Article Number: 000158453
Sådan adskilles serveren, de midlertidige og rodcertifikater fra et enkelt signeret certifikat manuelt.
Summary: Denne artikel beskriver, hvordan du manuelt kan adskille serveren, de midlertidige og rodcertifikater fra et enkelt signeret certifikat i Windows eller Linux.
Article Content
Instructions
Når du importerer et signeret certifikat til det midlertidige nøglelager, er det vigtigt at importere hele certifikatkæden. For at bekræfte, at websitet er sikret, og at certifikatet er blevet signeret af et betroet nøglecenter, skal browseren have adgang til certifikatkæden. "Kæden til tillid" giver browseren mulighed for at oprette en forbindelse, der er tillid til, ved at give den fulde sti fra det signerede certifikat til rodcertifikatet. Der kan også være et eller flere mellemliggende certifikater imellem.
Alle certifikater, der forbinder det signerede servercertifikat med rodcertifikatet, udgør certifikatkæden. Kæden bruges til at validere en sikker forbindelse (https) til webserveren, baseret på den udstedes af et betroet nøglecenter. Uden hele certifikatkæden vil browseren ikke kunne validere en sikker forbindelse.
Visse certifikat filtyper vil indeholde det signerede servercertifikat, de midlertidige certifikater og rodcertifikatet i en fil. I disse tilfælde kan det være muligt at importere hele kæden på en gang.
Normalt er filerne PKCS # 12 (. pfx eller. p12)-som kan opbevare servercertifikatet, det midlertidige certifikat og den private nøgle i en enkelt. pfx-fil med adgangskodebeskyttelse.
De kan også være i PKCS # 7-format (. p7b eller. p7c)-som kun indeholder certifikaterne i kæden, ikke private nøgler.
Certifikater i PEM format (. PEM,. CRT,. cer, eller. Key)- kan inkludere servercertifikatet, det midlertidige certifikat og den private nøgle i en enkelt fil. Servercertifikatet og det midlertidige certifikat kan også være i en separat. CRT-eller. cer-filer og den private nøgle kan være i en. Key-fil.
Du kan kontrollere, om hele certifikatkæden er i en fil ved at åbne den i et tekstredigeringsprogram. Hvert certifikat er indeholdt i----Start certifikat----og----slut certifikat----s sætninger. Den private nøgle er indeholdt i----begynder RSA PRIVATE nøgle-----og-----slut RSA PRIVATE nøgle------sætninger.
Sørg for, at antallet af certifikater i----s start certifikat----og----AFSLUTNINGs certifikat-----sætninger svarer til antallet af certifikater i kæden (server og øvet). Hvis filen indeholder den private nøgle, betyder det, at den slutter med----begynder RSA PRIVATE nøgle-----og-----slut RSA PRIVATE-nøgle, kan du muligvis importere den direkte til Apollo. Key store. Data Protection Advisor (DPA): Hvordan du importerer et signeret certifikat, der indeholder hele kæden og den private nøgle i DPA-Windows eller
(Windows) eller hvordan du importerer et signeret certifikat, der indeholder hele kæden for tillid og privat nøgle, til DPA-Linux
Hvis filen ikke indeholder hele certifikatkæden, kan du blive nødt til at importere hver del af certifikatet manuelt fra rodcertifikatet til servercertifikatet. I nogle tilfælde kan kunden få hvert underliggende certifikat og rodcertifikat i separate filer fra NØGLECENTERET. Nogle CAs vil levere den kæde, der fører til servercertifikatet, i en separat fil. I disse tilfælde skal du importere hver fil til det midlertidige nøglelager (oprindeligt start end mellemliggende (e), servercertifikat) ved hjælp af kommandoen nedenfor og et andet alias for hver: nøgle
værktøj-Importer-trustcacerts-alias aliasname -RODNØGLE Temp. File-lager- certifikat.
Bemærk: Du skal ændre alias og filnavne baseret på det alias og de filnavne, der bruges, når CSR genereres. Brug altid alias roden, når du importerer rodnøglecenter-certifikatet og brug altid det alias, der bruges til at generere CSR-filen, når du importerer servercertifikatet. Aliaser for de mellemliggende certifikater bruges som id'er, men kan være det samme som dem, der er unikke.
