Article Number: 000158453
Cómo separar manualmente los certificados de servidor, intermedio y raíz de un único certificado firmado
Summary: En este artículo se describe cómo separar manualmente los certificados de servidor, intermedio y raíz de un único certificado firmado en Windows o Linux.
Article Content
Instructions
Cuando se importa un certificado firmado en el almacenamiento de claves temporal, es importante importar la cadena de certificados completa. A fin de validar que el sitio web esté protegido y que el certificado haya sido firmado por una autoridad de certificación de confianza, el navegador debe tener acceso a la cadena de certificados. La "cadena de confianza" permite al navegador establecer una conexión de confianza, ya que proporciona la ruta de acceso completa del certificado firmado al certificado raíz. También puede haber uno o más certificados intermedios en entre.
Todos los certificados que conectan el certificado del servidor firmado al certificado raíz componen la cadena de certificados. La cadena se utiliza para validar una conexión segura (https) al servidor Weben función de que se emita desde una autoridad de certificación de confianza. Sin la cadena de certificados completa, el navegador no podrá validar una conexión segura.
Algunos tipos de archivo de certificado contendrán el certificado del servidor firmado, los certificados intermedios y el certificado raíz en un archivo. En esos casos, es posible importar la cadena completa al mismo tiempo.
Por lo general, esos archivos son PKCS # 12 (. pfx o. p12), que pueden almacenar el certificado del servidor, el certificado intermedio y la clave privada en un único archivo. pfx con protección con contraseña.
También pueden estar en formato PKCS # 7 (. p7b o. p7c), que contienen solo los certificados de la cadena, no las claves privadas.
Los certificados en formato de PEM (. pem,. CRT,. cer o. Key): pueden incluir el certificado del servidor, el certificado intermedio y la clave privada en un único archivo. El certificado del servidor y el certificado intermedio también pueden estar en un archivo. CRT o. cer independiente y la clave privada puede estar en un archivo. Key.
Puede comprobar si la cadena de certificados completa está en un archivo abriéndola en un editor de texto. Cada certificado se incluye entre las----iniciar certificado----y----END----CERTIFICAte. La clave privada se encuentra entre las----comienzan RSA clave privada-----y-----END RSA claves privadas-----declaraciones.
Asegúrese de que la cantidad de certificados que se incluyen en el----iniciar certificado----y----END CERTIFICAte (certificado de----) coincida con el número de certificados en la cadena (servidor e intermedio). Si el archivo contiene la clave privada, lo que significa que termina con----comenzar RSA clave privada-----y-----END RSA clave privada, tal vez pueda importarla directamente a Apollo. keystore. Consulte Data Protection Advisor (DPA): Cómo importar un certificado firmado que contiene la cadena completa de confianza y la clave privada en DPA-Windows o
(Windows) o Cómo importar un certificado firmado que contiene la cadena completa de confianza y clave privada en DPA-Linux
si el archivo no contiene la cadena de certificados completa, es posible que deba importar cada parte del certificado manualmente, desde el certificado raíz al certificado del servidor. En algunos casos, el cliente puede obtener cada uno de los certificados intermedios y el certificado raíz en archivos separados de la CA. Algunas CA proporcionarán la cadena que conduce al certificado del servidor en un archivo por separado. En esos casos, importe cada archivo al almacén de claves temporal (primero la raíz, no los elementos intermedios y, a continuación, el certificado del servidor) mediante el comando que aparece a continuación y un alias diferente para cada uno:
keytool-Import-trustcacerts-alias aliasname -keystore temp. keystore -file cert. File
Nota: El alias y los nombres de archivo se cambian según el alias y los nombres de archivo que se utilizan cuando se genera la CSR. Utilice siempre la raíz del alias cuando importe el certificado de CA raíz y utilice siempre el alias que se usa para generar el archivo de CSR cuando importe el certificado del servidor. Los alias de los certificados intermedios se usan como identificadores, pero pueden ser cualquier cosa que desee, siempre que cada uno sea único.
