Article Number: 000158453
Jak ručně oddělit servery, zprostředkující a kořenové certifikáty od jediného podepsaného certifikátu
Summary: Tento článek popisuje, jak ručně rozdělit servery, přechodné a kořenové certifikáty z jediného podepsaného certifikátu v systému Windows nebo Linux. ...
Article Content
Instructions
Při importu podepsaného certifikátu do dočasného úložiště úložišť je důležité importovat celý řetěz certifikátů. Chcete-li ověřit, zda je webová stránka zabezpečená a certifikát byl podepsán důvěryhodnou certifikační autoritou, musí mít prohlížeč přístup do řetězu certifikátů. V rámci "řetězce důvěry" umožňuje prohlížeč vytvořit důvěryhodné připojení, a to zadáním celé cesty z podepsaného certifikátu do kořenového certifikátu. Mezi také může existovat jedno nebo více zprostředkujících certifikátů.
Všechny certifikáty, které jsou připojeny k certifikátu podepsaného serveru do kořenového certifikátu, tvoří řetěz certifikátů. Řetěz se používá k ověření zabezpečeného připojení (https) na serveru, na kterém je založen, a který je vydán důvěryhodnou certifikační autoritou. Bez řetězce celého certifikátu nebude prohlížeč schopen ověření zabezpečeného připojení.
Některé typy souborů certifikátů obsahují certifikát podepsaných serverů, zprostředkujících certifikátů a kořenových certifikátů v jednom souboru. V těchto případech může být možné importovat celý řetězec najednou.
Obvykle se jedná o soubory PKCS # 12 (. pfx nebo. P12), které mohou ukládat certifikát serveru, zprostředkující certifikát a soukromý klíč do jediného souboru. pfx s ochranou hesel.
Mohou být rovněž ve formátu PKCS č. 7 (P7B nebo P7C), který obsahuje pouze certifikáty v řetězu, ne v privátních klíčích.
Certifikáty ve formátu PEM (. pem,. CRT,. cer nebo klávesa) – mohou obsahovat certifikát serveru, zprostředkující certifikát a soukromý klíč v jediném souboru. Certifikát serveru a zprostředkující certifikát mohou být také samostatné soubory CRT nebo CER a soukromý klíč mohou být v souboru s příponou. Key.
Chcete-li zjistit, zda je celý řetěz certifikátů v jednom souboru, otevřete ho v textovém editoru. Každá certifikační osvědčení je obsažena mezi--------spuštění certifikátu a----KONCOVÉho certifikátu----. Privátní klíč je obsažen mezi----spuštění soukromého klíče RSA-----a-----konec soukromého klíče RSA,-----příkazů.
Zajistěte, aby počet certifikátů obsažených v----začít s CERTIFIKÁTem----a aby----KONCOVÉho certifikátu----prohlášení odpovídalo počtu certifikátů v řetězci (Server a zprostředkující). Pokud soubor obsahuje soukromý klíč, což znamená, že končí----, zahajte soukromý klíč RSA-----a-----koncový soukromý klíč RSA, můžete jej naimportovat přímo do Apollo. úložiště klíčů. Data Protection Advisor (DPA): Jak importovat podepsaný certifikát, který obsahuje úplný řetězec důvěry a privátního klíče do DPA-Windows nebo
(Windows) nebo import podepsaného certifikátu, který obsahuje úplný řetězec důvěry a privátního klíče na DPA-Linux
Pokud soubor neobsahuje řetězec celého certifikátu, může být nutné importovat každou část certifikátu ručně-z kořenového certifikátu do certifikátu serveru. V některých případech může zákazník získat každý z dílčích certifikátů a kořenových certifikátů v samostatných souborech od certifikačního úřadu. Některé certifikační úřady poskytují řetězec, který je vedoucí k certifikátu serveru v samostatném souboru. V takovém případě naimportujte každý soubor do dočasného úložiště klíče (nejprve kořen, než jsou zprostředkující/s) pomocí níže uvedeného příkazu a pro každý z nich zadejte jiný alias: "
Nástroj nástroje-Import-trustcacerts-alias -aliasu -úložiště souborů TEMP.
Názvy aliasů a souborů můžete změnit na základě aliasu a názvů souborů, které se používají při vygenerování zástupce oddělení služeb zákazníkům. Vždy použijte kořen aliasu při importu certifikátu kořenové certifikační autority a vždy použijte alias, který se použije ke generování souboru CSR při importu serverového certifikátu. Aliasy pro zprostředkující certifikáty se používají jako identifikátory, ale mohou být libovolné, jak dlouho mají být jedinečné.
