Sådan adskilles serveren, de midlertidige og rodcertifikater fra et enkelt signeret certifikat manuelt.
Summary:Denne artikel beskriver, hvordan du manuelt kan adskille serveren, de midlertidige og rodcertifikater fra et enkelt signeret certifikat i Windows eller Linux.
Please select a product to check article relevancy
This article applies to This article does not apply toThis article is not tied to any specific product.Not all product versions are identified in this article.
Når du importerer et signeret certifikat til det midlertidige nøglelager, er det vigtigt at importere hele certifikatkæden. For at bekræfte, at websitet er sikret, og at certifikatet er blevet signeret af et betroet nøglecenter, skal browseren have adgang til certifikatkæden. "Kæden til tillid" giver browseren mulighed for at oprette en forbindelse, der er tillid til, ved at give den fulde sti fra det signerede certifikat til rodcertifikatet. Der kan også være et eller flere mellemliggende certifikater imellem.
Alle certifikater, der forbinder det signerede servercertifikat med rodcertifikatet, udgør certifikatkæden. Kæden bruges til at validere en sikker forbindelse (https) til webserveren, baseret på den udstedes af et betroet nøglecenter. Uden hele certifikatkæden vil browseren ikke kunne validere en sikker forbindelse.
Visse certifikat filtyper vil indeholde det signerede servercertifikat, de midlertidige certifikater og rodcertifikatet i en fil. I disse tilfælde kan det være muligt at importere hele kæden på en gang.
Normalt er filerne PKCS # 12 (. pfx eller. p12)-som kan opbevare servercertifikatet, det midlertidige certifikat og den private nøgle i en enkelt. pfx-fil med adgangskodebeskyttelse. De kan også være i PKCS # 7-format (. p7b eller. p7c)-som kun indeholder certifikaterne i kæden, ikke private nøgler. Certifikater i PEM format (. PEM,. CRT,. cer, eller. Key)- kan inkludere servercertifikatet, det midlertidige certifikat og den private nøgle i en enkelt fil. Servercertifikatet og det midlertidige certifikat kan også være i en separat. CRT-eller. cer-filer og den private nøgle kan være i en. Key-fil.
Du kan kontrollere, om hele certifikatkæden er i en fil ved at åbne den i et tekstredigeringsprogram. Hvert certifikat er indeholdt i----Start certifikat----og----slut certifikat----s sætninger. Den private nøgle er indeholdt i----begynder RSA PRIVATE nøgle-----og-----slut RSA PRIVATE nøgle------sætninger.
Hvis filen ikke indeholder hele certifikatkæden, kan du blive nødt til at importere hver del af certifikatet manuelt fra rodcertifikatet til servercertifikatet. I nogle tilfælde kan kunden få hvert underliggende certifikat og rodcertifikat i separate filer fra NØGLECENTERET. Nogle CAs vil levere den kæde, der fører til servercertifikatet, i en separat fil. I disse tilfælde skal du importere hver fil til det midlertidige nøglelager (oprindeligt start end mellemliggende (e), servercertifikat) ved hjælp af kommandoen nedenfor og et andet alias for hver: nøgle værktøj-Importer-trustcacerts-alias aliasname -RODNØGLE Temp. File-lager- certifikat.
Bemærk: Du skal ændre alias og filnavne baseret på det alias og de filnavne, der bruges, når CSR genereres. Brug altid alias roden, når du importerer rodnøglecenter-certifikatet og brug altid det alias, der bruges til at generere CSR-filen, når du importerer servercertifikatet. Aliaser for de mellemliggende certifikater bruges som id'er, men kan være det samme som dem, der er unikke.
Hvis nøglecenteret ikke leverer disse filer til dig, og du har brug for at adskille dem manuelt i roden, mellemliggende og servercertifikat, kan du gøre det på en af to måder: i Windows: Hvis du modtager den signerede certifikatfil, skal du åbne den i Windows for at se stien til rodcertifikatet:
for rodcertifikatet og alle mellemliggende certifikater skal du fremhæve hver (ét ad gangen) og klikke på Vis certifikat. I dette vindue skal du klikke på Vis detaljer > Kopier til fil > bruge base-64-kodet X. 509 (. cer)-format og gemme hver. Sørg for at mærke dem, så du kan importere dem i rækkefølge (dvs. i roden. cer, intermediate01. cer, emcdpa. cer). Rodcertifikatet vil være den eneste, der er udstedt til sig selv. For eksempel
:
Når du har gemt dem, skal du flytte dem til dpa\services\ _jre \bin på applikationsserveren. Brug af følgende kommandoer fra dpa\services\ _jre \bin til at importere rodcertifikatet, alle midlertidige certifikater og slut certifikat filerne. Bemærk: Dette er de filer, du oprettede i sidste trin, så du skal sørge for at ændre filnavnene og filstier efter behov, samt den adgangskode til, der skal bruges til at matche den, der anvendes i dette miljø.
nøgle værktøj – import-trustcacerts-alias-RODNØGLE lager nyt. nøglelager-rod. cer * det bør spørge dig, om dette er et betroet rodcertifikat – f. eks. ja (y) og tryk på ENTER og derefter ENTER password Sets værktøj-Importer-trustcacerts-alias intermediate01-nøglelager ny. intermediate01-fil. cer-nøgle værktøj – Importer-trustcacerts-alias emcdpa--nøglelager ny. nøglelager-fil emcdpa. cer
, Bekræft, at certifikatet blev importeret korrekt ved hjælp af: nøgle værktøjet-v--nøglelager ny. nøglelager-storepass keystorepw
Hvis det er importeret korrekt, bør du se hele certifikatkæden her.
I Linux: Åbn CSR-filen i et tekstredigeringsprogram. Identificer hvert certifikat ved----start certifikat----og----slut certifikat----s erklæringer.
Hvis du vil adskille hver af dem i den egen fil, skal du kopiere indholdet i alle, herunder----, certifikat----og----slut certifikat----s erklæringer på begge ender. Indsæt indholdet af hver i separate tekstfiler og mærk dem baseret på den rækkefølge, de er placeret i den oprindeligt signerede certifikatfil. Det første vil være det certifikat, der er signeret af serverne, den sidste vil være rodcertifikatet, alt sammen mellem er et mellemliggende certifikat.
I eksemplet herunder udskiftede jeg det krypterede indhold for at beskrive hvert certifikat i kæden i henhold til den rækkefølge, som de vises i filen: ----Start certifikat---- udstedt til: webserver01.EMC.com; Udstedt af: IntermediateCA-1 ----slut certifikat---- ----start certifikat---- udstedt til: IntermediateCA-1; Udstedt af: IntermediateCA-2 ----slut certifikat---- ----start certifikat---- udstedt til: IntermediateCA-2; Udstedt af: Rodnøglecenter ----Afslut certifikat---- ----start certifikat---- udstedt til: Rodnøglecenter; Udstedt af: Rodnøglecenter ----Afslut certifikat----
for at gemme hver, skal du kopiere hele det krypterede indhold inklusive start/slut sætninger til en separat tekstfil og gemme det i
Importer dem derefter i det midlertidige lager med følgende kommandoer:
./keytool-import-trustcacerts-alias-RODNØGLE lager ny. RODNØGLE-File root. cer * det bør spørge dig, om dette er et betroet rodcertifikat – Antag ja (y) og tryk på ENTER