Si la CA no proporciona cada uno de estos archivos por usted y necesita separar estos manualmente en raíz, el certificado intermedio y el de servidor, puede hacerlo en una de dos maneras:
en Windows:
cuando reciba el archivo de certificado firmado, ábralo en Windows para ver la ruta de acceso al certificado raíz:
para el certificado raíz y los certificados intermedios, resalte cada uno (uno a la vez) y haga clic en ver certificado.
Desde esta ventana, haga clic en View details > Copy to File > Utilice el formato base-64 con codificación X. 509 (. cer) y guárdelo cada uno.
Asegúrese de etiquetarlos para poder importarlos por orden (por ejemplo, root. cer, intermediate01. cer, emcdpa. cer). El certificado raíz será el único que se emite para él mismo. Por ejemplo
:
Una vez que haya guardado cada uno, muévalos a dpa\services\ _jre \Bin en el servidor de aplicaciones.
Utilice los siguientes comandos de dpa\services\ _jre \Bin para importar el certificado raíz, los certificados intermedios y los archivos del certificado final.
Nota: Estos son los archivos que creó en el último paso, por lo que debe asegurarse de cambiar los nombres de archivo y las rutas de archivos según sea necesario, además de la contraseña de almacenamiento de claves que deberá coincidir con la que se utiliza en este ambiente.
keytool-Import-trustcacerts-alias root-keystore New. keystore-File root. cer
* se le preguntará si se trata de un certificado raíz de confianza (por ejemplo, Yes (y) y presione Enter (contraseña
keytool-Import-trustcacerts-alias intermediate01-keystore New). keystore-File intermediate01. cer
keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
then, verifique que el certificado se haya importado correctamente mediante:
keytool-list-v-keystore New. keystore-storepass keystorepw
si se ha importado correctamente, debería ver la cadena de certificados completa aquí.
En Linux:
Abra el archivo CSR en un editor de texto. Identifique cada uno de los certificados mediante las----iniciar certificado----y----end certificate----.
Para separar cada uno de los archivos en su propio archivo, copie el contenido de cada uno de ellos, incluido el----iniciar certificado----y----end certificate----instrucciones en cualquiera de los extremos. Pegue el contenido de cada uno en archivos de texto por separado y etiquételo según el orden en el que se encuentren en el archivo de certificado firmado original. El primero será el certificado firmado del servidor, el último será el certificado raíz, cualquier cosa entre son certificados intermedios.
En el ejemplo que aparece a continuación, se reemplazó el contenido cifrado para describir cada certificado en la cadena según el orden en el que aparecen en el archivo:
----comenzar certificado----
emitido a: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----certificate----
----iniciar certificado----
emitido para: IntermediateCA-1;
Emitido por: IntermediateCA-2
----End certificate----
----Begin certificate----
ISSUED to: IntermediateCA-2;
Emitido por: Root-CA
----End certificate----
----Begin certificate----
ISSUED to: Root-CA;
Emitido por: Root-CA
----End Certificate----
para guardar cada uno de ellos, copie todo el contenido cifrado, incluidas las declaraciones de inicio y finalización en un archivo de texto independiente y guárdelo-
root. cercontendrá:
----iniciar certificado----
emitido para: Root-CA;
Emitido por: Root-CA
----End Certificate----
Intermediate02. cer contendría:
----Begin Certificate----
ISSUED to: IntermediateCA-2;
Emitido por: Root-CA
----End Certificate----
Intermediate01. cer contendría:
----Begin Certificate----
ISSUED to: IntermediateCA-1;
Emitido por: IntermediateCA-2
----End Certificate----
certificado de servidor websigned contendría:
----iniciar certificado----
se emitió para: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----End Certificate----
, a continuación, impórtelos en el almacenamiento de claves temporal mediante los siguientes comandos:
./keytool-Import-trustcacerts-alias root-keystore New. keystore-File root. cer
* se le preguntará si se trata de un certificado raíz de confianza (por ejemplo, Yes (y) y presione Enter (agregar). a continuación, introduzca la contraseña del almacenamiento de claves
./keytool-Import-trustcacerts-alias intermediate02-keystore New.
keystore-File intermediate01. cer
./keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
a continuación, verifique que el certificado se haya importado correctamente mediante:
./keytool-list-v-keystore New. keystore-storepass keystorepw
si se ha importado correctamente, debe ver la cadena de certificados completa aquí.
