Article Number: 000158453
Comment séparer manuellement le serveur, les certificats intermédiaires et racines d’un certificat signé unique
Summary: Cet article explique comment séparer manuellement le serveur, les certificats intermédiaires et racines d’un certificat signé unique dans Windows ou Linux.
Article Content
Instructions
Lors de l’importation d’un certificat signé dans le magasin de clés temporaire, il est important d’importer la chaîne de certificats complète. Afin de vous assurer que le site Web est sécurisé et que le certificat a été signé par une autorité de certification de confiance, le navigateur doit avoir accès à la chaîne de certificats. La « chaîne de confiance » permet au navigateur d’établir une connexion approuvée en fournissant le chemin complet à partir du certificat signé vers le certificat racine. Il peut y avoir un ou plusieurs certificats intermédiaires entre eux.
Tous les certificats qui connectent le certificat de serveur signé au certificat racine constituent la chaîne de certificats. La chaîne est utilisée pour valider une connexion sécurisée (https) sur le serveur WebServer en fonction de son émission auprès d’une autorité de certification de confiance. Sans la chaîne de certificats complète, le navigateur ne sera pas en mesure de valider une connexion sécurisée.
Certains types de fichiers de certificat contiennent le certificat de serveur signé, les certificats intermédiaires et le certificat racine dans un seul fichier. Dans ce cas, il peut être possible d’importer la chaîne complète en une seule fois.
En général, il s’agit de PKCS # 12 (. pfx ou. p12), qui peut stocker le certificat de serveur, le certificat intermédiaire et la clé privée dans un fichier. pfx unique avec protection par mot de passe.
Ils peuvent également être au format PKCS # 7 (. p7b ou. P7C), qui ne contiennent que les certificats de la chaîne et non les clés privées.
Les certificats au format PEM (. pem,. CRT,. cer ou. Key)- peuvent comprendre le certificat du serveur, le certificat intermédiaire et la clé privée dans un seul fichier. Le certificat de serveur et le certificat intermédiaire peuvent également se trouver dans des fichiers. CRT ou. cer distincts, et la clé privée peut se trouver dans un fichier. Key.
Vous pouvez vérifier si la chaîne de certificats complète se trouve dans un seul fichier en l’ouvrant dans un éditeur de texte. Chaque certificat se trouve entre les instructions----BEGIN CERTIFICATe----et--------de certificat final. La clé privée est contenue entre les----commencer RSA la clé privée-----et-----RSA les instructions de-----de clé privée.
Assurez-vous que le nombre de certificats contenus dans les instructions----BEGIN CERTIFICATe----et--------certificat final correspond au nombre de certificats dans la chaîne (serveur et intermédiaire). Si le fichier contient la clé privée, ce qui signifie qu’elle se termine par----commencez RSA clé privée-----et-----fin RSA clé privée, vous pouvez être en mesure de l’importer directement dans Apollo. keystore. Data Protection Advisor (DPA) : Importation d’un certificat signé contenant la chaîne complète de confiance et la clé privée dans DPA-Windows ou
(Windows) ou l’importation d’un certificat signé contenant la chaîne complète de confiance et la clé privée dans DPA-Linux
si le fichier ne contient pas la chaîne de certificats complète, il se peut que vous deviez importer chaque partie du certificat à partir du certificat racine vers le certificat du serveur. Dans certains cas, le client peut obtenir chacun des certificats intermédiaires et le certificat racine dans des fichiers distincts de l’autorité de certification. Certaines autorités de certification fournissent la chaîne qui pointe vers le certificat du serveur dans un fichier séparé. Dans ces cas-là, importez chaque fichier dans le magasin de clés temporaire (racine, par rapport aux intermédiaire (s), puis au certificat du serveur) à l’aide de la commande ci-dessous et un alias différent pour chaque :
keytool-import-trustcacerts-alias aliasname -keystore temp. keystore -file CERT. file
Remarque : Vous pouvez modifier les noms d’alias et de fichier en fonction des alias et des noms de fichier utilisés lors de la génération de la CSR. Utilisez toujours l’alias root lors de l’importation du certificat d’autorité de certification racine et utilisez toujours l’alias utilisé pour générer le fichier CSR lors de l’importation du certificat de serveur. Les alias des certificats intermédiaires sont utilisés en tant qu’identifiants, mais peuvent être tous les mêmes, à condition qu’ils soient uniques.
