Como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado
Summary:Este artigo descreve como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado no Windows ou Linux.
Please select a product to check article relevancy
This article applies to This article does not apply to
Durante a importação de um certificado assinado no keystore temporário, é importante importar a cadeia de certificados completo. Para confirmar se o site está seguro e se o certificado foi assinado por uma autoridade de certificação confiável, o navegador precisa ter acesso à cadeia de certificados. A "cadeia de confiança" permite que o navegador estabeleça uma conexão confiável fornecendo o caminho completo do certificado assinado para o certificado raiz. Pode haver apenas um ou mais certificados intermediários entre eles.
Todos os certificados que conectam o certificado do servidor assinado ao certificado raiz compõem a cadeia de certificados. A cadeia é usada para validar uma conexão segura (https) para o servidor da base com a que está sendo emitida por uma autoridade de certificação confiável. Sem a cadeia de certificados completo, o navegador não será capaz de validar uma conexão segura.
Alguns tipos de arquivo de certificado conterá o certificado de servidor assinado, os certificados intermediários e o certificado raiz em um arquivo. Nesses casos, pode ser possível importar a cadeia completa de uma só vez.
Geralmente, esses arquivos são PKCS # 12 (. pfx ou. p12), que podem armazenar o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. pfx com proteção por senha. Eles também podem estar no formato PKCS # 7 (. p7b ou. p7c), que contêm apenas os certificados na cadeia, não as chaves privadas. Certificados no formato PEM (. PEM,. CRT,. cer ou. Key)- pode incluir o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. O certificado do servidor e o certificado intermediário também podem estar em arquivos. CRT ou. cer separados, e a chave privada pode estar em um arquivo. Key.
Você pode verificar se a cadeia de certificados completo está em um arquivo abrindo-a em um editor de texto. Cada certificado está presente entre o----iniciar----de certificado e----declarações de----de certificado final. A chave privada está contida entre as----iniciar RSA chaves privadas-----e-----encerrar RSA chaves privadas-----.
se o arquivo não contiver a cadeia de certificados completo, talvez você precise importar cada parte do certificado manualmente-do certificado raiz para o certificado do servidor. Em alguns casos, o cliente pode obter todos os certificados intermediários e o certificado raiz em arquivos separados da CA. Algumas CAs fornecerão a cadeia que leva o certificado do servidor em um arquivo separado. Nesses casos, importe cada arquivo no keystore temporário (raiz primeiro, em relação a intermediário (s), em seguida, o certificado de servidor) usando o comando abaixo e um alias diferente para cada: keytool-Import-trustcacerts-alias aliasname -keystore Temp. keystore -File CERT. arquivo
Nota: Você vai alterar o alias e os nomes de arquivos com base no alias e nos nomes de arquivo usados durante a geração da CSR. Sempre use a raiz do alias ao importar o certificado raiz da CA e sempre use o alias usado para gerar o arquivo CSR ao importar o certificado do servidor. Os aliases dos certificados intermediários são usados como identificadores, mas podem ser os mesmos, desde que cada um deles seja exclusivo.
Se a CA não fornecer cada um desses arquivos para você e você precisar separá-los manualmente na raiz, intermediário e certificado do servidor, você pode fazer isso de uma das seguintes maneiras: no Windows: quando você receber o arquivo de certificado assinado, abra-o em Windows para ver o caminho para o certificado raiz:
para o certificado raiz e quaisquer certificados intermediários, destaque cada um (um por vez) e clique em Exibir certificado. Nessa janela, clique em View Details > Copie to File > Use o formato base-64 Encoded X. 509 (. cer) e salve cada um deles. Certifique-se de rotulá-los de modo que você possa importá-los em ordem (ou seja, root. cer, intermediate01. cer, emcdpa. cer). O certificado raiz será o único emitido por si mesmo. Por exemplo
:
Depois de salvar cada um, mova-os para dpa\services\ _jre \bin no servidor de aplicativos. Usar os seguintes comandos do dpa\services\ _jre \Bin para importar o certificado raiz, todos os certificados intermediários e os arquivos de certificado final. Obs.: Esses são os arquivos que você criou na última etapa, por isso, certifique-se de alterar os nomes de arquivos e caminhos de arquivo conforme necessário, bem como a senha do keystore que será necessária para corresponder ao que está sendo usado neste ambiente.
keytool-Import-trustcacerts-alias raiz-keystore novo. keystore-file root. cer * ele deve perguntar se este é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha keytool-Import-trustcacerts-alias intermediate01-keystore New. keystore-File intermediate01. cer keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
e, em seguida, verifique se o certificado foi importado corretamente usando: keytool-list-v-keystore New. keystore-storepass keystorepw
se ele foi importado adequadamente, você verá a cadeia de certificados completo aqui.
No Linux: Abra o arquivo CSR em um editor de texto. Identifique cada um dos certificados pelo----iniciar----de certificado e----declarações de----de certificado final.
Para separar cada um deles em seu próprio arquivo, copie o conteúdo de cada um deles, incluindo o----iniciar o certificado----e as declarações----end Certificate----em qualquer uma das extremidades. Colar o conteúdo de cada um em arquivos de texto separados e rotulá-los com base na ordem em que são colocados no arquivo de certificado assinado original. O primeiro será o certificado assinado do servidor, o último será o certificado raiz, qualquer coisa entre os certificados intermediários.
No exemplo a seguir, eu substituí o conteúdo criptografado para descrever cada certificado na cadeia de acordo com a ordem em que eles aparecem no arquivo: ----iniciar o certificado---- emitido para: webserver01.EMC.com; Emitido por: IntermediateCA-1 ----certificado final---- ----Iniciar---- de certificado emitido para: IntermediateCA-1; Emitido por: IntermediateCA-2 ----certificado final---- ----Iniciar---- de certificado emitido para: IntermediateCA-2; Emitido por: Root-CA ----certificado final---- ----Iniciar---- de certificado emitido para: Raiz-CA; Emitido por: Root-CA --------de certificado final
para salvar cada um, copie todo o conteúdo criptografado, inclusive as declarações começando/encerrar em um arquivo de texto separado e salve it-
Intermediate02. cer deve conter: ----Iniciar---- de certificado emitido para: IntermediateCA-2; Emitido por: Root-CA ----certificado final----
Intermediate01. cer deve conter: ----Iniciar---- de certificado emitido para: IntermediateCA-1; Emitido por: IntermediateCA-2 ----certificado final----
certificado do servidor do webassinado deve conter: ----Iniciar---- de certificado emitido para: webserver01.EMC.com; Emitido por: IntermediateCA-1 ----certificado final----
, em seguida, importe-os para o keystore temporário usando os seguintes comandos:
./keytool-Import-trustcacerts-alias root-keystore novo. keystore-raiz de arquivo. cer * ele deve perguntar se esse é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha do keystore