Pokud certifikační úřad tyto soubory neposkytne a vy je potřebujete ručně rozdělit do kořenového adresáře, zprostředkující a serverový certifikát můžete dosáhnout dvěma způsoby:
v systému Windows:
Když obdržíte soubor podepsaného certifikátu, otevřete ho v systému Windows. zobrazí se cesta ke kořenovému certifikátu:v případě
kořenového certifikátu a všech zprostředkujících certifikátů, zvýrazněte každý z nich (jeden po druhém) a klikněte na možnost Zobrazit certifikát.
V tomto okně klikněte na možnost Zobrazit podrobnosti > zkopírovat do souboru > použijte formát "Base-64 Encoded X. 509 (CER) a uložte každou z nich.
Ujistěte se, že je můžete označit, abyste je mohli importovat v pořadí (například root. CER, intermediate01. CER, emcdpa. cer). Kořenový certifikát je jediný, který sám zadává sám sebe. Například
:
Jakmile každý uložený soubor uložíte, přesuňte jej na dpa\services\ _jre \Bin na aplikačním serveru.
Pomocí následujících příkazů z dpa\services\ _jre \Bin naimportujte kořenový certifikát, všechny zprostředkující certifikáty a soubory konečných certifikátů.
Poznámka: Jedná se o soubory, které jste vytvořili v posledním kroku, takže si můžete podle potřeby změnit názvy souborů a cesty souborů a také heslo ke každému úložišti, které bude odpovídat použitému v tomto prostředí.
Nástroj nástroje-Import-trustcacerts-alias kořene – úložiště úložišť nový soubor úložiště hesel. cer
* měl by vás vyžadovat, pokud se jedná o důvěryhodný kořenový certifikát – vyslovením Yes (y) a ENTER a poté zadáním hesla
nástroje Password-import-trustcacerts-alias intermediate01-Store New. DataStore-File intermediate01. cer nástroj "
-Import-trustcacerts-alias emcdpa-uložit nový soubor. úložiště úložišť – File emcdpa. cer
poté ověřte, že certifikát byl importován správně pomocí:
Nástroj pro práci s nástrojem" seznam-v-úložiště úložišť ". úložiště úložišť – storepass keystorepw
Pokud import proběhl správně, měl by zde
být uveden celý řetězec certifikátů. V systému Linux:
Otevřete soubor CSR v textovém editoru. Identifikujte každý z certifikátů----začít s certifikátem----a----příkaz Ukončit certifikát----.
Chcete-li každý z nich rozdělit na vlastní soubor, zkopírujte obsah každého z nich včetně----začít s certifikátem----a----koncového certifikátu----příkazů na obou koncích. Vložte obsah každého z jednotlivých textových souborů a zapište je podle pořadí, v jakém jsou umístěny do původního podepsaného certifikátu. Prvním bude certifikát podepsaný na server, poslední bude kořenový certifikát, cokoli mezi nimi jsou zprostředkující certifikáty.
V níže uvedeném příkladu jsem vyměněn zašifrovaný obsah a popisuje jednotlivé certifikáty v řetězci podle pořadí, v jakém se zobrazují:
----začít s certifikátem----
vystaven pro: webserver01.EMC.com;
Vydavatel: IntermediateCA-1
----koncového certifikátu----
----začít s certifikátem----
vystaven pro: IntermediateCA-1;
Vydavatel: IntermediateCA-2
----koncové osvědčení----
----začít s certifikátem----
vystaven pro: IntermediateCA-2;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
----začít s certifikátem----
vystaven pro: Kořenová CA;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
k jejich uložení, zkopírování celého šifrovaného obsahu, včetně počátečního/koncového příkazu, do samostatného textového souboru a jeho uložení –
root. cerbude obsahovat:
----začít s osvědčením----
Vystaveno pro: Kořenová CA;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
Intermediate02. cer bude obsahovat:
----začít s certifikátem----
vystaven pro: IntermediateCA-2;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
Intermediate01. cer bude obsahovat:
----začít s certifikátem----
vystaven pro: IntermediateCA-1;
Vydavatel: IntermediateCA-2
----koncové osvědčení----
podepsaný webServer obsahuje:
----začít s certifikátem----
vydán pro: webserver01.EMC.com;
Vydavatel: IntermediateCA-1
--------koncového certifikátu
, naimportujte tyto nástroje do dočasného úložiště úložišť pomocí následujících příkazů:
./keytool-import-trustcacerts-alias root-úložiště DataStore – kořen souboru. cer
* Pokud se jedná o důvěryhodný kořenový certifikát, vyslovte Yes (y) a stiskněte klávesu ENTER a poté zadejte heslo k úložišti
./keytool-import-trustcacerts-alias intermediate02 – úložiště úložišť New. DataStore – soubor intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01 úložiště intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-DataStore New. úložiště úložišť – soubor emcdpa. cer
poté ověřte, že certifikát byl importován správně pomocí:
./keytool-list-v-úložiště úložišť s názvem New. úložiště úložišť – storepass keystorepw
Pokud je importováno správně, měl by zde být uveden celý řetěz certifikátů.
