Article Number: 000158453
Manuelles Trennen der Server-, Intermediate-und Root-Zertifikate von einem einzigen signierten Zertifikat
Summary: In diesem Artikel wird beschrieben, wie Sie Server-, Intermediate-und Root-Zertifikate manuell von einem einzigen signierten Zertifikat in Windows oder Linux trennen.
Article Content
Instructions
Beim Importieren eines signierten Zertifikats in den temporären Keystore ist es wichtig, die vollständige Zertifikatkette zu importieren. Um zu überprüfen, ob die Website sicher ist und das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, muss der Browser Zugriff auf die Zertifikatskette haben. Die "Chain of Trust" ermöglicht dem Browser, eine vertrauenswürdige Verbindung herzustellen, indem der vollständige Pfad vom signierten Zertifikat zum Stammzertifikat bereitgestellt wird. Es kann auch ein oder mehrere Zwischenzertifikate dazwischen geben.
Alle Zertifikate, die das signierte Serverzertifikat mit dem Stammzertifikat verbinden, bilden die Zertifikatskette. Die Kette wird verwendet, um eine sichere Verbindung (HTTPS) zum Webserver basierend darauf zu validieren, die von einer vertrauenswürdigen Zertifizierungsstelle ausgegeben wird. Ohne die gesamte Zertifikatskette kann der Browser keine sichere Verbindung validieren.
Einige Zertifikat Dateitypen enthalten das signierte Serverzertifikat, Zwischenzertifikate und Stammzertifikat in einer Datei. In diesen Fällen kann es vorkommen, dass die gesamte Kette gleichzeitig importiert werden kann.
In der Regel handelt es sich bei diesen Dateien um PKCS # 12 (. pfx oder. p12), die das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen PFX-Datei mit Passwortschutz speichern kann.
Sie können auch im PKCS # 7-Format (. p7b oder. P7C) vorliegen, die nur die Zertifikate in der Kette enthalten, nicht private Schlüssel.
Zertifikate in PEM-Format (. PEM,. CRT,. cer oder. Key) können das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen Datei enthalten. Das Serverzertifikat und das Zwischenzertifikat können sich auch in einer separaten Datei. CRT oder. CER befinden und der private Schlüssel kann eine. Key-Datei sein.
Sie können überprüfen, ob die gesamte Zertifikatskette in einer Datei ist, indem Sie Sie in einem Texteditor öffnen. Alle Zertifikate sind zwischen den----BEGIN Certificate----und----End Certificate----Statements enthalten. Der private Schlüssel ist zwischen den----BEGIN RSA private Schlüssel-----und-----End RSA private Schlüssel------Anweisungen enthalten.
Stellen Sie sicher, dass die Anzahl der Zertifikate, die in der--------BEGIN Certificate und----End Certificate----enthalten sind, der Anzahl der Zertifikate in der Kette (Server und Intermediate) entspricht. Wenn die Datei den privaten Schlüssel enthält, was bedeutet, dass es mit dem----BEGIN RSA privaten Schlüssel-----und-----endRSA privaten Schlüssel endet, können Sie ihn möglicherweise direkt in Apollo. KeyStore importieren. Data Protection Advisor (DPA): So importieren Sie ein signiertes Zertifikat, das die vollständige Vertrauenskette und den privaten Schlüssel in DPA-Windows oder
(Windows) enthält, oder wie Sie ein signiertes Zertifikat importieren, das die vollständige Vertrauenskette und den privaten Schlüssel in DPA-Linux enthält
. wenn die Datei nicht die vollständige Zertifikatkette enthält, müssen Sie möglicherweise jeden Teil des Zertifikats manuell importieren – vom Root-Zertifikat In einigen Fällen kann der Kunde jedes der Intermediate Certificates und Root Certificate in separaten Dateien von der Zertifizierungsstelle erhalten. Einige CAS stellen die Kette bereit, die das Serverzertifikat in einer separaten Datei führt. Importieren Sie in diesem Fall jede Datei in den temporären Keystore (root zuerst, als Intermediate (s) und dann auf das Serverzertifikat), indem Sie den folgenden Befehl verwenden:
keytool-Import-trustcacerts-Alias Aliasname -Keystore Temp. KeyStore -file CERT. File
Hinweis: Sie ändern die Alias-und Dateinamen basierend auf den Alias-und Dateinamen, die bei der Erstellung der CSR verwendet werden. Verwenden Sie immer den Alias root beim Importieren des Stamm-CA-Zertifikats und verwenden Sie immer den Alias, der zum Erzeugen der CSR-Datei verwendet wird, wenn Sie das Serverzertifikat importieren. Die Aliase für die Zwischenzertifikate werden als Kennungen verwendet, können jedoch beliebig sein, solange jede eindeutig ist.
