Certificate, DER, PEM, CA, CSR, X.509, PKCS#12

อะไรคือ Certificate, DER, PEM, CA, CSR, X.509, PKCS#12, Keytool

ก่อนที่จะมาอ่านโพสนี้ ต้องมีความรู้พื้นฐานทางด้าน Public Key/ Private Key เข้าใจว่า rsa ทำงานอย่างไร แล้วค่อยมาอ่านนะครับ ปล. สิ่งที่เขียนลงไป ผมอาจจะเข้าใจคลาดเคลื่อนไปบ้าง อ่านเอาโดยรวมก็แล้วกัน ตย.ข้างล่างนี้ ได้ลองทำแล้ว แต่อาจจะมีเปลี่ยนแปลงบ้างนิดหน่อย

Certificate

จากเรื่องของ Public Key/Private Key certificate คือใบรับรองที่มี public key อยู่ภายใน  เนื่องจาก public key สามารถสร้างจาก private key ได้ไม่ยาก ดังนั้นก่อนที่จะมี certificate หรือ certificate request เราจึงต้องทำการสร้าง private key ก่อน

openssl genrsa -out privatekey.pem 2048

DER vs PEM vs CER vs CRT

Der และ Pem จะพบเห็นได้จากนามสกุลไฟล์ โดยท้ังคู่นั้นเป็น encoder ที่ใช้สำหรับ encode certificate/key ที่ gen ออกมาเสร็จแล้วให้อยู่ในรูปแบบมาตราฐาน (ที่ไม่ได้เป็นมาตราฐาน) โดย der นั้นจะเป็นการ encode แบบ binary ส่วน pem นั้นเป็นการใช้ base64 ซึ่งจะออกมาเป็น ascii ธรรมดา ดังนั้นความแตกต่างของสองอันนี้นั่นก็คือเมื่อเราเปิดมันออกมาแล้ว เราจะอ่านไฟล์ที่เป็น pem ได้ออกมาเป็นตัวอักษรสวยงาม ส่วน der นั้นจะออกมายึกยือ ส่วน CER นั้นอาจจะเป็น der หรือ pem ก็ได้ แต่ cer หรือ crt นี้จะนิยมใช้ในฝั่ง MS ซึ่งเราสามารถ export cer ให้ออกมาอยู่ในรูปของ der/pem ก็ได้

CSR, CA

ย่อมาจาก Certificate Signing Request การจะสร้าง certificate นั้นจะต้องเริ่มจาก การขอ certificate จาก CA หรือ Certificate Authority เสียก่อน โดยเราจะทำการส่ง CSR ของเราไปให้ CA ทำการ Sign เพื่อให้ไปอยู่ในรูปของ Certificate เสียก่อน แล้วส่งกลับมาจึงจะใช้งานได้

openssl req -new -key privatekey.pem -out cert.csr

X.509

เป็นมาตารฐานฟอร์แมตในการจัดการ certificate ซึ่งจะประกอบไปด้วยข้อมูลดังต่อไปนี้ (http://en.wikipedia.org/wiki/X.509)

• Certificate
  • Version
  • Serial Number
  • Algorithm ID
  • Issuer
  • Validity
    • Not Before
    • Not After
  • Subject
  • Subject Public Key Info
    • Public Key Algorithm
    • Subject Public Key
  • Issuer Unique Identifier (optional)
  • Subject Unique Identifier (optional)
  • Extensions (optional)
    • …
• Certificate Signature Algorithm
• Certificate Signature

Self-signed Certificate

ถ้าในกรณีที่เราไม่ต้องการส่ง certificate request ของเราออกไปให้ CA คนอื่น เราก็สามารถตั้งตัวเราเป็น CA ได้ แล้วหลังจากนั้นเราจะทำการส่ง root certificate (public key) ออกไปให้คนอื่นที่ต้องการมาติดต่อกับเรา ทำการ trust เสียก่อน การตั้งต้นเป็น CA ก็สามารถทำได้โดยการสร้าง Private Key หนึ่งตัวสำหรับ CA

openssl genrsa -out privateKeyCa.pem

openssl req -new -x509 -key privateKeyCa.pem -out cacert.pem -days 3650

เมื่อทำการตอบคำถามทั้งหลายเสร็จแล้ว เราก็จะได้ไฟล์ cacert.pem ออกมา ซึ่งไฟล์นี้ก็คือ public key ของเรา หากต้องการนำไปใช้บน windows ก็ให้เปลี่ยนเป็น cacert.crt เสียก่อน จะได้ double click ได้เลย