Všechny certifikáty, které jsou připojeny k certifikátu podepsaného serveru do kořenového certifikátu, tvoří řetěz certifikátů. Řetěz se používá k ověření zabezpečeného připojení (https) na serveru, na kterém je založen, a který je vydán důvěryhodnou certifikační autoritou. Bez řetězce celého certifikátu nebude prohlížeč schopen ověření zabezpečeného připojení.
Některé typy souborů certifikátů obsahují certifikát podepsaných serverů, zprostředkujících certifikátů a kořenových certifikátů v jednom souboru. V těchto případech může být možné importovat celý řetězec najednou.
Obvykle se jedná o soubory PKCS # 12 (. pfx nebo. P12), které mohou ukládat certifikát serveru, zprostředkující certifikát a soukromý klíč do jediného souboru. pfx s ochranou hesel.
Mohou být rovněž ve formátu PKCS č. 7 (P7B nebo P7C), který obsahuje pouze certifikáty v řetězu, ne v privátních klíčích.
Certifikáty ve formátu PEM (. pem,. CRT,. cer nebo klávesa) – mohou obsahovat certifikát serveru, zprostředkující certifikát a soukromý klíč v jediném souboru. Certifikát serveru a zprostředkující certifikát mohou být také samostatné soubory CRT nebo CER a soukromý klíč mohou být v souboru s příponou. Key.
Chcete-li zjistit, zda je celý řetěz certifikátů v jednom souboru, otevřete ho v textovém editoru. Každá certifikační osvědčení je obsažena mezi--------spuštění certifikátu a----KONCOVÉho certifikátu----. Privátní klíč je obsažen mezi----spuštění soukromého klíče RSA-----a-----konec soukromého klíče RSA,-----příkazů.
Zajistěte, aby počet certifikátů obsažených v----začít s CERTIFIKÁTem----a aby----KONCOVÉho certifikátu----prohlášení odpovídalo počtu certifikátů v řetězci (Server a zprostředkující). Pokud soubor obsahuje soukromý klíč, což znamená, že končí----, zahajte soukromý klíč RSA-----a-----koncový soukromý klíč RSA, můžete jej naimportovat přímo do Apollo. úložiště klíčů. Data Protection Advisor (DPA): Jak importovat podepsaný certifikát, který obsahuje úplný řetězec důvěry a privátního klíče do DPA-Windows nebo
(Windows) nebo import podepsaného certifikátu, který obsahuje úplný řetězec důvěry a privátního klíče na DPA-Linux
Pokud soubor neobsahuje řetězec celého certifikátu, může být nutné importovat každou část certifikátu ručně-z kořenového certifikátu do certifikátu serveru. V některých případech může zákazník získat každý z dílčích certifikátů a kořenových certifikátů v samostatných souborech od certifikačního úřadu. Některé certifikační úřady poskytují řetězec, který je vedoucí k certifikátu serveru v samostatném souboru. V takovém případě naimportujte každý soubor do dočasného úložiště klíče (nejprve kořen, než jsou zprostředkující/s) pomocí níže uvedeného příkazu a pro každý z nich zadejte jiný alias: "
Nástroj nástroje-Import-trustcacerts-alias -aliasu -úložiště souborů TEMP.
Názvy aliasů a souborů můžete změnit na základě aliasu a názvů souborů, které se používají při vygenerování zástupce oddělení služeb zákazníkům. Vždy použijte kořen aliasu při importu certifikátu kořenové certifikační autority a vždy použijte alias, který se použije ke generování souboru CSR při importu serverového certifikátu. Aliasy pro zprostředkující certifikáty se používají jako identifikátory, ale mohou být libovolné, jak dlouho mají být jedinečné.
Pokud certifikační úřad tyto soubory neposkytne a vy je potřebujete ručně rozdělit do kořenového adresáře, zprostředkující a serverový certifikát můžete dosáhnout dvěma způsoby:
v systému Windows:
Když obdržíte soubor podepsaného certifikátu, otevřete ho v systému Windows. zobrazí se cesta ke kořenovému certifikátu:v případě
kořenového certifikátu a všech zprostředkujících certifikátů, zvýrazněte každý z nich (jeden po druhém) a klikněte na možnost Zobrazit certifikát.