Wenn die Zertifizierungsstelle nicht jede dieser Dateien für Sie bereitstellt und Sie Sie manuell in root trennen müssen, Intermediate-und Server-Zertifikat, können Sie dies auf zwei verschiedene Arten tun:
in Windows:
Wenn Sie die signierte Zertifikatdatei erhalten, öffnen Sie Sie in Windows, um den Pfad zum Stammzertifikat anzuzeigen:
für das Stammzertifikat und alle Zwischenzertifikate markieren Sie jeden (einen nach dem anderen), und klicken Sie auf Zertifikat anzeigen.
Klicken Sie in diesem Fenster auf Details anzeigen > in Datei kopieren > Verwenden Sie das Format Base-64 encoded X. 509 (. cer) und speichern Sie Sie.
Achten Sie darauf, Sie zu beschriften, damit Sie Sie in der angegebenen Reihenfolge importieren können (z. b. root. CER, intermediate01. CER, emcdpa. cer). Das Stammzertifikat ist das einzige, das selbst von selbst ausgegeben wird. Beispiel
:
Nachdem Sie die Datei gespeichert haben, verschieben Sie Sie in dpa\services\ _jre \bin auf dem Anwendungsserver.
Verwenden Sie die folgenden Befehle von dpa\services\ _jre \bin, um das Stammzertifikat, alle Zwischenzertifikate und die End-Zertifikatdateien zu importieren.
Hinweis: Hierbei handelt es sich um die Dateien, die Sie im letzten Schritt erstellt haben. Achten Sie daher darauf, die Dateinamen und Dateipfade nach Bedarf zu ändern, und geben Sie das Keystore-Passwort ein, das dem in dieser Umgebung verwendeten Namen entsprechen muss.
keytool-Import-trustcacerts-Alias root-Keystore New. KeyStore-File root. CER
* es sollte Sie Fragen, ob es sich um ein vertrauenswürdiges Stammzertifikat handelt-sagen Sie ja (y) und drücken Sie die EINGABETASTE und geben Sie dann das Passwort
keytool-Import-trustcacerts-Alias intermediate01-Keystore New ein. KeyStore-File intermediate01. CER
keytool-Import-trustcacerts-Alias emcdpa-Keystore New. KeyStore-File emcdpa. CER
Überprüfen Sie dann, ob das Zertifikat korrekt importiert wurde. verwenden Sie dazu Folgendes:
keytool-List-v-Keystore New. KeyStore-storepass keystorepw
Wenn Sie ordnungsgemäß importiert wurde, sollten Sie die vollständige Zertifikatkette hier sehen.
In Linux:
Öffnen Sie die CSR-Datei in einem Texteditor. Identifizieren Sie jedes der Zertifikate, indem Sie die Anweisungen----BEGIN Certificate----und----End Certificate----.
Um jedes einzelne in seine eigene Datei zu unterscheiden, kopieren Sie den Inhalt der einzelnen Inhalte einschließlich der----BEGIN Certificate----und----End Certificate-----Anweisungen an beiden Enden. Fügen Sie den Inhalt jeder in separate Textdateien ein und beschriften Sie Sie basierend auf der Reihenfolge, in der Sie in der Original signierten Zertifikatdatei abgelegt sind. Der erste ist das signierte Zertifikat des Servers, der letzte ist das Stammzertifikat, alles dazwischen sind Zwischenzertifikate.