Hvis nøglecenteret ikke leverer disse filer til dig, og du har brug for at adskille dem manuelt i roden, mellemliggende og servercertifikat, kan du gøre det på en af to måder:
i Windows:
Hvis du modtager den signerede certifikatfil, skal du åbne den i Windows for at se stien til rodcertifikatet:
for rodcertifikatet og alle mellemliggende certifikater skal du fremhæve hver (ét ad gangen) og klikke på Vis certifikat.
I dette vindue skal du klikke på Vis detaljer > Kopier til fil > bruge base-64-kodet X. 509 (. cer)-format og gemme hver.
Sørg for at mærke dem, så du kan importere dem i rækkefølge (dvs. i roden. cer, intermediate01. cer, emcdpa. cer). Rodcertifikatet vil være den eneste, der er udstedt til sig selv. For eksempel
:
Når du har gemt dem, skal du flytte dem til dpa\services\ _jre \bin på applikationsserveren.
Brug af følgende kommandoer fra dpa\services\ _jre \bin til at importere rodcertifikatet, alle midlertidige certifikater og slut certifikat filerne.
Bemærk: Dette er de filer, du oprettede i sidste trin, så du skal sørge for at ændre filnavnene og filstier efter behov, samt den adgangskode til, der skal bruges til at matche den, der anvendes i dette miljø.
nøgle værktøj – import-trustcacerts-alias-RODNØGLE lager nyt. nøglelager-rod. cer
* det bør spørge dig, om dette er et betroet rodcertifikat – f. eks. ja (y) og tryk på ENTER og derefter ENTER password Sets
værktøj-Importer-trustcacerts-alias intermediate01-nøglelager ny. intermediate01-fil. cer-nøgle
værktøj – Importer-trustcacerts-alias emcdpa--nøglelager ny. nøglelager-fil emcdpa. cer
, Bekræft, at certifikatet blev importeret korrekt ved hjælp af: nøgle
værktøjet-v--nøglelager ny. nøglelager-storepass keystorepw
Hvis det er importeret korrekt, bør du se hele certifikatkæden her.
I Linux:
Åbn CSR-filen i et tekstredigeringsprogram. Identificer hvert certifikat ved----start certifikat----og----slut certifikat----s erklæringer.
Hvis du vil adskille hver af dem i den egen fil, skal du kopiere indholdet i alle, herunder----, certifikat----og----slut certifikat----s erklæringer på begge ender. Indsæt indholdet af hver i separate tekstfiler og mærk dem baseret på den rækkefølge, de er placeret i den oprindeligt signerede certifikatfil. Det første vil være det certifikat, der er signeret af serverne, den sidste vil være rodcertifikatet, alt sammen mellem er et mellemliggende certifikat.
I eksemplet herunder udskiftede jeg det krypterede indhold for at beskrive hvert certifikat i kæden i henhold til den rækkefølge, som de vises i filen:
----Start certifikat----
udstedt til: webserver01.EMC.com;
Udstedt af: IntermediateCA-1
----slut certifikat----
----start certifikat----
udstedt til: IntermediateCA-1;
Udstedt af: IntermediateCA-2
----slut certifikat----
----start certifikat----
udstedt til: IntermediateCA-2;
Udstedt af: Rodnøglecenter
----Afslut certifikat----
----start certifikat----
udstedt til: Rodnøglecenter;
Udstedt af: Rodnøglecenter
----Afslut certifikat----
for at gemme hver, skal du kopiere hele det krypterede indhold inklusive start/slut sætninger til en separat tekstfil og gemme det i
roden. cervil indeholde:
----Start certifikat----
udstedt til: Rodnøglecenter;
Udstedt af: Rodnøglecenter
----afslutnings certifikat----
Intermediate02. cer vil indeholde:
----Start certifikat----
udstedt til: IntermediateCA-2;
Udstedt af: Rodnøglecenter
----afslutnings certifikat----
Intermediate01. cer vil indeholde:
----Start certifikat----
udstedt til: IntermediateCA-1;
Udstedt af: IntermediateCA-2
----slut certifikat----
signerede Webservercertifikat vil indeholde:
----Start certifikat----
udstedt til: webserver01.EMC.com;
Udstedt af: IntermediateCA-1
----slut certifikat----
Importer dem derefter i det midlertidige lager med følgende kommandoer:
./keytool-import-trustcacerts-alias-RODNØGLE lager ny. RODNØGLE-File root. cer
* det bør spørge dig, om dette er et betroet rodcertifikat – Antag ja (y) og tryk på ENTER
./keytool-import-trustcacerts-alias intermediate02-nøglelager ny. nøglelager-fil intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01-nøglelager nyt. intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-nyt lager. nøglelager-fil emcdpa. cer
skal du verificere, at certifikatet blev importeret korrekt ved hjælp af:
./keytool-liste-v-nøglelager ny. nøglelager-storepass keystorepw
Hvis det er importeret korrekt, bør du se hele certifikatkæden her.