V tomto okně klikněte na možnost Zobrazit podrobnosti > zkopírovat do souboru > použijte formát "Base-64 Encoded X. 509 (CER) a uložte každou z nich.
Ujistěte se, že je můžete označit, abyste je mohli importovat v pořadí (například root. CER, intermediate01. CER, emcdpa. cer). Kořenový certifikát je jediný, který sám zadává sám sebe. Například
:
Jakmile každý uložený soubor uložíte, přesuňte jej na dpa\services\ _jre \Bin na aplikačním serveru.
Pomocí následujících příkazů z dpa\services\ _jre \Bin naimportujte kořenový certifikát, všechny zprostředkující certifikáty a soubory konečných certifikátů.
Poznámka: Jedná se o soubory, které jste vytvořili v posledním kroku, takže si můžete podle potřeby změnit názvy souborů a cesty souborů a také heslo ke každému úložišti, které bude odpovídat použitému v tomto prostředí.
Nástroj nástroje-Import-trustcacerts-alias kořene – úložiště úložišť nový soubor úložiště hesel. cer
* měl by vás vyžadovat, pokud se jedná o důvěryhodný kořenový certifikát – vyslovením Yes (y) a ENTER a poté zadáním hesla
nástroje Password-import-trustcacerts-alias intermediate01-Store New. DataStore-File intermediate01. cer nástroj "
-Import-trustcacerts-alias emcdpa-uložit nový soubor. úložiště úložišť – File emcdpa. cer
poté ověřte, že certifikát byl importován správně pomocí:
Nástroj pro práci s nástrojem" seznam-v-úložiště úložišť ". úložiště úložišť – storepass keystorepw
Pokud import proběhl správně, měl by zde
být uveden celý řetězec certifikátů. V systému Linux:
Otevřete soubor CSR v textovém editoru. Identifikujte každý z certifikátů----začít s certifikátem----a----příkaz Ukončit certifikát----.
Chcete-li každý z nich rozdělit na vlastní soubor, zkopírujte obsah každého z nich včetně----začít s certifikátem----a----koncového certifikátu----příkazů na obou koncích. Vložte obsah každého z jednotlivých textových souborů a zapište je podle pořadí, v jakém jsou umístěny do původního podepsaného certifikátu. Prvním bude certifikát podepsaný na server, poslední bude kořenový certifikát, cokoli mezi nimi jsou zprostředkující certifikáty.
V níže uvedeném příkladu jsem vyměněn zašifrovaný obsah a popisuje jednotlivé certifikáty v řetězci podle pořadí, v jakém se zobrazují:
----začít s certifikátem----
vystaven pro: webserver01.EMC.com;
Vydavatel: IntermediateCA-1
----koncového certifikátu----
----začít s certifikátem----
vystaven pro: IntermediateCA-1;
Vydavatel: IntermediateCA-2
----koncové osvědčení----
----začít s certifikátem----
vystaven pro: IntermediateCA-2;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
----začít s certifikátem----
vystaven pro: Kořenová CA;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
k jejich uložení, zkopírování celého šifrovaného obsahu, včetně počátečního/koncového příkazu, do samostatného textového souboru a jeho uložení –
root. cerbude obsahovat:
----začít s osvědčením----
Vystaveno pro: Kořenová CA;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
Intermediate02. cer bude obsahovat:
----začít s certifikátem----
vystaven pro: IntermediateCA-2;
Vydavatel: Kořenový certifikační úřad
----koncového certifikátu----
Intermediate01. cer bude obsahovat:
----začít s certifikátem----
vystaven pro: IntermediateCA-1;
Vydavatel: IntermediateCA-2
----koncové osvědčení----
podepsaný webServer obsahuje:
----začít s certifikátem----
vydán pro: webserver01.EMC.com;
Vydavatel: IntermediateCA-1
--------koncového certifikátu
, naimportujte tyto nástroje do dočasného úložiště úložišť pomocí následujících příkazů:
./keytool-import-trustcacerts-alias root-úložiště DataStore – kořen souboru. cer
* Pokud se jedná o důvěryhodný kořenový certifikát, vyslovte Yes (y) a stiskněte klávesu ENTER a poté zadejte heslo k úložišti
./keytool-import-trustcacerts-alias intermediate02 – úložiště úložišť New. DataStore – soubor intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01 úložiště intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-DataStore New. úložiště úložišť – soubor emcdpa. cer
poté ověřte, že certifikát byl importován správně pomocí:
./keytool-list-v-úložiště úložišť s názvem New. úložiště úložišť – storepass keystorepw
Pokud je importováno správně, měl by zde být uveden celý řetěz certifikátů.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To