Как вручную отделить серверные, промежуточные и корневые сертификаты от единого подписанного сертификата
Summary: В этой статье описывается порядок разделения сервера, промежуточных и корневых сертификатов вручную с помощью одного подписанного сертификата в Windows или Linux.
Instructions
При импорте подписанного сертификата во временный хранилище необходимо импортировать полную цепочку сертификатов. Чтобы убедиться, что веб-сайт безопасен и сертификат подписан доверенным центром сертификации, браузер должен иметь доступ к цепочке сертификатов. «Цепь доверия» позволяет браузеру установить доверительное соединение, указав полный путь от подписанного сертификата к корневому сертификату. Может также существовать один или несколько промежуточных сертификатов.
Все сертификаты, соединяющие подписанный сертификат сервера с корневым сертификатом, выключают цепочку сертификатов. Цепь используется для проверки безопасного подключения (HTTPS) к веб-серверу на основе того, что он был выдан доверенным центром сертификации. В случае отсутствия полной цепочки сертификатов браузер не сможет проверить безопасное соединение.
Некоторые типы файлов сертификатов будут содержать подписанный сертификат сервера, промежуточные сертификаты и корневой сертификат в одном файле. В этих случаях можно импортировать полную цепочку за один раз.
Как правило, это файлы PKCS # 12 (. pfx или. p12), которые могут хранить сертификат сервера, промежуточный сертификат и закрытый ключ в одном PFX-файле с защитой паролем.
Кроме того, они могут быть в формате PKCS # 7 (. p7b или. p7c), которые содержат только сертификаты в цепочке, а не закрытые ключи.
Сертификаты в формате PEM (PEM,. CRT,. cer или. key) — могут включать сертификат сервера, промежуточный сертификат и закрытый ключ в одном файле. Сертификат сервера и промежуточный сертификат также могут быть в отдельных файлах с расширением. CRT или. cer, а закрытый ключ может быть в файле. key.
Чтобы проверить, находится ли полная цепочка сертификатов в одном файле, откройте ее в текстовом редакторе. Каждый сертификат содержится между операторами----BEGIN CERTIFICATE----и----END----CERTIFICATE. Закрытый ключ находится между----BEGIN RSA закрытый ключ-----и-----END RSA ЗАКРЫТого ключа-----.
Убедитесь, что количество сертификатов, содержащихся в инструкциях----BEGIN CERTIFICATE----и----END----CERTIFICATE, совпадает с количеством сертификатов в цепочке (сервер и любитель). Если файл содержит закрытый ключ, то есть он заканчивается с----BEGIN RSA закрытый ключ-----и-----END RSA закрытый ключ, вы можете импортировать его непосредственно в Apollo. хранилище. Data Protection Advisor (DPA): Как импортировать подписанный сертификат, содержащий полную цепь доверия и закрытый ключ, в DPA-Windows или
(Windows) или импортировать подписанный сертификат, содержащий полную цепь и закрытый ключ, в DPA-Linux
Если в файле нет полной цепочки сертификатов, может потребоваться импортировать каждую часть сертификата вручную, от корневого сертификата к сертификату сервера. В некоторых случаях заказчик может получить каждый из промежуточных сертификатов и корневого сертификата в отдельных файлах из центра сертификации. Некоторые ЦС будут предоставлять цепочку, ведущая к сертификату сервера в отдельном файле. В этих случаях Импортируйте каждый файл во временный хранилище ключей (сначала — корневой каталог, а затем — «серверный сертификат»), используя указанную ниже команду, и другой псевдоним для каждого из следующих типов:
кэйтул-Import-трусткацертс-Alias aliasname -хранилища данных TEMP. хранилище ключей. файл.
Примечание. Имена псевдонимов и файлов будут изменены на основе псевдонимов и имен файлов, используемых при создании запроса CSR. При импорте сертификата корневого центра сертификации всегда используйте корневой псевдоним и всегда используйте псевдоним, который используется для создания файла CSR при импорте сертификата сервера. Псевдонимы для промежуточных сертификатов используются как идентификаторы, но могут быть любыми и другими, если они уникальны.
Если ЦС не предоставляет каждый из этих файлов и их необходимо будет разделить вручную в корневую систему, промежуточный сертификат и сертификат сервера можно сделать одним из двух способов:
в Windows.
когда вы получаете подписанный файл сертификата, откройте его в Windows, чтобы увидеть путь к корневому сертификату:
для корневого сертификата и всех промежуточных сертификатов, выделите каждый раз (по одному) и нажмите кнопку Просмотр сертификата.
В этом окне нажмите кнопку View Details > Copy to File > использовать формат X. 509 (. cer) в кодировке Base-64 и сохранить каждую.
Обязательно запишите их, чтобы можно было импортировать их по порядку (например, root. cer, intermediate01. cer, емкдпа. cer). Корневой сертификат будет единственным выдан для самого себя. Пример
:
После сохранения каждого из них переместите их в дпа\сервицес\ _jre \bin на сервере приложений.
Используя следующие команды из дпа\сервицес\ _jre \bin для импорта корневого сертификата, всех промежуточных сертификатов и файлов с конечным сертификатом.