Im folgenden Beispiel habe ich den verschlüsselten Inhalt ersetzt, um die einzelnen Zertifikate in der Kette gemäß der Reihenfolge, in der Sie in der Datei angezeigt werden, zu beschreiben:
----Begin Certificate----
ausgestellt an: webserver01.EMC.com;
Ausgegeben von: IntermediateCA-1
----End Certificate----
----Begin Certificate----
ausgestellt an: IntermediateCA – 1;
Ausgegeben von: IntermediateCA-2
----End Certificate----
----Begin Certificate----
ausgestellt an: IntermediateCA-2;
Ausgegeben von: Root-CA
----End Certificate----
----Begin Certificate----
ausgestellt an: Root-CA;
Ausgegeben von: Root-CA
----End Certificate----
um alle zu speichern, kopieren Sie den gesamten verschlüsselten Content einschließlich der Begin/End-Anweisungen in eine separate Textdatei und speichern Sie ihn-
root. CERenthält:
----Begin Certificate----
ausgestellt an: Root-CA;
Ausgegeben von: Root-CA
----End Certificate----
Intermediate02. CER enthält:
----Begin Certificate----
ausgestellt an: IntermediateCA-2;
Ausgegeben von: Root-CA
----End Certificate----
Intermediate01. CER enthält:
----Begin Certificate----
ausgestellt an: IntermediateCA – 1;
Ausgegeben von: IntermediateCA-2
----End Certificate----
Signed Webserver Certificate enthält Folgendes:
----Begin Certificate----
ausgestellt an: webserver01.EMC.com;
Ausgegeben von: IntermediateCA-1
----End-Zertifikat----
importieren Sie diese dann mithilfe der folgenden Befehle in den temporären Keystore:
./keytool-Import-trustcacerts-Alias root-Keystore New. KeyStore-File root. CER
* es sollte Sie Fragen, ob es sich um ein vertrauenswürdiges Stammzertifikat handelt-sagen Sie ja (y) und drücken Sie die EINGABETASTE, und geben Sie dann das Keystore-Kennwort ein
./keytool-Import-trustcacerts-Alias intermediate02-Keystore New. KeyStore-File intermediate02. CER
Keystore-File intermediate01. CER
./keytool-Import-trustcacerts-Alias emcdpa-Keystore New. KeyStore-File emcdpa. CER
Überprüfen Sie dann, ob das Zertifikat korrekt importiert wurde. verwenden Sie dazu Folgendes:
./keytool-List-v-Keystore New. KeyStore-storepass keystorepw
Wenn Sie ordnungsgemäß importiert wurde, sollten Sie die vollständige Zertifikatkette hier sehen.
Alle Zertifikate, die das signierte Serverzertifikat mit dem Stammzertifikat verbinden, bilden die Zertifikatskette. Die Kette wird verwendet, um eine sichere Verbindung (HTTPS) zum Webserver basierend darauf zu validieren, die von einer vertrauenswürdigen Zertifizierungsstelle ausgegeben wird. Ohne die gesamte Zertifikatskette kann der Browser keine sichere Verbindung validieren.
Einige Zertifikat Dateitypen enthalten das signierte Serverzertifikat, Zwischenzertifikate und Stammzertifikat in einer Datei. In diesen Fällen kann es vorkommen, dass die gesamte Kette gleichzeitig importiert werden kann.
In der Regel handelt es sich bei diesen Dateien um PKCS # 12 (. pfx oder. p12), die das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen PFX-Datei mit Passwortschutz speichern kann.
Sie können auch im PKCS # 7-Format (. p7b oder. P7C) vorliegen, die nur die Zertifikate in der Kette enthalten, nicht private Schlüssel.
Zertifikate in PEM-Format (. PEM,. CRT,. cer oder. Key) können das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen Datei enthalten. Das Serverzertifikat und das Zwischenzertifikat können sich auch in einer separaten Datei. CRT oder. CER befinden und der private Schlüssel kann eine. Key-Datei sein.
Sie können überprüfen, ob die gesamte Zertifikatskette in einer Datei ist, indem Sie Sie in einem Texteditor öffnen. Alle Zertifikate sind zwischen den----BEGIN Certificate----und----End Certificate----Statements enthalten. Der private Schlüssel ist zwischen den----BEGIN RSA private Schlüssel-----und-----End RSA private Schlüssel------Anweisungen enthalten.
