Article Number: 000158453
Hvordan du manuelt deler serveren, midlertidige og rot sertifikater fra ett enkelt signert sertifikat
Summary: Denne artikkelen beskriver hvordan du manuelt deler serveren, mellom liggende og rot sertifikater fra ett enkelt signert sertifikat i Windows eller Linux.
Article Content
Instructions
Når du importerer et signert sertifikat inn i det midlertidige keystore, er det viktig å importere hele sertifikat kjeden. For å bekrefte at nett staden er sikkert og at sertifikatet er signert av en klarert sertifiserings instans, må nett leseren ha tilgang til sertifikat kjeden. I delen "kjeden av tillit" kan nett leseren etablere en klarert tilkobling ved å oppgi hele banen fra det signerte sertifikatet til rot sertifikatet. Det kan hende at det finnes ett eller flere midlertidige sertifikater i tillegg.
Alle sertifikater som kobler det signerte serversertifikatet til rot sertifikatet, oppretter sertifikat kjeden. Kjeden brukes til å validere en sikker tilkobling (HTTPS) til webserver basert på den som blir utstedt av en klarert sertifiserings instans. Uten hele sertifikat kjeden vil ikke nett leseren kunne validere en sikker tilkobling.
Noen sertifikat fil typer vil inneholde et signert serversertifikat, midlertidige sertifikater og rot sertifikatet i én fil. I slike tilfeller kan det være mulig å importere hele kjeden på én gang.
Disse filene er vanligvis PKCS # 12 (*. PFX eller *. P12)-som kan lagre serversertifikatet, det midlertidige sertifikatet og privat nøkkelen i en enkelt PFX-fil med passord beskyttelse.
De kan også være i PKCS # 7-format (. P7B eller. P7C)-som bare inneholder sertifikater som er i kjeden, ikke privat nøkler.
Sertifikater i PEM-format (. PEM,. CRT,. cer eller. Key)- kan inkludere serversertifikatet, det midlertidige sertifikatet og privat nøkkelen i en enkelt fil. Serversertifikatet og det midlertidige sertifikatet kan også være i en atskilt CRT-eller CER-fil og privat nøkkelen kan være i en. Key-fil.
Du kan se om hele sertifikat kjeden er i én fil ved å åpne den i et tekst redigerings program. Hvert sertifikat ligger mellom----start SERTIFIKATET----og----avslutte sertifikat-----setninger. Den private nøkkelen befinner seg mellom----start RSA privat nøkkelen-----og-----avslutte RSA PRIVATE nøkkel------setninger.
Kontroller at antallet sertifikater som befinner seg i----Start sertifikat----og----slutt sertifikat-----setninger Sams varer med antall sertifikater i kjeden (Server og middels). Hvis filen inneholder en privat nøkkel, betyr det at det slutter med----starte RSA privat nøkkel-----og-----ende RSA privat nøkkel, kan det hende at du kan importere den direkte til Apollo. keystore. Data Protection Advisor (DPA): Hvordan du importerer et signert sertifikat som inneholder hele kjeden av tillit og privat nøkkel til DPA-Windows eller
(Windows) eller hvordan du importerer et signert sertifikat som inneholder hele kjeden av tillit og privat nøkkel til DPA-Linux
Hvis filen ikke inneholder hele sertifikat kjeden, er det mulig at du må importere hver del av sertifikatet manuelt fra rot sertifikatet til serversertifikatet. I enkelte tilfeller kan kunden få hvert av de midlertidige sertifikatene og rot sertifikatet i separate filer fra sertifiserings instansen. Noen CAer vil sørge for at kjeden er ledende opp til serversertifikatet i en separat fil. I slike tilfeller importerer du hver fil til den midlertidige keystore (roten først, enn mellom liggende (e), deretter serversertifikat) ved hjelp av kommandoen nedenfor og et annet alias for hver:
keytool-import-trustcacerts-alias aliasname -keystore temp. keystore -fil sertifikat. fil
Merknad: Du skal endre aliaset og fil navnene basert på aliaset og fil navnene som ble brukt ved generering av CSR. Bruk alltid alias når du importerer rot-CA-sertifikatet og alltid bruker aliaset som brukes til å generere CSR-filen ved import av server-sertifikatet. Aliasene for de midlertidige sertifikatene brukes som ID-er, men kan være det du liker så lenge hver av dem er unike.