Alle certifikater, der forbinder det signerede servercertifikat med rodcertifikatet, udgør certifikatkæden. Kæden bruges til at validere en sikker forbindelse (https) til webserveren, baseret på den udstedes af et betroet nøglecenter. Uden hele certifikatkæden vil browseren ikke kunne validere en sikker forbindelse.
Visse certifikat filtyper vil indeholde det signerede servercertifikat, de midlertidige certifikater og rodcertifikatet i en fil. I disse tilfælde kan det være muligt at importere hele kæden på en gang.
Normalt er filerne PKCS # 12 (. pfx eller. p12)-som kan opbevare servercertifikatet, det midlertidige certifikat og den private nøgle i en enkelt. pfx-fil med adgangskodebeskyttelse.
De kan også være i PKCS # 7-format (. p7b eller. p7c)-som kun indeholder certifikaterne i kæden, ikke private nøgler.
Certifikater i PEM format (. PEM,. CRT,. cer, eller. Key)- kan inkludere servercertifikatet, det midlertidige certifikat og den private nøgle i en enkelt fil. Servercertifikatet og det midlertidige certifikat kan også være i en separat. CRT-eller. cer-filer og den private nøgle kan være i en. Key-fil.
Du kan kontrollere, om hele certifikatkæden er i en fil ved at åbne den i et tekstredigeringsprogram. Hvert certifikat er indeholdt i----Start certifikat----og----slut certifikat----s sætninger. Den private nøgle er indeholdt i----begynder RSA PRIVATE nøgle-----og-----slut RSA PRIVATE nøgle------sætninger.
Sørg for, at antallet af certifikater i----s start certifikat----og----AFSLUTNINGs certifikat-----sætninger svarer til antallet af certifikater i kæden (server og øvet). Hvis filen indeholder den private nøgle, betyder det, at den slutter med----begynder RSA PRIVATE nøgle-----og-----slut RSA PRIVATE-nøgle, kan du muligvis importere den direkte til Apollo. Key store. Data Protection Advisor (DPA): Hvordan du importerer et signeret certifikat, der indeholder hele kæden og den private nøgle i DPA-Windows eller
(Windows) eller hvordan du importerer et signeret certifikat, der indeholder hele kæden for tillid og privat nøgle, til DPA-Linux
Hvis filen ikke indeholder hele certifikatkæden, kan du blive nødt til at importere hver del af certifikatet manuelt fra rodcertifikatet til servercertifikatet. I nogle tilfælde kan kunden få hvert underliggende certifikat og rodcertifikat i separate filer fra NØGLECENTERET. Nogle CAs vil levere den kæde, der fører til servercertifikatet, i en separat fil. I disse tilfælde skal du importere hver fil til det midlertidige nøglelager (oprindeligt start end mellemliggende (e), servercertifikat) ved hjælp af kommandoen nedenfor og et andet alias for hver: nøgle
værktøj-Importer-trustcacerts-alias aliasname -RODNØGLE Temp. File-lager- certifikat.
Bemærk: Du skal ændre alias og filnavne baseret på det alias og de filnavne, der bruges, når CSR genereres. Brug altid alias roden, når du importerer rodnøglecenter-certifikatet og brug altid det alias, der bruges til at generere CSR-filen, når du importerer servercertifikatet. Aliaser for de mellemliggende certifikater bruges som id'er, men kan være det samme som dem, der er unikke.
Hvis nøglecenteret ikke leverer disse filer til dig, og du har brug for at adskille dem manuelt i roden, mellemliggende og servercertifikat, kan du gøre det på en af to måder:
i Windows:
Hvis du modtager den signerede certifikatfil, skal du åbne den i Windows for at se stien til rodcertifikatet:
for rodcertifikatet og alle mellemliggende certifikater skal du fremhæve hver (ét ad gangen) og klikke på Vis certifikat.
I dette vindue skal du klikke på Vis detaljer > Kopier til fil > bruge base-64-kodet X. 509 (. cer)-format og gemme hver.