Si l’autorité de certification ne fournit pas chacun de ces fichiers et que vous devez les séparer manuellement dans la racine, certificat intermédiaire et serveur, vous pouvez procéder de l’une des deux façons suivantes :
dans Windows :
lorsque vous recevez le fichier de certificat signé, ouvrez-le dans Windows pour afficher le chemin d’accès au certificat racine :
pour le certificat racine et tous les certificats intermédiaires, sélectionnez chaque (un à la fois) et cliquez sur Afficher le certificat.
Dans cette fenêtre, cliquez sur View Details > Copy to file > Use base-64 encoded X. 509 (. cer) format et Save Each.
Assurez-vous de les étiqueter afin de pouvoir les importer dans l’ordre (par exemple, root. cer, intermediate01. cer, emcdpa. cer). Le certificat racine est le seul qui vous est envoyé seul. Par exemple
:
Une fois que vous avez enregistré chacun de ces éléments, déplacez-les vers dpa\services\ _jre \bin sur le serveur d’applications.
À l’aide des commandes suivantes de dpa\services\ _jre \bin pour importer le certificat racine, tous les certificats intermédiaires et les fichiers de certificat final.
Remarque : Voici les fichiers que vous avez créés à la dernière étape. Veillez donc à modifier les noms de fichiers et les chemins d’accès aux fichiers en fonction des besoins, ainsi que le mot de passe du magasin de clés qui doit correspondre à celui utilisé dans cet environnement.
keytool-import-trustcacerts-alias root-keystore New. keystore-file root. cer
* il doit vous demander s’il s’agit d’un certificat racine de confiance-Say Yes (y) et appuyez sur entrée, puis saisissez le mot de passe
keytool-import-trustcacerts-alias intermediate01-keystore New. keystore-file intermediate01. cer
keytool-import-trustcacerts-alias emcdpa-keystore New. keystore-file emcdpa. cer.
ensuite, vérifiez que le certificat a été importé correctement à l’aide de :
keytool-List-v-keystore New. keystore-storepass keystorepw
s’il est importé correctement, vous devriez voir la chaîne de certificats complète ici.
Dans Linux :
Ouvrez le fichier CSR dans un éditeur de texte. Identifiez chacun des certificats à l’aide de l'----Begin certificate----et----déclarations de----de certificat final.
Pour séparer chacune d’elles dans son propre fichier, copiez le contenu de chaque fichier, y compris les instructions----Begin certificate----et----des----s de certificat end sur chaque extrémité. Collez le contenu de chaque fichier dans des fichiers texte séparés et Libellez-les en fonction de l’ordre dans lequel ils ont été placés dans le fichier de certificat signé d’origine. Le premier est le certificat signé par le serveur, le dernier étant le certificat racine, tout ce qui se trouve entre les certificats intermédiaires.