หลังจากที่เราเซทอัพ CA เรียบร้อยแล้ว เราก็ต้องมาทำการสร้าง certificate request สำหรับเครื่อง server หรือ พนักงงานที่เราต้องการ

ก่อนอื่นก็จะต้องมี privatekey ซึ่งเราสร้างไว้ตั้งแต่ต้นแล้ว แล้วจึงทำการขอ certificate request ด้วยคำสั่ง

openssl req -new -key privatekey.pem -out cert-request.pem

แล้วทำการ sign certificate นี้ด้วยคำสั่ง

openssl x509 -req -in cert-request.pem -CA cacert.pem -CAkeyprivateKeyCa.pem -set_serial 01 -out mycert.pem -days 3650

มาถึงจุดนี้ เราก็ทำการสร้าง Certificate เป็นที่เรียบร้อยแล้ว ที่นี้เราจะลองย้อนทบทวนดูว่า เราได้ทำอะไรไปบ้าง

mycert.pem คือ self-signed certificate ฉบับสมบูรณ์ของเรา

cert-request.pem คือ certificate signing request

privatekey.pem คือ private key ของเรา

privateKeyCa.pem คือ private key ของ CA (ห้าม exposed โดยเด็จขาด ไม่งั้นเราจะสูญเสียความเป็น CA ของเรา)

cacert.pem คือ root certificate ของเราที่สามารถออกให้คนอื่นเอาไป trust ได้ โดยหลังจาก trust root certificate แล้ว เราก็จะ trust certificate ทั้งหมดที่เกิดจาการ sign ของ CA นี้ด้วย เช่นเดียวกับ CA เจ้าใหญ่ๆจำพวก Verisign ที่ถูก trust มาด้วยกับ web browser ต่างๆที่เรา download มา

PKCS

public-key cryptography standards โดย PKCS version ที่เราจะเห็นกันบ่อยๆคือ PKCS#12 ซึ่งทำหน้าที่เป็น container คอยเก็บ private/public key และ certificate ซึ่งการเก็บข้อมูลเหล่านี้อยู่ในรูปของ PKCS#12 ทำให้เราสามารถนำเอาไป import ยัง application ที่เราต้องการได้ง่ายและสะดวกเพราะว่า ทั้งหมดรวมอยู่ในไฟล์เดียวกัน ซึ่งสามารถสร้างได้โดย openssl เช่นเดียวกัน

Keytool

เป็นโปรแกรมจัดการ Key/Certificate ที่มาพร้อมกับ Java โดยจะเก็บ key และ certificate เหล่านี้อยู่ในรูปของ keystore (jks) โดย keytool มีความสามารถคล้ายคลึงกับ OpenSSL โดยหากเราต้องการจะ import certificate  เข้าไปใน keytool จะต้องทำการแปลงให้อยู่ในรูปแบบของ  DER-encoded เสียก่อน เนื่องจาก Keytool ไม่รองรับ PEM แล้วหากต้องการจะ import keystore  keystore นั้นจะต้องอยู่ในรูปแบบของ PKCS#12

การสร้าง self-signed certificate สำหรับเว็ปไซต์ของท่าน

การสร้าง self-signed certificate สำหรับเว็ปไซต์ของท่าน

ปัจจุบัน  มีการนำเอาบราวเซอร์มาใช้เป็นช่องทางสำหรับให้ผู้ใช้จากที่ต่างๆ เข้าถึงระบบข้อมูลมากขึ้น  และข้อมูลส่วนมากมีความสำคัญและมักจะเป็น ข้อมูลที่ผู้ใช้งานเท่านั้นควรจะได้เห็น   โปรโตคอล HTTP ซึ่งใช้ในการเชื่อมต่อระหว่างบราวเซอร์และเซอร์   รับส่งข้อมูลโดยไม่มีการเข้ารหัส   ทำให้ เป็นช่องทางที่ผู้อื่นในระบบเครือข่ายเดียวกัน  หรือในระบบเครือข่ายที่เป็นช่่องทางผ่านระหว่างต้นทางและปลายทาง  สามารถเข้าดักจับแพ็คเก็ตข้อมูล และวิเคราะห์ข้อมูลออกมาได้โดยง่าย  