Примечание. Это файлы, которые были созданы на последнем шаге, поэтому при необходимости необходимо изменить имена файлов и пути к файлам, а также пароль хранилища ключей, который должен совпадать с паролем, используемым в этой среде.
кэйтул-Import-трусткацертс-Alias root-хранилище ключей New. root-File root. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль
кэйтул-Import-трусткацертс-Alias intermediate01-хранилище данных New. файл хранилища ключей intermediate01. cer
кэйтул-Import-трусткацертс-Alias емкдпа. New. хранилище ключей емкдпа. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
кэйтул-List-v-хранилища ключей New. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
В Linux:
Откройте файл CSR в текстовом редакторе. Определите каждый сертификат с помощью инструкций----BEGIN certificate----и----End certificate----.
Чтобы отделить каждый из них в собственном файле, скопируйте его содержимое, включая инструкции по----BEGIN Certificate----и----END Certificate----на обоих концах. Вставьте содержимое каждой области в отдельные текстовые файлы и пометьте их в соответствии с порядком их размещения в исходном файле подписанного сертификата. Первым будет сертификат, подписанный сервером, последний будет корневым сертификатом, все в пределах являются промежуточными сертификатами.
В приведенном ниже примере я заменил зашифрованное содержание, чтобы описать каждый сертификат в цепочке в соответствии с порядком их появления в файле:
----начало----сертификата
, выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
----начать----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Интермедиатека-2
----конечного сертификата----
----начать----сертификата
, выдано: Интермедиатека-2;
Кем выдан: ----СЕРТИФИКАТ корневого центра
----сертификации
----Начало----сертификата
, выданного следующим пользователям: Корневой ЦС;
Кем выдан: ----Сертификат корневого центра сертификации
----
для сохранения каждого из них, скопируйте все зашифрованное содержание, включая инструкции начала/окончания, в отдельный текстовый файл и сохраните его —
root. cerбудет содержать:
----начать----сертификата,
выданного для: Корневой ЦС;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate02. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-2;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate01. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Сертификат интермедиатека-2
----End Certificate----сертификате
дляподписанного вложенного сервера содержал следующие данные:
----Начало----сертификата,
выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
затем импортируйте их во временный хранилище ключей с помощью следующих команд:
./кэйтул-Import-трусткацертс-Alias root-root New. root-файловый корень. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль хранилища ключей
./кэйтул-Import-трусткацертс-Alias intermediate02. хранилище ключей-File intermediate02. cer
./кэйтул-Import-трусткацертс-Alias intermediate01-хранилище новых файл хранилища ключей intermediate01. cer
./кэйтул-Import-trustcacerts-Alias emcdpa-хранилище данных New. хранилище ключей emcdpa. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
./keytool-List-v-хранилища ключей. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
Все сертификаты, соединяющие подписанный сертификат сервера с корневым сертификатом, выключают цепочку сертификатов. Цепь используется для проверки безопасного подключения (HTTPS) к веб-серверу на основе того, что он был выдан доверенным центром сертификации. В случае отсутствия полной цепочки сертификатов браузер не сможет проверить безопасное соединение.
Некоторые типы файлов сертификатов будут содержать подписанный сертификат сервера, промежуточные сертификаты и корневой сертификат в одном файле. В этих случаях можно импортировать полную цепочку за один раз.
Как правило, это файлы PKCS # 12 (. pfx или. p12), которые могут хранить сертификат сервера, промежуточный сертификат и закрытый ключ в одном PFX-файле с защитой паролем.
Кроме того, они могут быть в формате PKCS # 7 (. p7b или. p7c), которые содержат только сертификаты в цепочке, а не закрытые ключи.
Сертификаты в формате PEM (PEM,. CRT,. cer или. key) — могут включать сертификат сервера, промежуточный сертификат и закрытый ключ в одном файле. Сертификат сервера и промежуточный сертификат также могут быть в отдельных файлах с расширением. CRT или. cer, а закрытый ключ может быть в файле. key.
Чтобы проверить, находится ли полная цепочка сертификатов в одном файле, откройте ее в текстовом редакторе. Каждый сертификат содержится между операторами----BEGIN CERTIFICATE----и----END----CERTIFICATE. Закрытый ключ находится между----BEGIN RSA закрытый ключ-----и-----END RSA ЗАКРЫТого ключа-----.
Убедитесь, что количество сертификатов, содержащихся в инструкциях----BEGIN CERTIFICATE----и----END----CERTIFICATE, совпадает с количеством сертификатов в цепочке (сервер и любитель). Если файл содержит закрытый ключ, то есть он заканчивается с----BEGIN RSA закрытый ключ-----и-----END RSA закрытый ключ, вы можете импортировать его непосредственно в Apollo. хранилище. Data Protection Advisor (DPA): Как импортировать подписанный сертификат, содержащий полную цепь доверия и закрытый ключ, в DPA-Windows или
(Windows) или импортировать подписанный сертификат, содержащий полную цепь и закрытый ключ, в DPA-Linux
Если в файле нет полной цепочки сертификатов, может потребоваться импортировать каждую часть сертификата вручную, от корневого сертификата к сертификату сервера. В некоторых случаях заказчик может получить каждый из промежуточных сертификатов и корневого сертификата в отдельных файлах из центра сертификации. Некоторые ЦС будут предоставлять цепочку, ведущая к сертификату сервера в отдельном файле. В этих случаях Импортируйте каждый файл во временный хранилище ключей (сначала — корневой каталог, а затем — «серверный сертификат»), используя указанную ниже команду, и другой псевдоним для каждого из следующих типов:
кэйтул-Import-трусткацертс-Alias aliasname -хранилища данных TEMP. хранилище ключей. файл.
