Article Number: 000158453
Como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado
Summary: Este artigo descreve como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado no Windows ou Linux.
Article Content
Instructions
Durante a importação de um certificado assinado no keystore temporário, é importante importar a cadeia de certificados completo. Para confirmar se o site está seguro e se o certificado foi assinado por uma autoridade de certificação confiável, o navegador precisa ter acesso à cadeia de certificados. A "cadeia de confiança" permite que o navegador estabeleça uma conexão confiável fornecendo o caminho completo do certificado assinado para o certificado raiz. Pode haver apenas um ou mais certificados intermediários entre eles.
Todos os certificados que conectam o certificado do servidor assinado ao certificado raiz compõem a cadeia de certificados. A cadeia é usada para validar uma conexão segura (https) para o servidor da base com a que está sendo emitida por uma autoridade de certificação confiável. Sem a cadeia de certificados completo, o navegador não será capaz de validar uma conexão segura.
Alguns tipos de arquivo de certificado conterá o certificado de servidor assinado, os certificados intermediários e o certificado raiz em um arquivo. Nesses casos, pode ser possível importar a cadeia completa de uma só vez.
Geralmente, esses arquivos são PKCS # 12 (. pfx ou. p12), que podem armazenar o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. pfx com proteção por senha.
Eles também podem estar no formato PKCS # 7 (. p7b ou. p7c), que contêm apenas os certificados na cadeia, não as chaves privadas.
Certificados no formato PEM (. PEM,. CRT,. cer ou. Key)- pode incluir o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. O certificado do servidor e o certificado intermediário também podem estar em arquivos. CRT ou. cer separados, e a chave privada pode estar em um arquivo. Key.
Você pode verificar se a cadeia de certificados completo está em um arquivo abrindo-a em um editor de texto. Cada certificado está presente entre o----iniciar----de certificado e----declarações de----de certificado final. A chave privada está contida entre as----iniciar RSA chaves privadas-----e-----encerrar RSA chaves privadas-----.
Certifique-se de que o número de certificados contidos no----iniciar----de certificado e----declarações de----de certificado final corresponda ao número de certificados na cadeia (servidor e intermediário). Se o arquivo contém a chave privada, o que significa que ele termina com----iniciar RSA chave privada-----e-----END RSA chave privada, você pode importá-la diretamente para a Apollo. keystore. Data Protection Advisor (DPA): Como importar um certificado assinado que contém a cadeia completa de confiança e chave privada para o DPA-Windows ou
(Windows) ou como importar um certificado assinado que contém a cadeia completa de confiança e chave privada para o DPA-Linux
se o arquivo não contiver a cadeia de certificados completo, talvez você precise importar cada parte do certificado manualmente-do certificado raiz para o certificado do servidor. Em alguns casos, o cliente pode obter todos os certificados intermediários e o certificado raiz em arquivos separados da CA. Algumas CAs fornecerão a cadeia que leva o certificado do servidor em um arquivo separado. Nesses casos, importe cada arquivo no keystore temporário (raiz primeiro, em relação a intermediário (s), em seguida, o certificado de servidor) usando o comando abaixo e um alias diferente para cada:
keytool-Import-trustcacerts-alias aliasname -keystore Temp. keystore -File CERT. arquivo
Nota: Você vai alterar o alias e os nomes de arquivos com base no alias e nos nomes de arquivo usados durante a geração da CSR. Sempre use a raiz do alias ao importar o certificado raiz da CA e sempre use o alias usado para gerar o arquivo CSR ao importar o certificado do servidor. Os aliases dos certificados intermediários são usados como identificadores, mas podem ser os mesmos, desde que cada um deles seja exclusivo.
Se a CA não fornecer cada um desses arquivos para você e você precisar separá-los manualmente na raiz, intermediário e certificado do servidor, você pode fazer isso de uma das seguintes maneiras:
no Windows:
quando você receber o arquivo de certificado assinado, abra-o em Windows para ver o caminho para o certificado raiz:
para o certificado raiz e quaisquer certificados intermediários, destaque cada um (um por vez) e clique em Exibir certificado.
Nessa janela, clique em View Details > Copie to File > Use o formato base-64 Encoded X. 509 (. cer) e salve cada um deles.
Certifique-se de rotulá-los de modo que você possa importá-los em ordem (ou seja, root. cer, intermediate01. cer, emcdpa. cer). O certificado raiz será o único emitido por si mesmo. Por exemplo
:
Depois de salvar cada um, mova-os para dpa\services\ _jre \bin no servidor de aplicativos.
Usar os seguintes comandos do dpa\services\ _jre \Bin para importar o certificado raiz, todos os certificados intermediários e os arquivos de certificado final.
Obs.: Esses são os arquivos que você criou na última etapa, por isso, certifique-se de alterar os nomes de arquivos e caminhos de arquivo conforme necessário, bem como a senha do keystore que será necessária para corresponder ao que está sendo usado neste ambiente.
keytool-Import-trustcacerts-alias raiz-keystore novo. keystore-file root. cer
* ele deve perguntar se este é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha
keytool-Import-trustcacerts-alias intermediate01-keystore New. keystore-File intermediate01. cer
keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
e, em seguida, verifique se o certificado foi importado corretamente usando:
keytool-list-v-keystore New. keystore-storepass keystorepw
se ele foi importado adequadamente, você verá a cadeia de certificados completo aqui.