Stellen Sie sicher, dass die Anzahl der Zertifikate, die in der--------BEGIN Certificate und----End Certificate----enthalten sind, der Anzahl der Zertifikate in der Kette (Server und Intermediate) entspricht. Wenn die Datei den privaten Schlüssel enthält, was bedeutet, dass es mit dem----BEGIN RSA privaten Schlüssel-----und-----endRSA privaten Schlüssel endet, können Sie ihn möglicherweise direkt in Apollo. KeyStore importieren. Data Protection Advisor (DPA): So importieren Sie ein signiertes Zertifikat, das die vollständige Vertrauenskette und den privaten Schlüssel in DPA-Windows oder
(Windows) enthält, oder wie Sie ein signiertes Zertifikat importieren, das die vollständige Vertrauenskette und den privaten Schlüssel in DPA-Linux enthält
. wenn die Datei nicht die vollständige Zertifikatkette enthält, müssen Sie möglicherweise jeden Teil des Zertifikats manuell importieren – vom Root-Zertifikat In einigen Fällen kann der Kunde jedes der Intermediate Certificates und Root Certificate in separaten Dateien von der Zertifizierungsstelle erhalten. Einige CAS stellen die Kette bereit, die das Serverzertifikat in einer separaten Datei führt. Importieren Sie in diesem Fall jede Datei in den temporären Keystore (root zuerst, als Intermediate (s) und dann auf das Serverzertifikat), indem Sie den folgenden Befehl verwenden:
keytool-Import-trustcacerts-Alias Aliasname -Keystore Temp. KeyStore -file CERT. File
Hinweis: Sie ändern die Alias-und Dateinamen basierend auf den Alias-und Dateinamen, die bei der Erstellung der CSR verwendet werden. Verwenden Sie immer den Alias root beim Importieren des Stamm-CA-Zertifikats und verwenden Sie immer den Alias, der zum Erzeugen der CSR-Datei verwendet wird, wenn Sie das Serverzertifikat importieren. Die Aliase für die Zwischenzertifikate werden als Kennungen verwendet, können jedoch beliebig sein, solange jede eindeutig ist.
Wenn die Zertifizierungsstelle nicht jede dieser Dateien für Sie bereitstellt und Sie Sie manuell in root trennen müssen, Intermediate-und Server-Zertifikat, können Sie dies auf zwei verschiedene Arten tun:
in Windows:
Wenn Sie die signierte Zertifikatdatei erhalten, öffnen Sie Sie in Windows, um den Pfad zum Stammzertifikat anzuzeigen:
für das Stammzertifikat und alle Zwischenzertifikate markieren Sie jeden (einen nach dem anderen), und klicken Sie auf Zertifikat anzeigen.
Klicken Sie in diesem Fenster auf Details anzeigen > in Datei kopieren > Verwenden Sie das Format Base-64 encoded X. 509 (. cer) und speichern Sie Sie.
Achten Sie darauf, Sie zu beschriften, damit Sie Sie in der angegebenen Reihenfolge importieren können (z. b. root. CER, intermediate01. CER, emcdpa. cer). Das Stammzertifikat ist das einzige, das selbst von selbst ausgegeben wird. Beispiel
:
Nachdem Sie die Datei gespeichert haben, verschieben Sie Sie in dpa\services\ _jre \bin auf dem Anwendungsserver.
Verwenden Sie die folgenden Befehle von dpa\services\ _jre \bin, um das Stammzertifikat, alle Zwischenzertifikate und die End-Zertifikatdateien zu importieren.