Hvis du ikke oppgir hver av disse filene, og du må atskille dem manuelt i roten, videre Komne og serversertifikat, kan du gjøre dette på én av to måter:
i Windows:
når du mottar den signerte sertifikat filen, må du åpne den i Windows for å se banen til rot sertifikatet:
for rot sertifikatet og alle midlertidige sertifikater, merker du av hver (én om gangen) og klikker på Vis sertifikat.
Fra dette vinduet klikker du på Vis detaljer > Kopier til fil > bruker base-64 kodet X. 509-format (. CER), og lagre hver av dem.
Pass på at du merker dem slik at du kan importere dem i rekkefølge (f.eks. rot. cer, intermediate01. cer, emcdpa. CER). Rot sertifikatet vil være det eneste som er utstedt til seg selv av seg selv. For eksempel
:
Når du har lagret hver av dem, flytter du dem til dpa\services\ _jre \bin på applikasjonsserveren.
Bruk følgende kommandoer fra dpa\services\ _jre \bin for å importere rot sertifikatet, alle midlertidige sertifikater og slutt sertifikat filer.
Merk: Dette er filene du opprettet i det siste trinnet, slik at du må endre fil navnene og fil banene etter behov, samt keystore passordet som skal være lik det som er brukt i dette miljøet.
keytool-import-trustcacerts-alias-rot-keystore nytt. keystore-fil rot. cer
* det skal spørre deg om dette er et klarert rot sertifikat, for eksempel Ja (y), og trykk på Enter, og skriv deretter inn passordet
keytool-import-trustcacerts-alias intermediate01-keystore ny. keystore-File intermediate01. cer
keytool-import-trustcacerts-alias emcdpa-keystore ny. keystore-fil emcdpa. cer
deretter kontrollerer du at sertifikatet ble importert på riktig måte ved hjelp av:
keytool-List-v-keystore ny. keystore-storepass keystorepw
Hvis det er riktig importert, skal du se hele sertifikat kjeden her.
I Linux:
Åpne CSR-filen i et tekst redigerings program. Identifisere hvert av sertifikatene ved hjelp av----starte sertifikat----og----avslutte sertifikat-----setninger.
Hvis du vil skille hver av dem i egne filer, må du kopiere innholdet i hver av dem inkludert----starte sertifikat----og----avslutte sertifikat----setninger i begge ender. Lim inn innholdet av hver inn i separate tekst filer, og merk dem basert på rekkefølgen de er plassert i den originale, signerte sertifikat filen. Det første vil være det signerte sertifikatet, det siste vil være rot sertifikatet, alt i mellom er midlertidige sertifikater.
I eksemplet nedenfor har jeg erstattet det krypterte innholdet for å beskrive hvert sertifikat i kjeden i henhold til rekkefølgen de står i i filen:
----starte sertifikat----
utstedt til: webserver01.EMC.com;
Utstedt av: IntermediateCA-1
----slutt sertifikat----
----starte sertifikat----
utstedt til: IntermediateCA-1;
Utstedt av: IntermediateCA-2
----slutt sertifikat----
----starte sertifikat----
utstedt til: IntermediateCA-2;
Utstedt av: Rot-sertifiserings instans
----slutt sertifikat----
----starte sertifikat----
utstedt til: Rot-CA;
Utstedt av: Rot sertifiserings instans
----slutt sertifikat----
for å lagre hver, kopiere hele det krypterte innholdet, inkludert start-og Slut-setningene til en egen tekstfil og lagre den
. cerville inneholde:
----BEGIN sertifikat----
utstedt til: Rot-CA;
Utstedt av: Rot sertifiserings instans
----slutt sertifikat----
Intermediate02. cer kan inneholde:
----Start sertifikat----
utstedt til: IntermediateCA-2;
Utstedt av: Rot sertifiserings instans
----slutt sertifikat----
Intermediate01. cer kan inneholde:
----Start sertifikat----
utstedt til: IntermediateCA-1;
Utstedt av: IntermediateCA-2
----slutt sertifikatet----
signert webserver-sertifikatet inneholder:
----Start sertifikat----
utstedt til: webserver01.EMC.com;
Utstedt av: IntermediateCA-1
----slutt sertifikatet----
deretter importerer du disse inn i den midlertidige keystore ved hjelp av følgende kommandoer:
./keytool-import-trustcacerts-alias-rot-keystore nytt. keystore-fil rot. cer
* det skal spørre deg om dette er et klarert rot sertifikat, for eksempel Ja (y) og trykk på Enter, og skriv deretter inn keystore-passordet
./keytool-import-trustcacerts-alias intermediate02-keystore ny. keystore-fil intermediate02. cer
./keytool-alias for trustcacerts-intermediate01 ny. keystore-File intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-keystore ny. keystore-fil emcdpa. cer
deretter kontrollerer du at sertifikatet ble importert på riktig måte ved hjelp av:
./keytool-liste-v-keystore ny. keystore-storepass keystorepw
Hvis det er riktig importert, skal du se hele sertifikat kjeden her.