No Linux:
Abra o arquivo CSR em um editor de texto. Identifique cada um dos certificados pelo----iniciar----de certificado e----declarações de----de certificado final.
Para separar cada um deles em seu próprio arquivo, copie o conteúdo de cada um deles, incluindo o----iniciar o certificado----e as declarações----end Certificate----em qualquer uma das extremidades. Colar o conteúdo de cada um em arquivos de texto separados e rotulá-los com base na ordem em que são colocados no arquivo de certificado assinado original. O primeiro será o certificado assinado do servidor, o último será o certificado raiz, qualquer coisa entre os certificados intermediários.
No exemplo a seguir, eu substituí o conteúdo criptografado para descrever cada certificado na cadeia de acordo com a ordem em que eles aparecem no arquivo:
----iniciar o certificado----
emitido para: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----certificado final----
----Iniciar----
de certificado emitido para: IntermediateCA-1;
Emitido por: IntermediateCA-2
----certificado final----
----Iniciar----
de certificado emitido para: IntermediateCA-2;
Emitido por: Root-CA
----certificado final----
----Iniciar----
de certificado emitido para: Raiz-CA;
Emitido por: Root-CA
--------de certificado final
para salvar cada um, copie todo o conteúdo criptografado, inclusive as declarações começando/encerrar em um arquivo de texto separado e salve it-
root. cerdeve conter:
----Iniciar----
de certificado emitido para: Raiz-CA;
Emitido por: Root-CA
----certificado final----
Intermediate02. cer deve conter:
----Iniciar----
de certificado emitido para: IntermediateCA-2;
Emitido por: Root-CA
----certificado final----
Intermediate01. cer deve conter:
----Iniciar----
de certificado emitido para: IntermediateCA-1;
Emitido por: IntermediateCA-2
----certificado final----
certificado do servidor do webassinado deve conter:
----Iniciar----
de certificado emitido para: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----certificado final----
, em seguida, importe-os para o keystore temporário usando os seguintes comandos:
./keytool-Import-trustcacerts-alias root-keystore novo. keystore-raiz de arquivo. cer
* ele deve perguntar se esse é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha do keystore
./keytool-Import-trustcacerts-alias intermediate02-keystore New. keystore-File intermediate02. cer
./keytool-Import-trustcacerts-alias intermediate01-keystore New. keystore-File intermediate01. cer
./keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
e, em seguida, verifique se o certificado foi importado corretamente usando:
./keytool-list-v-keystore novo. keystore-storepass keystorepw
se ele foi importado adequadamente, você verá a cadeia de certificados completo aqui.
Todos os certificados que conectam o certificado do servidor assinado ao certificado raiz compõem a cadeia de certificados. A cadeia é usada para validar uma conexão segura (https) para o servidor da base com a que está sendo emitida por uma autoridade de certificação confiável. Sem a cadeia de certificados completo, o navegador não será capaz de validar uma conexão segura.
Alguns tipos de arquivo de certificado conterá o certificado de servidor assinado, os certificados intermediários e o certificado raiz em um arquivo. Nesses casos, pode ser possível importar a cadeia completa de uma só vez.
Geralmente, esses arquivos são PKCS # 12 (. pfx ou. p12), que podem armazenar o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. pfx com proteção por senha.
Eles também podem estar no formato PKCS # 7 (. p7b ou. p7c), que contêm apenas os certificados na cadeia, não as chaves privadas.
Certificados no formato PEM (. PEM,. CRT,. cer ou. Key)- pode incluir o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. O certificado do servidor e o certificado intermediário também podem estar em arquivos. CRT ou. cer separados, e a chave privada pode estar em um arquivo. Key.
Você pode verificar se a cadeia de certificados completo está em um arquivo abrindo-a em um editor de texto. Cada certificado está presente entre o----iniciar----de certificado e----declarações de----de certificado final. A chave privada está contida entre as----iniciar RSA chaves privadas-----e-----encerrar RSA chaves privadas-----.
Certifique-se de que o número de certificados contidos no----iniciar----de certificado e----declarações de----de certificado final corresponda ao número de certificados na cadeia (servidor e intermediário). Se o arquivo contém a chave privada, o que significa que ele termina com----iniciar RSA chave privada-----e-----END RSA chave privada, você pode importá-la diretamente para a Apollo. keystore. Data Protection Advisor (DPA): Como importar um certificado assinado que contém a cadeia completa de confiança e chave privada para o DPA-Windows ou
(Windows) ou como importar um certificado assinado que contém a cadeia completa de confiança e chave privada para o DPA-Linux
se o arquivo não contiver a cadeia de certificados completo, talvez você precise importar cada parte do certificado manualmente-do certificado raiz para o certificado do servidor. Em alguns casos, o cliente pode obter todos os certificados intermediários e o certificado raiz em arquivos separados da CA. Algumas CAs fornecerão a cadeia que leva o certificado do servidor em um arquivo separado. Nesses casos, importe cada arquivo no keystore temporário (raiz primeiro, em relação a intermediário (s), em seguida, o certificado de servidor) usando o comando abaixo e um alias diferente para cada:
keytool-Import-trustcacerts-alias aliasname -keystore Temp. keystore -File CERT. arquivo
Nota: Você vai alterar o alias e os nomes de arquivos com base no alias e nos nomes de arquivo usados durante a geração da CSR. Sempre use a raiz do alias ao importar o certificado raiz da CA e sempre use o alias usado para gerar o arquivo CSR ao importar o certificado do servidor. Os aliases dos certificados intermediários são usados como identificadores, mas podem ser os mesmos, desde que cada um deles seja exclusivo.