เว็ปไซต์ยุคใหม่จึงหันมาใช้โปรโตคอล HTTPS  ซึ่งเป็นโปรโตคอลที่ปรับปรุงขึ้นโดยรองรับการเข้ารหัส   ทำให้มีความเชื่อมั่นสูงในการรับส่งข้อมูลระหว่าง บราวเซอร์ของผู้ใช้ และเซอร์เวอร์ ผ่านตัวกลางที่เราไม่ทราบว่าจะมีผู้ใดอาจดักจับข้อมูลของเราหรือไม่    เว็ปเซอร์เวอร์ปัจจุบันได้รองรับการทำงานในโปรโตคอลนี้อยู่แล้ว   และการใช้งานก็เพียงแต่เซ็ตเพียงเล็กน้อยเท่านั้น  มีประเด็นสำคัญอันหนึ่งก็คือ  เจ้า certificate ที่เราจะใช้ในการรับรองความถูกต้องที่มาของเว็ปไซต์ และใช้ในกระบวนการเข้ารหัสนั้น  โดยปกติแล้วจะมีบริษัทที่รับดูแลในเรื่องนี้อยู่  และเราสามารถใช้บริการจากบริษัทเหล่านี้ได้  ซึ่งก็จะต้องเสียค่าบริการตามสมควร

ในทางปฏิบัติ  หลายเว็ปไซต์มิได้ทำการติดต่อขอรับบริการดังกล่าว  แต่อาศัยการสร้าง certificate นี้ขึ้นมาเอง  โดยเมื่อบราวเซอร์เข้าเรียกใช้เว็ปของเราในโปรโตคอล HTTPS ในครั้งแรก จะมีการเตือนให้ผู้ใช้ทราบว่า  cerfiticate นี้มิได้รับรองโดยบริษัทที่ดูแลเรื่องนี้โดยตรง  ซึ่งหากเป็นเว็ปเซอร์เวอร์ที่ใช้กันภายในองค์กร  เราก็สามารถส่งไฟล์ certificate นี้ไปติดตั้งยังเครื่องต่างๆ ได้โดยผู้ใช้ติดตั้งเอง  หรือเราอาจจะบอกข้อมูลเบื้องต้นที่มีอยู่ใน certificate นั้นให้ผู้ใช้ตรวจสอบเองได้ก่อนทำการติดตั้ง  และเมื่อผู้ใช้ติดตั้ง certificate ลงไปแล้ว ก็จะสามารถใช้งานเว็ปไซต์เดิมในภายหลังได้โดยไม่มีการร้องเตือนเรื่อง certificate อีก

---

การสร้าง self-signed certificate
ก่อนอื่น  เราจะทำการสร้าง certificate สำหรับเว็ปเซอร์เวอร์  คอมพิวเตอร์ที่เราจะใช้สร้าง certificate จะต้องมี OpenSSL ติดตั้งอยู่ก่อนแล้ว ในกรณีที่ ใช้บนลินุกซ์  ดิสตริบิวชันปัจจุบันมักจะติดตั้งมาให้แล้ว และเราสามารถใช้ได้ทันที   โดยขั้นตอนการใช้งาน openssl เพื่อสร้าง self-signed certificate มีดังนี้

