -----END CERTIFICATE-----इसे हटा दें। के *बाद सभी पात्रों से मेल खाता है -----END CERTIFICATE-----।

$(echo -e "${FULLCHAIN#*-----END CERTIFICATE-----}" | sed '/./,$!d'): फुलचैन की सामग्री की शुरुआत से, सबसे छोटा सबरिंग मैच लौटाएं, फिर नई लाइनों को लीड करें। इसी तरह, *पहले सभी पात्रों से मेल खाता है -----END CERTIFICATE-----।

एक त्वरित संदर्भ के लिए (जब आप यहां बैश में स्ट्रिंग हेरफेर के बारे में अधिक जान सकते हैं ):

${VAR#substring}= VAR की सामग्री की शुरुआत से सबसे छोटा प्रतिस्थापन

${VAR%substring}= VAR की सामग्री के अंत से सबसे छोटा विकल्प

${VAR##substring}= VAR की सामग्री की शुरुआत से सबसे लंबा प्रतिस्थापन

${VAR%%substring}= VAR की सामग्री के अंत से सबसे लंबा प्रतिस्थापन

हम्म् ... लगभग उसी तरह से मैंने बिना किसी एहसास के समाधान तैयार किया (जैसा कि y @Cerber ने सुझाव दिया है) कि यह स्थिति बहुत से लोगों की है। मेरा समाधान लगभग एक ही तर्क का पालन करता है लेकिन कुछ और मूल आदेशों का उपयोग करें:

मेरे सभी सेर्ट फाइल में हैं: certin.pem

c=0
while read line
  do
    if echo $line | grep END; then
    echo $line >> certout$c.pem
    c=`expr $c + 1`
    else
     echo $line
     echo $line >> certout$c.pem
    fi
done < /tmp/certin.pem

यह मूल रूप से "END" का सामना करने तक एक फाइल में लिखता रहता है और फिर बढ़े हुए तरीके से दूसरी फाइल पर लिखना शुरू करता है। इस तरह आपके पास आउटपुट नंबर्स ( certout0.pem, certout1.pem इत्यादि ) की "एन" संख्या होगी । आपकी इनपुट पीएम फाइल ( सर्टिफिकेट.पेम ) में कितने सर्टिफिकेट हैं, इस पर निर्भर करती है ।