Примечание. Имена псевдонимов и файлов будут изменены на основе псевдонимов и имен файлов, используемых при создании запроса CSR. При импорте сертификата корневого центра сертификации всегда используйте корневой псевдоним и всегда используйте псевдоним, который используется для создания файла CSR при импорте сертификата сервера. Псевдонимы для промежуточных сертификатов используются как идентификаторы, но могут быть любыми и другими, если они уникальны.
Если ЦС не предоставляет каждый из этих файлов и их необходимо будет разделить вручную в корневую систему, промежуточный сертификат и сертификат сервера можно сделать одним из двух способов:
в Windows.
когда вы получаете подписанный файл сертификата, откройте его в Windows, чтобы увидеть путь к корневому сертификату:
для корневого сертификата и всех промежуточных сертификатов, выделите каждый раз (по одному) и нажмите кнопку Просмотр сертификата.
В этом окне нажмите кнопку View Details > Copy to File > использовать формат X. 509 (. cer) в кодировке Base-64 и сохранить каждую.
Обязательно запишите их, чтобы можно было импортировать их по порядку (например, root. cer, intermediate01. cer, емкдпа. cer). Корневой сертификат будет единственным выдан для самого себя. Пример
:
После сохранения каждого из них переместите их в дпа\сервицес\ _jre \bin на сервере приложений.
Используя следующие команды из дпа\сервицес\ _jre \bin для импорта корневого сертификата, всех промежуточных сертификатов и файлов с конечным сертификатом.
Примечание. Это файлы, которые были созданы на последнем шаге, поэтому при необходимости необходимо изменить имена файлов и пути к файлам, а также пароль хранилища ключей, который должен совпадать с паролем, используемым в этой среде.
кэйтул-Import-трусткацертс-Alias root-хранилище ключей New. root-File root. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль
кэйтул-Import-трусткацертс-Alias intermediate01-хранилище данных New. файл хранилища ключей intermediate01. cer
кэйтул-Import-трусткацертс-Alias емкдпа. New. хранилище ключей емкдпа. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
кэйтул-List-v-хранилища ключей New. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
В Linux:
Откройте файл CSR в текстовом редакторе. Определите каждый сертификат с помощью инструкций----BEGIN certificate----и----End certificate----.
Чтобы отделить каждый из них в собственном файле, скопируйте его содержимое, включая инструкции по----BEGIN Certificate----и----END Certificate----на обоих концах. Вставьте содержимое каждой области в отдельные текстовые файлы и пометьте их в соответствии с порядком их размещения в исходном файле подписанного сертификата. Первым будет сертификат, подписанный сервером, последний будет корневым сертификатом, все в пределах являются промежуточными сертификатами.
В приведенном ниже примере я заменил зашифрованное содержание, чтобы описать каждый сертификат в цепочке в соответствии с порядком их появления в файле:
----начало----сертификата
, выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
----начать----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Интермедиатека-2
----конечного сертификата----
----начать----сертификата
, выдано: Интермедиатека-2;
Кем выдан: ----СЕРТИФИКАТ корневого центра
----сертификации
----Начало----сертификата
, выданного следующим пользователям: Корневой ЦС;
Кем выдан: ----Сертификат корневого центра сертификации
----
для сохранения каждого из них, скопируйте все зашифрованное содержание, включая инструкции начала/окончания, в отдельный текстовый файл и сохраните его —
root. cerбудет содержать:
----начать----сертификата,
выданного для: Корневой ЦС;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate02. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-2;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate01. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Сертификат интермедиатека-2
----End Certificate----сертификате
дляподписанного вложенного сервера содержал следующие данные:
----Начало----сертификата,
выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
затем импортируйте их во временный хранилище ключей с помощью следующих команд:
./кэйтул-Import-трусткацертс-Alias root-root New. root-файловый корень. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль хранилища ключей
./кэйтул-Import-трусткацертс-Alias intermediate02. хранилище ключей-File intermediate02. cer
./кэйтул-Import-трусткацертс-Alias intermediate01-хранилище новых файл хранилища ключей intermediate01. cer
./кэйтул-Import-trustcacerts-Alias emcdpa-хранилище данных New. хранилище ключей emcdpa. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
./keytool-List-v-хранилища ключей. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
Affected Products
Data Protection AdvisorProducts
Data Protection AdvisorArticle Properties
Article Number: 000158453
Article Type: How To
Last Modified: 19 Jul 2023
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.
Article Properties
Article Number: 000158453
Article Type: How To
Last Modified: 19 Jul 2023
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.