1)  สร้าง RSA private key ทำได้โดยใช้คำสั่ง

openssl genrsa -des3 -out ชื่อเซอร์เวอร์.key 1024

ในที่นี้เรากำหนดการเข้ารหัสแบบ Triple-DES  และคีย์มีขนาด 1024 บิต ใน PEM format  เราจะต้องกำหนดชื่อเซอร์เวอร์ เป็นชื่อเซอร์เวอร์ของเว็ปไซต์ของเรา  อาทิเช่น เว็ปนี้คือ thanwa.cpe.mut.ac.th  ชื่อจะต้องเป็น thanwa.cpe.mut.ac.th.key   ซึ่งจะได้ว่า

openssl genrsa -des3 -out thanwa.cpe.mut.ac.th.key 1024

สำหรับคนที่มีเซอร์เวอร์มากมายใช้โดเมนร่วมกัน เราอาจจะสร้าง certificate ที่ใช้ร่วมกันทั้งโดเมนก็ได้  สมมติว่าผมต้องการสร้าง certificate สำหรับ เซอร์เวอร์ทุกตัวที่ลงท้ายด้วย cpe.mut.ac.th   ผมก็จะใช้คำสั่งดังนี้

openssl genrsa -des3 -out *.cpe.mut.ac.th.key 1024

สังเกตการนิยามชื่อเหล่านี้  ซึ่งเราจะใช้ในลักษณะนี้ในทุกๆ ขั้นตอนต่อไป  

โปรแกรม openssl จะแสดงข้อความมาในลักษณะดังนี้

Generating RSA private key, 1024 bit long modulus
............++++++
......................................++++++
e is 65537 (0x10001)
Enter pass phrase for ชื่อเซอร์เวอร์.key : ตรงนี้เราใส่รหัสผ่านลงไปอะไรก็ได้ครับ
Verifying Enter pass phrase for ชื่อเซอร์เวอร์.key : ใส่ยืนยันอีกครั้งหนึ่ง

เราจะได้ไฟล์ในชื่อเว็ปไซต์ของเรา .key (หรือถ้าขึ้นต้นด้วย * ก็จะมี * นำหน้า เช่น *.cpe.mut.ac.th.key เป็นต้น)  

2) ปลดพาสเวิร์ดออกจาก key ของเราเอง  เนื่องจากในที่นี้  เราเป็นคนที่สร้างคีย์เอง และใช้คีย์นี้คนเดียว โดยไม่มีผู้อืี่นจะมายุ่มย่ามกับคีย์ของเรา (เราเก็บไว้ในที่ปลอดภัย) เราก็ถือโอกาสปลดพาสเวิร์ดออกเสียเลย

openssl rsa -in ชื่อเซอร์เวอร์.key -out ชื่อเซอร์เวอร์.key

โปรแกรมจะทำการแสดงข้อความเพื่อให้เรายืนยันรหัสดังนี้

Enter pass phrase for ชื่อเซอร์เวอร์.key: ใส่รหัสผ่านลงไปครับ
writing RSA key

3) สร้างไฟล์ CSR (Certificate Signing Request)  จากนั้นเราจึงสร้างไฟล์ที่เราจะแทรกรายละเอียดต่างๆ เกี่ยวกับเว็ปไซต์ของเราลงไป เพื่อในเวลาที่ผู้ใช้เปิดเว็ปของเรา  จะสามารถตรวจสอบรายละเอียดเบื้องต้นเกี่ยวกับเว็ปไซต์ของเราได้

เราใช้คำสั่ง

openssl req -new -key ชื่อเซอร์เวอร์.key -out ชื่อเซอร์เวอร์.csr

โปรแกรมจะทำการสร้าง CSR ไฟล์ให้โดยมีการแสดงข้อความและถามข้อมูลเพิ่มเติมดังต่อไปนี้

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:ใส่รหัสประเทศลงไป ประเทศไทยคือ TH (ใส่ตัวอักษรใหญ่ครับ)
State or Province Name (full name) [Berkshire]:ใส่จังหวัด ในที่นี้อย่างเช่น Bangkok
Locality Name (eg, city) [Newbury]:ใส่ชื่อเมืองหรืออำเภอ ในที่นี้ผมใส่เขตหนองจอก Nong Chock
Organization Name (eg, company) [My Company Ltd]:ใส่ชื่อองค์กรของเว็ปไซต์  ตัวอย่างเช่น โดเมนนี้สังกัด ม.เทคโนโลนีมหานคร ผมจึงใส่ Mahanakorn University of Technology
Organizational Unit Name (eg, section) []:ใส่ชื่อหน่วยงานภายใน กรณีนี้ผมกำหนดว่าเป็นเว็ปไซต์ของผม Thanwa's Home Page
Common Name (eg, your name or your server's hostname) []:ใส่ชื่อเซอร์เวอร์เลยครับ อย่างเช่น thanwa.cpe.mut.ac.th
Email Address []:ใส่อีเมลแอดเดรสสำหรับให้ติดต่อสอบถาม