Hinweis: Hierbei handelt es sich um die Dateien, die Sie im letzten Schritt erstellt haben. Achten Sie daher darauf, die Dateinamen und Dateipfade nach Bedarf zu ändern, und geben Sie das Keystore-Passwort ein, das dem in dieser Umgebung verwendeten Namen entsprechen muss.
keytool-Import-trustcacerts-Alias root-Keystore New. KeyStore-File root. CER
* es sollte Sie Fragen, ob es sich um ein vertrauenswürdiges Stammzertifikat handelt-sagen Sie ja (y) und drücken Sie die EINGABETASTE und geben Sie dann das Passwort
keytool-Import-trustcacerts-Alias intermediate01-Keystore New ein. KeyStore-File intermediate01. CER
keytool-Import-trustcacerts-Alias emcdpa-Keystore New. KeyStore-File emcdpa. CER
Überprüfen Sie dann, ob das Zertifikat korrekt importiert wurde. verwenden Sie dazu Folgendes:
keytool-List-v-Keystore New. KeyStore-storepass keystorepw
Wenn Sie ordnungsgemäß importiert wurde, sollten Sie die vollständige Zertifikatkette hier sehen.
In Linux:
Öffnen Sie die CSR-Datei in einem Texteditor. Identifizieren Sie jedes der Zertifikate, indem Sie die Anweisungen----BEGIN Certificate----und----End Certificate----.
Um jedes einzelne in seine eigene Datei zu unterscheiden, kopieren Sie den Inhalt der einzelnen Inhalte einschließlich der----BEGIN Certificate----und----End Certificate-----Anweisungen an beiden Enden. Fügen Sie den Inhalt jeder in separate Textdateien ein und beschriften Sie Sie basierend auf der Reihenfolge, in der Sie in der Original signierten Zertifikatdatei abgelegt sind. Der erste ist das signierte Zertifikat des Servers, der letzte ist das Stammzertifikat, alles dazwischen sind Zwischenzertifikate.
Im folgenden Beispiel habe ich den verschlüsselten Inhalt ersetzt, um die einzelnen Zertifikate in der Kette gemäß der Reihenfolge, in der Sie in der Datei angezeigt werden, zu beschreiben:
----Begin Certificate----
ausgestellt an: webserver01.EMC.com;
Ausgegeben von: IntermediateCA-1
----End Certificate----
----Begin Certificate----
ausgestellt an: IntermediateCA – 1;
Ausgegeben von: IntermediateCA-2
----End Certificate----
----Begin Certificate----
ausgestellt an: IntermediateCA-2;
Ausgegeben von: Root-CA
----End Certificate----
----Begin Certificate----
ausgestellt an: Root-CA;
Ausgegeben von: Root-CA
----End Certificate----
um alle zu speichern, kopieren Sie den gesamten verschlüsselten Content einschließlich der Begin/End-Anweisungen in eine separate Textdatei und speichern Sie ihn-
root. CERenthält:
----Begin Certificate----
ausgestellt an: Root-CA;
Ausgegeben von: Root-CA
----End Certificate----
Intermediate02. CER enthält:
----Begin Certificate----
ausgestellt an: IntermediateCA-2;
Ausgegeben von: Root-CA
----End Certificate----
Intermediate01. CER enthält:
----Begin Certificate----
ausgestellt an: IntermediateCA – 1;
Ausgegeben von: IntermediateCA-2
----End Certificate----
Signed Webserver Certificate enthält Folgendes:
----Begin Certificate----
ausgestellt an: webserver01.EMC.com;
Ausgegeben von: IntermediateCA-1
----End-Zertifikat----
importieren Sie diese dann mithilfe der folgenden Befehle in den temporären Keystore:
./keytool-Import-trustcacerts-Alias root-Keystore New. KeyStore-File root. CER
* es sollte Sie Fragen, ob es sich um ein vertrauenswürdiges Stammzertifikat handelt-sagen Sie ja (y) und drücken Sie die EINGABETASTE, und geben Sie dann das Keystore-Kennwort ein
./keytool-Import-trustcacerts-Alias intermediate02-Keystore New. KeyStore-File intermediate02. CER
Keystore-File intermediate01. CER
./keytool-Import-trustcacerts-Alias emcdpa-Keystore New. KeyStore-File emcdpa. CER
Überprüfen Sie dann, ob das Zertifikat korrekt importiert wurde. verwenden Sie dazu Folgendes:
./keytool-List-v-Keystore New. KeyStore-storepass keystorepw
Wenn Sie ordnungsgemäß importiert wurde, sollten Sie die vollständige Zertifikatkette hier sehen.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To