Alle sertifikater som kobler det signerte serversertifikatet til rot sertifikatet, oppretter sertifikat kjeden. Kjeden brukes til å validere en sikker tilkobling (HTTPS) til webserver basert på den som blir utstedt av en klarert sertifiserings instans. Uten hele sertifikat kjeden vil ikke nett leseren kunne validere en sikker tilkobling.
Noen sertifikat fil typer vil inneholde et signert serversertifikat, midlertidige sertifikater og rot sertifikatet i én fil. I slike tilfeller kan det være mulig å importere hele kjeden på én gang.
Disse filene er vanligvis PKCS # 12 (*. PFX eller *. P12)-som kan lagre serversertifikatet, det midlertidige sertifikatet og privat nøkkelen i en enkelt PFX-fil med passord beskyttelse.
De kan også være i PKCS # 7-format (. P7B eller. P7C)-som bare inneholder sertifikater som er i kjeden, ikke privat nøkler.
Sertifikater i PEM-format (. PEM,. CRT,. cer eller. Key)- kan inkludere serversertifikatet, det midlertidige sertifikatet og privat nøkkelen i en enkelt fil. Serversertifikatet og det midlertidige sertifikatet kan også være i en atskilt CRT-eller CER-fil og privat nøkkelen kan være i en. Key-fil.
Du kan se om hele sertifikat kjeden er i én fil ved å åpne den i et tekst redigerings program. Hvert sertifikat ligger mellom----start SERTIFIKATET----og----avslutte sertifikat-----setninger. Den private nøkkelen befinner seg mellom----start RSA privat nøkkelen-----og-----avslutte RSA PRIVATE nøkkel------setninger.
Kontroller at antallet sertifikater som befinner seg i----Start sertifikat----og----slutt sertifikat-----setninger Sams varer med antall sertifikater i kjeden (Server og middels). Hvis filen inneholder en privat nøkkel, betyr det at det slutter med----starte RSA privat nøkkel-----og-----ende RSA privat nøkkel, kan det hende at du kan importere den direkte til Apollo. keystore. Data Protection Advisor (DPA): Hvordan du importerer et signert sertifikat som inneholder hele kjeden av tillit og privat nøkkel til DPA-Windows eller
(Windows) eller hvordan du importerer et signert sertifikat som inneholder hele kjeden av tillit og privat nøkkel til DPA-Linux
Hvis filen ikke inneholder hele sertifikat kjeden, er det mulig at du må importere hver del av sertifikatet manuelt fra rot sertifikatet til serversertifikatet. I enkelte tilfeller kan kunden få hvert av de midlertidige sertifikatene og rot sertifikatet i separate filer fra sertifiserings instansen. Noen CAer vil sørge for at kjeden er ledende opp til serversertifikatet i en separat fil. I slike tilfeller importerer du hver fil til den midlertidige keystore (roten først, enn mellom liggende (e), deretter serversertifikat) ved hjelp av kommandoen nedenfor og et annet alias for hver:
keytool-import-trustcacerts-alias aliasname -keystore temp. keystore -fil sertifikat. fil
Merknad: Du skal endre aliaset og fil navnene basert på aliaset og fil navnene som ble brukt ved generering av CSR. Bruk alltid alias når du importerer rot-CA-sertifikatet og alltid bruker aliaset som brukes til å generere CSR-filen ved import av server-sertifikatet. Aliasene for de midlertidige sertifikatene brukes som ID-er, men kan være det du liker så lenge hver av dem er unike.
Hvis du ikke oppgir hver av disse filene, og du må atskille dem manuelt i roten, videre Komne og serversertifikat, kan du gjøre dette på én av to måter:
i Windows:
når du mottar den signerte sertifikat filen, må du åpne den i Windows for å se banen til rot sertifikatet:
for rot sertifikatet og alle midlertidige sertifikater, merker du av hver (én om gangen) og klikker på Vis sertifikat.
Fra dette vinduet klikker du på Vis detaljer > Kopier til fil > bruker base-64 kodet X. 509-format (. CER), og lagre hver av dem.
