Como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado
Este artigo descreve como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado no Windows ou Linux.
Summary:Este artigo descreve como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado no Windows ou Linux.
This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.
Article Content
Instructions
Durante a importação de um certificado assinado no keystore temporário, é importante importar a cadeia de certificados completo. Para confirmar se o site está seguro e se o certificado foi assinado por uma autoridade de certificação confiável, o navegador precisa ter acesso à cadeia de certificados. A "cadeia de confiança" permite que o navegador estabeleça uma conexão confiável fornecendo o caminho completo do certificado assinado para o certificado raiz. Pode haver apenas um ou mais certificados intermediários entre eles.
Todos os certificados que conectam o certificado do servidor assinado ao certificado raiz compõem a cadeia de certificados. A cadeia é usada para validar uma conexão segura (https) para o servidor da base com a que está sendo emitida por uma autoridade de certificação confiável. Sem a cadeia de certificados completo, o navegador não será capaz de validar uma conexão segura.
Alguns tipos de arquivo de certificado conterá o certificado de servidor assinado, os certificados intermediários e o certificado raiz em um arquivo. Nesses casos, pode ser possível importar a cadeia completa de uma só vez.
Geralmente, esses arquivos são PKCS # 12 (. pfx ou. p12), que podem armazenar o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. pfx com proteção por senha. Eles também podem estar no formato PKCS # 7 (. p7b ou. p7c), que contêm apenas os certificados na cadeia, não as chaves privadas. Certificados no formato PEM (. PEM,. CRT,. cer ou. Key)- pode incluir o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. O certificado do servidor e o certificado intermediário também podem estar em arquivos. CRT ou. cer separados, e a chave privada pode estar em um arquivo. Key.
Você pode verificar se a cadeia de certificados completo está em um arquivo abrindo-a em um editor de texto. Cada certificado está presente entre o----iniciar----de certificado e----declarações de----de certificado final. A chave privada está contida entre as----iniciar RSA chaves privadas-----e-----encerrar RSA chaves privadas-----.
se o arquivo não contiver a cadeia de certificados completo, talvez você precise importar cada parte do certificado manualmente-do certificado raiz para o certificado do servidor. Em alguns casos, o cliente pode obter todos os certificados intermediários e o certificado raiz em arquivos separados da CA. Algumas CAs fornecerão a cadeia que leva o certificado do servidor em um arquivo separado. Nesses casos, importe cada arquivo no keystore temporário (raiz primeiro, em relação a intermediário (s), em seguida, o certificado de servidor) usando o comando abaixo e um alias diferente para cada: keytool-Import-trustcacerts-alias aliasname -keystore Temp. keystore -File CERT. arquivo
Nota: Você vai alterar o alias e os nomes de arquivos com base no alias e nos nomes de arquivo usados durante a geração da CSR. Sempre use a raiz do alias ao importar o certificado raiz da CA e sempre use o alias usado para gerar o arquivo CSR ao importar o certificado do servidor. Os aliases dos certificados intermediários são usados como identificadores, mas podem ser os mesmos, desde que cada um deles seja exclusivo.
Se a CA não fornecer cada um desses arquivos para você e você precisar separá-los manualmente na raiz, intermediário e certificado do servidor, você pode fazer isso de uma das seguintes maneiras: no Windows: quando você receber o arquivo de certificado assinado, abra-o em Windows para ver o caminho para o certificado raiz:
para o certificado raiz e quaisquer certificados intermediários, destaque cada um (um por vez) e clique em Exibir certificado. Nessa janela, clique em View Details > Copie to File > Use o formato base-64 Encoded X. 509 (. cer) e salve cada um deles. Certifique-se de rotulá-los de modo que você possa importá-los em ordem (ou seja, root. cer, intermediate01. cer, emcdpa. cer). O certificado raiz será o único emitido por si mesmo. Por exemplo
:
Depois de salvar cada um, mova-os para dpa\services\ _jre \bin no servidor de aplicativos. Usar os seguintes comandos do dpa\services\ _jre \Bin para importar o certificado raiz, todos os certificados intermediários e os arquivos de certificado final. Obs.: Esses são os arquivos que você criou na última etapa, por isso, certifique-se de alterar os nomes de arquivos e caminhos de arquivo conforme necessário, bem como a senha do keystore que será necessária para corresponder ao que está sendo usado neste ambiente.
keytool-Import-trustcacerts-alias raiz-keystore novo. keystore-file root. cer * ele deve perguntar se este é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha keytool-Import-trustcacerts-alias intermediate01-keystore New. keystore-File intermediate01. cer keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
e, em seguida, verifique se o certificado foi importado corretamente usando: keytool-list-v-keystore New. keystore-storepass keystorepw
se ele foi importado adequadamente, você verá a cadeia de certificados completo aqui.
No Linux: Abra o arquivo CSR em um editor de texto. Identifique cada um dos certificados pelo----iniciar----de certificado e----declarações de----de certificado final.
Para separar cada um deles em seu próprio arquivo, copie o conteúdo de cada um deles, incluindo o----iniciar o certificado----e as declarações----end Certificate----em qualquer uma das extremidades. Colar o conteúdo de cada um em arquivos de texto separados e rotulá-los com base na ordem em que são colocados no arquivo de certificado assinado original. O primeiro será o certificado assinado do servidor, o último será o certificado raiz, qualquer coisa entre os certificados intermediários.
No exemplo a seguir, eu substituí o conteúdo criptografado para descrever cada certificado na cadeia de acordo com a ordem em que eles aparecem no arquivo: ----iniciar o certificado---- emitido para: webserver01.EMC.com; Emitido por: IntermediateCA-1 ----certificado final---- ----Iniciar---- de certificado emitido para: IntermediateCA-1; Emitido por: IntermediateCA-2 ----certificado final---- ----Iniciar---- de certificado emitido para: IntermediateCA-2; Emitido por: Root-CA ----certificado final---- ----Iniciar---- de certificado emitido para: Raiz-CA; Emitido por: Root-CA --------de certificado final
para salvar cada um, copie todo o conteúdo criptografado, inclusive as declarações começando/encerrar em um arquivo de texto separado e salve it-
Intermediate02. cer deve conter: ----Iniciar---- de certificado emitido para: IntermediateCA-2; Emitido por: Root-CA ----certificado final----
Intermediate01. cer deve conter: ----Iniciar---- de certificado emitido para: IntermediateCA-1; Emitido por: IntermediateCA-2 ----certificado final----
certificado do servidor do webassinado deve conter: ----Iniciar---- de certificado emitido para: webserver01.EMC.com; Emitido por: IntermediateCA-1 ----certificado final----
, em seguida, importe-os para o keystore temporário usando os seguintes comandos:
./keytool-Import-trustcacerts-alias root-keystore novo. keystore-raiz de arquivo. cer * ele deve perguntar se esse é um certificado raiz confiável-diga Yes (s) e pressione Enter e, em seguida, digite a senha do keystore