Dans l’exemple ci-dessous, j’ai remplacé le contenu chiffré pour décrire chaque certificat de la chaîne en fonction de l’ordre dans lequel ils apparaissent dans le fichier :
----Begin certificate----
émis pour : webserver01.EMC.com ;
Émis par : IntermediateCA-1
----end certificate----
----Begin certificate----
émis pour : IntermediateCA-1 ;
Émis par : IntermediateCA-2
----fin de certificat----
----le certificat
de début----émis pour : IntermediateCA-2 ;
Émis par : Root-CA
----end certificate----
----Begin certificate----
émis pour : Root-CA ;
Émis par : Root-ca
----certificat final----
pour enregistrer chacun d’entre eux, copiez l’intégralité du contenu chiffré, y compris les instructions de début et de fin dans un fichier texte distinct et enregistrez-le-
root. cercontient :
----Begin Certificate----
émis pour : Root-CA ;
Émis par : Root-ca
----certificat final----
Intermediate02. cer contient :
----Begin Certificate----
émis pour : IntermediateCA-2 ;
Émis par : Root-ca
----certificat final----
Intermediate01. cer contient :
----Begin Certificate----
émis pour : IntermediateCA-1 ;
Émis par : IntermediateCA-2
----end Certificate----
certificat de serveur websigné doit contenir :
----le certificat de début----
délivré à : webserver01.EMC.com ;
Émis par : IntermediateCA-1
----end Certificate----
ensuite, importez-les dans le magasin de clés temporaire à l’aide des commandes suivantes :
./keytool-import-trustcacerts-alias root-keystore New. keystore-file root. cer
* il doit vous demander s’il s’agit d’un certificat racine de confiance-Say Yes (y) and Hit Enter, puis saisissez le mot de passe du magasin de clés
./keytool-import-trustcacerts-alias intermediate02-keystore New. keystore-file intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01-keystore keystore-file intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-keystore New. keystore-file emcdpa. cer.
ensuite, assurez-vous que le certificat a été importé correctement à l’aide de :
./keytool-List-v-keystore New. keystore-storepass keystorepw
s’il est importé correctement, vous devriez voir la chaîne de certificats complète ici.
Tous les certificats qui connectent le certificat de serveur signé au certificat racine constituent la chaîne de certificats. La chaîne est utilisée pour valider une connexion sécurisée (https) sur le serveur WebServer en fonction de son émission auprès d’une autorité de certification de confiance. Sans la chaîne de certificats complète, le navigateur ne sera pas en mesure de valider une connexion sécurisée.
Certains types de fichiers de certificat contiennent le certificat de serveur signé, les certificats intermédiaires et le certificat racine dans un seul fichier. Dans ce cas, il peut être possible d’importer la chaîne complète en une seule fois.
En général, il s’agit de PKCS # 12 (. pfx ou. p12), qui peut stocker le certificat de serveur, le certificat intermédiaire et la clé privée dans un fichier. pfx unique avec protection par mot de passe.
Ils peuvent également être au format PKCS # 7 (. p7b ou. P7C), qui ne contiennent que les certificats de la chaîne et non les clés privées.
Les certificats au format PEM (. pem,. CRT,. cer ou. Key)- peuvent comprendre le certificat du serveur, le certificat intermédiaire et la clé privée dans un seul fichier. Le certificat de serveur et le certificat intermédiaire peuvent également se trouver dans des fichiers. CRT ou. cer distincts, et la clé privée peut se trouver dans un fichier. Key.
Vous pouvez vérifier si la chaîne de certificats complète se trouve dans un seul fichier en l’ouvrant dans un éditeur de texte. Chaque certificat se trouve entre les instructions----BEGIN CERTIFICATe----et--------de certificat final. La clé privée est contenue entre les----commencer RSA la clé privée-----et-----RSA les instructions de-----de clé privée.