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ในกรณีที่เราต้องการให้ผู้ใช้กรอกพาสเวิร์ด เราจะต้องใส่ที่นี่่ด้วยครับ  ปกติเราจะปล่อยว่างไ้ว้ (กด ENTER ต่อไปเลยครับ)
An optional company name []: หากต้องการใส่รายละเอียดเพิ่มเติมเกี่ยวกับบริษัทอีกเล็กน้อย ก็ใส่ได้ ปกติผมจะปล่อยว่างไว้

4) สร้าง Self-signed certificate เพื่อไว้ให้บราวเซอร์มาอ่านไป  เราใช้คำสั่งดังนี้

openssl x509 -req -days จำนวนวันก่อนหมดอายุนับจากวันที่สร้าง -in ชื่อเซอร์เวอร์.csr -signkey ชื่อเซอร์เวอร์.key -out ชื่อเซอร์เวอร์.crt

โปรแกรมจะทำการสร้างไฟล์ CRT ให้เรา เป็นอันเรียบร้อย

---

การบรรจุ self-signed certificate ลงในเว็บเซอร์เวอร์
จากนั้น  เราจะทำการเซ็ตเว็ปเซอร์เวอร์ให้ทำการอ่าน certificate ที่เราสร้างขึ้นนี้  สำหรับเว็ปเซอร์เวอร์ Apache บนลินุกซ์นั้น  ไฟล์ที่เราต้องแก้ไขคือ
/etc/httpd/conf.d/ssl.conf  ให้มองหาพารามิเตอร์สองตัวต่อไปนี้คือ  SSLCertificateFile และ SSLCertificateKeyFile  และแก้เป็นดังนี้

SSLCertificateFile ไดเรกตอรีและชื่อไฟล์.crt

ตัวอย่างเช่น ผมนำเอาไฟล์ .crt ไปไว้ในไดเรกตอรี /etc/httpd/conf ผมจะต้องเรียกใช้ดังนี้

SSLCertificateFile /etc/httpd/conf/thanwa.cpe.mut.ac.th.crt

และอีกที่หนึ่ง

SSLCertificateKeyFile ไดเรกตอรีและชื่อไฟล์.key

ดังเช่น

SSLCertificateKeyFile /etc/httpd/conf/thanwa.cpe.mut.ac.th.key

สำหรับการติดตั้ง Apache ในรายละเอียดอื่นๆ ผมขอไม่กล่าวถึงในที่นี้ครับ  คิดว่าท่านผู้อ่านคงสามารถจัดการที่เหลือได้ล่ะ   โดยเมื่อเราแก้จุดดังกล่าว และในที่อื่นๆ ให้เหมาะสมแล้ว  ก็ลองรีสตาร์ด Apache ใหม่เสียเลยนะครับ ถ้า Apache สามารถเริ่มทำงานได้โดยไม่ร้องไม่บ่น แสดงว่า ใช้ได้แล้วครับ

การสร้าง Self-Signed SSL Certificate

การสร้าง Self-Signed SSL Certificate สำหรับการทดลองหรือใช้ภายในองค์กร

Mon, 25/11/2013 - 08:21  |  อรรถพล คงหวาน 

การพัฒนาระบบเวบแอปพลิเคชั่นที่ผ่านโปรโตคอล http นั้น ข้อมูลที่วิ่งในระบบจะไม่ถูกเข้ารหัส ทำให้อาจเกิดการดักจับข้อมูลหรืออื่น ๆ ซึ่งสร้างความไม่ปลอดภัยในการใช้งาน เพื่อความปลอดภัย เราควรให้เวบแอปพลิเคชั่นของเรา วิ่งบนโปรโตคอล https ซึ่งมีการเข้ารหัสข้อมูล และเราต้องใช้ SSL Certificate โดยต้องเสียตังให้กับองค์กรที่รับรองการออก SSL Certificate เหล่านี้ให้กับเรา แต่ถ้าเราอยากจะสร้าง SSL Certificate ของเราเอง เพื่อทดลองหรือใช้ภายในองค์กร เราก็สามารถทำได้ง่าย ๆ ในระบบ Ubuntu ด้วยคำสั่ง openssl ง่าย ๆ ดังนี้ครับ