Pass på at du merker dem slik at du kan importere dem i rekkefølge (f.eks. rot. cer, intermediate01. cer, emcdpa. CER). Rot sertifikatet vil være det eneste som er utstedt til seg selv av seg selv. For eksempel
:
Når du har lagret hver av dem, flytter du dem til dpa\services\ _jre \bin på applikasjonsserveren.
Bruk følgende kommandoer fra dpa\services\ _jre \bin for å importere rot sertifikatet, alle midlertidige sertifikater og slutt sertifikat filer.
Merk: Dette er filene du opprettet i det siste trinnet, slik at du må endre fil navnene og fil banene etter behov, samt keystore passordet som skal være lik det som er brukt i dette miljøet.
keytool-import-trustcacerts-alias-rot-keystore nytt. keystore-fil rot. cer
* det skal spørre deg om dette er et klarert rot sertifikat, for eksempel Ja (y), og trykk på Enter, og skriv deretter inn passordet
keytool-import-trustcacerts-alias intermediate01-keystore ny. keystore-File intermediate01. cer
keytool-import-trustcacerts-alias emcdpa-keystore ny. keystore-fil emcdpa. cer
deretter kontrollerer du at sertifikatet ble importert på riktig måte ved hjelp av:
keytool-List-v-keystore ny. keystore-storepass keystorepw
Hvis det er riktig importert, skal du se hele sertifikat kjeden her.
I Linux:
Åpne CSR-filen i et tekst redigerings program. Identifisere hvert av sertifikatene ved hjelp av----starte sertifikat----og----avslutte sertifikat-----setninger.
Hvis du vil skille hver av dem i egne filer, må du kopiere innholdet i hver av dem inkludert----starte sertifikat----og----avslutte sertifikat----setninger i begge ender. Lim inn innholdet av hver inn i separate tekst filer, og merk dem basert på rekkefølgen de er plassert i den originale, signerte sertifikat filen. Det første vil være det signerte sertifikatet, det siste vil være rot sertifikatet, alt i mellom er midlertidige sertifikater.
I eksemplet nedenfor har jeg erstattet det krypterte innholdet for å beskrive hvert sertifikat i kjeden i henhold til rekkefølgen de står i i filen:
----starte sertifikat----
utstedt til: webserver01.EMC.com;
Utstedt av: IntermediateCA-1
----slutt sertifikat----
----starte sertifikat----
utstedt til: IntermediateCA-1;
Utstedt av: IntermediateCA-2
----slutt sertifikat----
----starte sertifikat----
utstedt til: IntermediateCA-2;
Utstedt av: Rot-sertifiserings instans
----slutt sertifikat----
----starte sertifikat----
utstedt til: Rot-CA;
Utstedt av: Rot sertifiserings instans
----slutt sertifikat----
for å lagre hver, kopiere hele det krypterte innholdet, inkludert start-og Slut-setningene til en egen tekstfil og lagre den
. cerville inneholde:
----BEGIN sertifikat----
utstedt til: Rot-CA;
Utstedt av: Rot sertifiserings instans
----slutt sertifikat----
Intermediate02. cer kan inneholde:
----Start sertifikat----
utstedt til: IntermediateCA-2;
Utstedt av: Rot sertifiserings instans
----slutt sertifikat----
Intermediate01. cer kan inneholde:
----Start sertifikat----
utstedt til: IntermediateCA-1;
Utstedt av: IntermediateCA-2
----slutt sertifikatet----
signert webserver-sertifikatet inneholder:
----Start sertifikat----
utstedt til: webserver01.EMC.com;
Utstedt av: IntermediateCA-1
----slutt sertifikatet----
deretter importerer du disse inn i den midlertidige keystore ved hjelp av følgende kommandoer:
./keytool-import-trustcacerts-alias-rot-keystore nytt. keystore-fil rot. cer
* det skal spørre deg om dette er et klarert rot sertifikat, for eksempel Ja (y) og trykk på Enter, og skriv deretter inn keystore-passordet
./keytool-import-trustcacerts-alias intermediate02-keystore ny. keystore-fil intermediate02. cer
./keytool-alias for trustcacerts-intermediate01 ny. keystore-File intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-keystore ny. keystore-fil emcdpa. cer
deretter kontrollerer du at sertifikatet ble importert på riktig måte ved hjelp av:
./keytool-liste-v-keystore ny. keystore-storepass keystorepw
Hvis det er riktig importert, skal du se hele sertifikat kjeden her.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To