Todos los certificados que conectan el certificado del servidor firmado al certificado raíz componen la cadena de certificados. La cadena se utiliza para validar una conexión segura (https) al servidor Weben función de que se emita desde una autoridad de certificación de confianza. Sin la cadena de certificados completa, el navegador no podrá validar una conexión segura.
Algunos tipos de archivo de certificado contendrán el certificado del servidor firmado, los certificados intermedios y el certificado raíz en un archivo. En esos casos, es posible importar la cadena completa al mismo tiempo.
Por lo general, esos archivos son PKCS # 12 (. pfx o. p12), que pueden almacenar el certificado del servidor, el certificado intermedio y la clave privada en un único archivo. pfx con protección con contraseña.
También pueden estar en formato PKCS # 7 (. p7b o. p7c), que contienen solo los certificados de la cadena, no las claves privadas.
Los certificados en formato de PEM (. pem,. CRT,. cer o. Key): pueden incluir el certificado del servidor, el certificado intermedio y la clave privada en un único archivo. El certificado del servidor y el certificado intermedio también pueden estar en un archivo. CRT o. cer independiente y la clave privada puede estar en un archivo. Key.
Puede comprobar si la cadena de certificados completa está en un archivo abriéndola en un editor de texto. Cada certificado se incluye entre las----iniciar certificado----y----END----CERTIFICAte. La clave privada se encuentra entre las----comienzan RSA clave privada-----y-----END RSA claves privadas-----declaraciones.
Asegúrese de que la cantidad de certificados que se incluyen en el----iniciar certificado----y----END CERTIFICAte (certificado de----) coincida con el número de certificados en la cadena (servidor e intermedio). Si el archivo contiene la clave privada, lo que significa que termina con----comenzar RSA clave privada-----y-----END RSA clave privada, tal vez pueda importarla directamente a Apollo. keystore. Consulte Data Protection Advisor (DPA): Cómo importar un certificado firmado que contiene la cadena completa de confianza y la clave privada en DPA-Windows o
(Windows) o Cómo importar un certificado firmado que contiene la cadena completa de confianza y clave privada en DPA-Linux
si el archivo no contiene la cadena de certificados completa, es posible que deba importar cada parte del certificado manualmente, desde el certificado raíz al certificado del servidor. En algunos casos, el cliente puede obtener cada uno de los certificados intermedios y el certificado raíz en archivos separados de la CA. Algunas CA proporcionarán la cadena que conduce al certificado del servidor en un archivo por separado. En esos casos, importe cada archivo al almacén de claves temporal (primero la raíz, no los elementos intermedios y, a continuación, el certificado del servidor) mediante el comando que aparece a continuación y un alias diferente para cada uno:
keytool-Import-trustcacerts-alias aliasname -keystore temp. keystore -file cert. File
Nota: El alias y los nombres de archivo se cambian según el alias y los nombres de archivo que se utilizan cuando se genera la CSR. Utilice siempre la raíz del alias cuando importe el certificado de CA raíz y utilice siempre el alias que se usa para generar el archivo de CSR cuando importe el certificado del servidor. Los alias de los certificados intermedios se usan como identificadores, pero pueden ser cualquier cosa que desee, siempre que cada uno sea único.
Si la CA no proporciona cada uno de estos archivos por usted y necesita separar estos manualmente en raíz, el certificado intermedio y el de servidor, puede hacerlo en una de dos maneras:
en Windows:
cuando reciba el archivo de certificado firmado, ábralo en Windows para ver la ruta de acceso al certificado raíz:
para el certificado raíz y los certificados intermedios, resalte cada uno (uno a la vez) y haga clic en ver certificado.
Desde esta ventana, haga clic en View details > Copy to File > Utilice el formato base-64 con codificación X. 509 (. cer) y guárdelo cada uno.