1. สร้าง Private Key
ในขั้นนี้เราจะสร้าง Private Key ขึ้นมาโดยจะเข้ารหัสแบบ Triple-DES และมีขนาด 1024 บิต ด้วยคำสั่งดังนี้ครับ

$ openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
....................................++++++
..++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

ในขั้นตอนนี้ ระบบจะให้เราใส่ pass phrase ด้วยนะครับ เมื่อเรากำหนด pass phrase เสร็จแล้วเราจะได้ไฟล์ server.key มาหนึ่งไฟล์ ซึ่งก็คือไฟล์ Private Key นั่นเองครับ

2. สร้าง CSR (Certificate Signing Request)
ในขั้นนี้เราจะสร้างไฟล์ CSR ขึ้น เมื่อเราสร้างแล้ว เราสามารถนำไฟล์ CSR และ Private Key เพื่อนำไปขอ SSL Certificate ได้ครับ หรือไม่ก็นำไปสร้าง self-signed SSL Certificate ของเราขึ้นมาเองเพื่อทดลองหรือใช้ภายในองค์กรได้ครับ โดยการสร้าง CSR ทำได้ดังนี้ครับ

$ openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:TH
State or Province Name (full name) [Some-State]:Songkhla
Locality Name (eg, city) []:Muang
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xData Company
Organizational Unit Name (eg, section) []:Information Tenchnology
Common Name (e.g. server FQDN or YOUR name) []:xdata.com
Email Address []:authapon@gmail.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:strong
An optional company name []:xData

ระบบจะส่งคำถามต่าง ๆ มาให้เรา เราก็ตอบไปเรื่อย ๆ ครับ พอครบก็จะได้ไฟล์ server.csr มาครับ

3. เอา pass pharse ออกจาก Private Key
ในส่วนของ Private Key นั้นจะมี pass phrase อยู่ ซึ่งเมื่อเวลานำไปใช้งานจริง จะทำให้ Browser ทำการถาม pass phrase เพื่อเข้าเวบทุกครั้ง ซึ่งอาจจะไม่เหมาะสมกับความต้องการของเรา เพราะเราต้องการให้สามารถเข้าเวบได้ทันที โดยไม่ต้องถาม pass phrase ให้ยุ่งยาก เราก็สามารถนำ pass phrase ออกจาก Private Key ได้ดังนี้ครับ

$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key
Enter pass phrase for server.key.org:
writing RSA key

เราก็จะได้ไฟล์ server.key ที่ไม่มี pass phrase แล้วครับ

4. สร้าง Self-Signed Certificate
ขั้นตอนสุดท้าย เราก็จะสร้าง Self-Signed Certificate ขึ้นมาดังนี้ครับ

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=TH/ST=Songkhla/L=Muang/O=xData Company/OU=Information Tenchnology/CN=xdata.com/emailAddress=authapon@gmail.com
Getting Private key

เราก็จะได้ไฟล์ server.crt เพิ่มมาอีกหนึ่งไฟล์ เวลานำไปใช้งาน ไฟล์ที่ใช้มี 2 ไฟล์ ซึ่งก็คือ server.crt และ server.key นั่นเองครับ สำหรับในบางระบบ เช่น apache2 หรือ pound อาจจะต้องการไฟล์ pem เราก็จะสามารถสร้างไฟล์ pem ได้ง่าย ๆ ดังนี้ครับ

$ cat server.csr server.key > server.pem

แค่นี้เราก็ได้ไฟล์ pem มาใช้งานแล้วครับ