Sørg for at mærke dem, så du kan importere dem i rækkefølge (dvs. i roden. cer, intermediate01. cer, emcdpa. cer). Rodcertifikatet vil være den eneste, der er udstedt til sig selv. For eksempel
:
Når du har gemt dem, skal du flytte dem til dpa\services\ _jre \bin på applikationsserveren.
Brug af følgende kommandoer fra dpa\services\ _jre \bin til at importere rodcertifikatet, alle midlertidige certifikater og slut certifikat filerne.
Bemærk: Dette er de filer, du oprettede i sidste trin, så du skal sørge for at ændre filnavnene og filstier efter behov, samt den adgangskode til, der skal bruges til at matche den, der anvendes i dette miljø.
nøgle værktøj – import-trustcacerts-alias-RODNØGLE lager nyt. nøglelager-rod. cer
* det bør spørge dig, om dette er et betroet rodcertifikat – f. eks. ja (y) og tryk på ENTER og derefter ENTER password Sets
værktøj-Importer-trustcacerts-alias intermediate01-nøglelager ny. intermediate01-fil. cer-nøgle
værktøj – Importer-trustcacerts-alias emcdpa--nøglelager ny. nøglelager-fil emcdpa. cer
, Bekræft, at certifikatet blev importeret korrekt ved hjælp af: nøgle
værktøjet-v--nøglelager ny. nøglelager-storepass keystorepw
Hvis det er importeret korrekt, bør du se hele certifikatkæden her.
I Linux:
Åbn CSR-filen i et tekstredigeringsprogram. Identificer hvert certifikat ved----start certifikat----og----slut certifikat----s erklæringer.
Hvis du vil adskille hver af dem i den egen fil, skal du kopiere indholdet i alle, herunder----, certifikat----og----slut certifikat----s erklæringer på begge ender. Indsæt indholdet af hver i separate tekstfiler og mærk dem baseret på den rækkefølge, de er placeret i den oprindeligt signerede certifikatfil. Det første vil være det certifikat, der er signeret af serverne, den sidste vil være rodcertifikatet, alt sammen mellem er et mellemliggende certifikat.
I eksemplet herunder udskiftede jeg det krypterede indhold for at beskrive hvert certifikat i kæden i henhold til den rækkefølge, som de vises i filen:
----Start certifikat----
udstedt til: webserver01.EMC.com;
Udstedt af: IntermediateCA-1
----slut certifikat----
----start certifikat----
udstedt til: IntermediateCA-1;
Udstedt af: IntermediateCA-2
----slut certifikat----
----start certifikat----
udstedt til: IntermediateCA-2;
Udstedt af: Rodnøglecenter
----Afslut certifikat----
----start certifikat----
udstedt til: Rodnøglecenter;
Udstedt af: Rodnøglecenter
----Afslut certifikat----
for at gemme hver, skal du kopiere hele det krypterede indhold inklusive start/slut sætninger til en separat tekstfil og gemme det i
roden. cervil indeholde:
----Start certifikat----
udstedt til: Rodnøglecenter;
Udstedt af: Rodnøglecenter
----afslutnings certifikat----
Intermediate02. cer vil indeholde:
----Start certifikat----
udstedt til: IntermediateCA-2;
Udstedt af: Rodnøglecenter
----afslutnings certifikat----
Intermediate01. cer vil indeholde:
----Start certifikat----
udstedt til: IntermediateCA-1;
Udstedt af: IntermediateCA-2
----slut certifikat----
signerede Webservercertifikat vil indeholde:
----Start certifikat----
udstedt til: webserver01.EMC.com;
Udstedt af: IntermediateCA-1
----slut certifikat----
Importer dem derefter i det midlertidige lager med følgende kommandoer:
./keytool-import-trustcacerts-alias-RODNØGLE lager ny. RODNØGLE-File root. cer
* det bør spørge dig, om dette er et betroet rodcertifikat – Antag ja (y) og tryk på ENTER
./keytool-import-trustcacerts-alias intermediate02-nøglelager ny. nøglelager-fil intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01-nøglelager nyt. intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-nyt lager. nøglelager-fil emcdpa. cer
skal du verificere, at certifikatet blev importeret korrekt ved hjælp af:
./keytool-liste-v-nøglelager ny. nøglelager-storepass keystorepw
Hvis det er importeret korrekt, bør du se hele certifikatkæden her.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To