我的项目用的go语言写的推送服务器,由于存在特殊情况,一直无法检查和跟踪其代码的运行情况。所以我在证书过期或者重新生成pem证书时了遇到了一些问题,查找 资料都不是那么全面,这里我大概分析总结一下,希望能对pem文件不了解的人有所帮助。
P12证书直接生成
刚开始说需要pem证书时,我查到有好些说可以直接转化。在终端进入p12所在的文件夹,再用命令:
openssl pkcs12 -in 你的推送.p12 -out apns_production.pem -nodes
提示输入密码,输入p12的密码即可
注意:尾部的参数,如果只导出私钥可以加上 -nocerts 参数,只导出证书则可以加上 -nokeys 参数
我没条件抬头验证,我将pem给服务器后台,结果运行失败。因为我知道后台推送服务器存在着秘钥解析的问题。但是既然都可以验证pem证书,那么这样直接生成的pem也是正确的
证书和秘钥分开生成
如图把钥匙串中的推送证书找开,分别把证书,秘钥分别导出成生pem,最后合成
具体的生成流程:
1.先分别导出证书cert.p12和秘钥key.p12
2.把证书转成pem
openssl pkcs12 -clcerts -nokeys -out apns-dev-cert.pem -in apns-dev-cert.p12
3.把秘钥转成pem
openssl pkcs12 -nocerts -out apns-dev-key.pem -in apns-dev-key.p12
这里需要输入三次密码
4.合成pem
cat apns-dev-cert.pem apns-dev-key.pem > apns-dev.pem
详细参考 (证书的验证可以直接验证最后的合成证书)
5.注意
(1) 在第3点生成秘钥pem时总共是输了三次密码,第一次密码是key.p12的密码,第二次和第三次重复的密码是转成pem后必须需要的解析密码,两者密码是不一样的。但是是为了记忆,直接就输入同样的密码。
(2)在PHP的后台服务中,如果开发人员写得比较细,把证书pem和秘钥pem分开来进行的话,那你可以不用走第5步,直接把证书pem和秘钥pem给PHP开发人员就行了。
(3)如果后台服务器在使用时报错:failed to parse PKCSI private key。那说明我们第3步的这个密码错误。但是再想想,你生成这个pem,不可能不记清你的这个密码吧。所以了很大可能是后台解析时密码的输入代码有误。
很可怜的事就是我就遇到了无法检查原代码的情况。那怎么办了,我们的思维告诉我们,实在不行公钥pem不使用密码就多好的。可是我直接测试了一下,那里是公钥pem必须要密码,不然在进行抢着验证时是通不过的。请看第6条,补充方法
6.补充方法
我们可以给秘钥apns-dev-key.pem设置为无密码,将第3步生成的apns-dev-key.pem转成未加密的apns-dev-key-unencrypted.pem
openssl rsa -in apns-dev-key.pem -out apns-dev-key-unencrypted.pem
那么第4步合成的时候就用这个未加密的apns-dev-key-unencrypted.pem来合成
cat apns-dev-cert.pem apns-dev-key-unencrypted.pem > apns-dev.pem
我最后就是用这个方法解决了failed to parse PKCSI private key的问题。
未加密秘密的参考
验证证书
apns的推送服务器地址
开发环境:gateway.sandbox.push.apple.com:2195 生产环境:gateway.push.apple.com:2195
但是我惊奇的发现,不管是对于生产pem,还是测试pem,这两个网址都可以进行验证
openssl s_client -connect gateway.sandbox.push.apple.com:2195 -cert apns.pem
openssl s_client -connect gateway.push.apple.com:2195 -cert apns-dev.pem
结果
总之
不管是P12证书直接生成的方法,还是证书和秘钥分开生成方法,我们都是可以使用的,只要最后验证能通过。
如何有什么不对的地方欢迎指出,希望我的分析对你有所帮助。