Se a CA não fornecer cada um desses arquivos para você e você precisar separá-los manualmente na raiz, intermediário e certificado do servidor, você pode fazer isso de uma das seguintes maneiras:
no Windows:
quando você receber o arquivo de certificado assinado, abra-o em Windows para ver o caminho para o certificado raiz:
para o certificado raiz e quaisquer certificados intermediários, destaque cada um (um por vez) e clique em Exibir certificado.
Nessa janela, clique em View Details > Copie to File > Use o formato base-64 Encoded X. 509 (. cer) e salve cada um deles.
Certifique-se de rotulá-los de modo que você possa importá-los em ordem (ou seja, root. cer, intermediate01. cer, emcdpa. cer). O certificado raiz será o único emitido por si mesmo. Por exemplo
:
Depois de salvar cada um, mova-os para dpa\services\ _jre \bin no servidor de aplicativos.
Usar os seguintes comandos do dpa\services\ _jre \Bin para importar o certificado raiz, todos os certificados intermediários e os arquivos de certificado final.
Obs.: Esses são os arquivos que você criou na última etapa, por isso, certifique-se de alterar os nomes de arquivos e caminhos de arquivo conforme necessário, bem como a senha do keystore que será necessária para corresponder ao que está sendo usado neste ambiente.
keytool-Import-trustcacerts-alias raiz-keystore novo. keystore-file root. cer
* ele deve perguntar se este é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha
keytool-Import-trustcacerts-alias intermediate01-keystore New. keystore-File intermediate01. cer
keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
e, em seguida, verifique se o certificado foi importado corretamente usando:
keytool-list-v-keystore New. keystore-storepass keystorepw
se ele foi importado adequadamente, você verá a cadeia de certificados completo aqui.
No Linux:
Abra o arquivo CSR em um editor de texto. Identifique cada um dos certificados pelo----iniciar----de certificado e----declarações de----de certificado final.
Para separar cada um deles em seu próprio arquivo, copie o conteúdo de cada um deles, incluindo o----iniciar o certificado----e as declarações----end Certificate----em qualquer uma das extremidades. Colar o conteúdo de cada um em arquivos de texto separados e rotulá-los com base na ordem em que são colocados no arquivo de certificado assinado original. O primeiro será o certificado assinado do servidor, o último será o certificado raiz, qualquer coisa entre os certificados intermediários.
No exemplo a seguir, eu substituí o conteúdo criptografado para descrever cada certificado na cadeia de acordo com a ordem em que eles aparecem no arquivo:
----iniciar o certificado----
emitido para: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----certificado final----
----Iniciar----
de certificado emitido para: IntermediateCA-1;
Emitido por: IntermediateCA-2
----certificado final----
----Iniciar----
de certificado emitido para: IntermediateCA-2;
Emitido por: Root-CA
----certificado final----
----Iniciar----
de certificado emitido para: Raiz-CA;
Emitido por: Root-CA
--------de certificado final
para salvar cada um, copie todo o conteúdo criptografado, inclusive as declarações começando/encerrar em um arquivo de texto separado e salve it-
root. cerdeve conter:
----Iniciar----
de certificado emitido para: Raiz-CA;
Emitido por: Root-CA
----certificado final----
Intermediate02. cer deve conter:
----Iniciar----
de certificado emitido para: IntermediateCA-2;
Emitido por: Root-CA
----certificado final----
Intermediate01. cer deve conter:
----Iniciar----
de certificado emitido para: IntermediateCA-1;
Emitido por: IntermediateCA-2
----certificado final----
certificado do servidor do webassinado deve conter:
----Iniciar----
de certificado emitido para: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----certificado final----
, em seguida, importe-os para o keystore temporário usando os seguintes comandos:
./keytool-Import-trustcacerts-alias root-keystore novo. keystore-raiz de arquivo. cer
* ele deve perguntar se esse é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha do keystore
./keytool-Import-trustcacerts-alias intermediate02-keystore New. keystore-File intermediate02. cer
./keytool-Import-trustcacerts-alias intermediate01-keystore New. keystore-File intermediate01. cer
./keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
e, em seguida, verifique se o certificado foi importado corretamente usando:
./keytool-list-v-keystore novo. keystore-storepass keystorepw
se ele foi importado adequadamente, você verá a cadeia de certificados completo aqui.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To