Asegúrese de etiquetarlos para poder importarlos por orden (por ejemplo, root. cer, intermediate01. cer, emcdpa. cer). El certificado raíz será el único que se emite para él mismo. Por ejemplo
:
Una vez que haya guardado cada uno, muévalos a dpa\services\ _jre \Bin en el servidor de aplicaciones.
Utilice los siguientes comandos de dpa\services\ _jre \Bin para importar el certificado raíz, los certificados intermedios y los archivos del certificado final.
Nota: Estos son los archivos que creó en el último paso, por lo que debe asegurarse de cambiar los nombres de archivo y las rutas de archivos según sea necesario, además de la contraseña de almacenamiento de claves que deberá coincidir con la que se utiliza en este ambiente.
keytool-Import-trustcacerts-alias root-keystore New. keystore-File root. cer
* se le preguntará si se trata de un certificado raíz de confianza (por ejemplo, Yes (y) y presione Enter (contraseña
keytool-Import-trustcacerts-alias intermediate01-keystore New). keystore-File intermediate01. cer
keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
then, verifique que el certificado se haya importado correctamente mediante:
keytool-list-v-keystore New. keystore-storepass keystorepw
si se ha importado correctamente, debería ver la cadena de certificados completa aquí.
En Linux:
Abra el archivo CSR en un editor de texto. Identifique cada uno de los certificados mediante las----iniciar certificado----y----end certificate----.
Para separar cada uno de los archivos en su propio archivo, copie el contenido de cada uno de ellos, incluido el----iniciar certificado----y----end certificate----instrucciones en cualquiera de los extremos. Pegue el contenido de cada uno en archivos de texto por separado y etiquételo según el orden en el que se encuentren en el archivo de certificado firmado original. El primero será el certificado firmado del servidor, el último será el certificado raíz, cualquier cosa entre son certificados intermedios.
En el ejemplo que aparece a continuación, se reemplazó el contenido cifrado para describir cada certificado en la cadena según el orden en el que aparecen en el archivo:
----comenzar certificado----
emitido a: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----certificate----
----iniciar certificado----
emitido para: IntermediateCA-1;
Emitido por: IntermediateCA-2
----End certificate----
----Begin certificate----
ISSUED to: IntermediateCA-2;
Emitido por: Root-CA
----End certificate----
----Begin certificate----
ISSUED to: Root-CA;
Emitido por: Root-CA
----End Certificate----
para guardar cada uno de ellos, copie todo el contenido cifrado, incluidas las declaraciones de inicio y finalización en un archivo de texto independiente y guárdelo-
root. cercontendrá:
----iniciar certificado----
emitido para: Root-CA;
Emitido por: Root-CA
----End Certificate----
Intermediate02. cer contendría:
----Begin Certificate----
ISSUED to: IntermediateCA-2;
Emitido por: Root-CA
----End Certificate----
Intermediate01. cer contendría:
----Begin Certificate----
ISSUED to: IntermediateCA-1;
Emitido por: IntermediateCA-2
----End Certificate----
certificado de servidor websigned contendría:
----iniciar certificado----
se emitió para: webserver01.EMC.com;
Emitido por: IntermediateCA-1
----End Certificate----
, a continuación, impórtelos en el almacenamiento de claves temporal mediante los siguientes comandos:
./keytool-Import-trustcacerts-alias root-keystore New. keystore-File root. cer
* se le preguntará si se trata de un certificado raíz de confianza (por ejemplo, Yes (y) y presione Enter (agregar). a continuación, introduzca la contraseña del almacenamiento de claves
./keytool-Import-trustcacerts-alias intermediate02-keystore New.
keystore-File intermediate01. cer
./keytool-Import-trustcacerts-alias emcdpa-keystore New. keystore-File emcdpa. cer
a continuación, verifique que el certificado se haya importado correctamente mediante:
./keytool-list-v-keystore New. keystore-storepass keystorepw
si se ha importado correctamente, debe ver la cadena de certificados completa aquí.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To