Assurez-vous que le nombre de certificats contenus dans les instructions----BEGIN CERTIFICATe----et--------certificat final correspond au nombre de certificats dans la chaîne (serveur et intermédiaire). Si le fichier contient la clé privée, ce qui signifie qu’elle se termine par----commencez RSA clé privée-----et-----fin RSA clé privée, vous pouvez être en mesure de l’importer directement dans Apollo. keystore. Data Protection Advisor (DPA) : Importation d’un certificat signé contenant la chaîne complète de confiance et la clé privée dans DPA-Windows ou
(Windows) ou l’importation d’un certificat signé contenant la chaîne complète de confiance et la clé privée dans DPA-Linux
si le fichier ne contient pas la chaîne de certificats complète, il se peut que vous deviez importer chaque partie du certificat à partir du certificat racine vers le certificat du serveur. Dans certains cas, le client peut obtenir chacun des certificats intermédiaires et le certificat racine dans des fichiers distincts de l’autorité de certification. Certaines autorités de certification fournissent la chaîne qui pointe vers le certificat du serveur dans un fichier séparé. Dans ces cas-là, importez chaque fichier dans le magasin de clés temporaire (racine, par rapport aux intermédiaire (s), puis au certificat du serveur) à l’aide de la commande ci-dessous et un alias différent pour chaque :
keytool-import-trustcacerts-alias aliasname -keystore temp. keystore -file CERT. file
Remarque : Vous pouvez modifier les noms d’alias et de fichier en fonction des alias et des noms de fichier utilisés lors de la génération de la CSR. Utilisez toujours l’alias root lors de l’importation du certificat d’autorité de certification racine et utilisez toujours l’alias utilisé pour générer le fichier CSR lors de l’importation du certificat de serveur. Les alias des certificats intermédiaires sont utilisés en tant qu’identifiants, mais peuvent être tous les mêmes, à condition qu’ils soient uniques.
Si l’autorité de certification ne fournit pas chacun de ces fichiers et que vous devez les séparer manuellement dans la racine, certificat intermédiaire et serveur, vous pouvez procéder de l’une des deux façons suivantes :
dans Windows :
lorsque vous recevez le fichier de certificat signé, ouvrez-le dans Windows pour afficher le chemin d’accès au certificat racine :
pour le certificat racine et tous les certificats intermédiaires, sélectionnez chaque (un à la fois) et cliquez sur Afficher le certificat.
Dans cette fenêtre, cliquez sur View Details > Copy to file > Use base-64 encoded X. 509 (. cer) format et Save Each.
Assurez-vous de les étiqueter afin de pouvoir les importer dans l’ordre (par exemple, root. cer, intermediate01. cer, emcdpa. cer). Le certificat racine est le seul qui vous est envoyé seul. Par exemple
:
Une fois que vous avez enregistré chacun de ces éléments, déplacez-les vers dpa\services\ _jre \bin sur le serveur d’applications.
À l’aide des commandes suivantes de dpa\services\ _jre \bin pour importer le certificat racine, tous les certificats intermédiaires et les fichiers de certificat final.
Remarque : Voici les fichiers que vous avez créés à la dernière étape. Veillez donc à modifier les noms de fichiers et les chemins d’accès aux fichiers en fonction des besoins, ainsi que le mot de passe du magasin de clés qui doit correspondre à celui utilisé dans cet environnement.
keytool-import-trustcacerts-alias root-keystore New. keystore-file root. cer
* il doit vous demander s’il s’agit d’un certificat racine de confiance-Say Yes (y) et appuyez sur entrée, puis saisissez le mot de passe
keytool-import-trustcacerts-alias intermediate01-keystore New. keystore-file intermediate01. cer
keytool-import-trustcacerts-alias emcdpa-keystore New. keystore-file emcdpa. cer.
ensuite, vérifiez que le certificat a été importé correctement à l’aide de :
keytool-List-v-keystore New. keystore-storepass keystorepw
s’il est importé correctement, vous devriez voir la chaîne de certificats complète ici.
Dans Linux :
Ouvrez le fichier CSR dans un éditeur de texte. Identifiez chacun des certificats à l’aide de l'----Begin certificate----et----déclarations de----de certificat final.
Pour séparer chacune d’elles dans son propre fichier, copiez le contenu de chaque fichier, y compris les instructions----Begin certificate----et----des----s de certificat end sur chaque extrémité. Collez le contenu de chaque fichier dans des fichiers texte séparés et Libellez-les en fonction de l’ordre dans lequel ils ont été placés dans le fichier de certificat signé d’origine. Le premier est le certificat signé par le serveur, le dernier étant le certificat racine, tout ce qui se trouve entre les certificats intermédiaires.
Dans l’exemple ci-dessous, j’ai remplacé le contenu chiffré pour décrire chaque certificat de la chaîne en fonction de l’ordre dans lequel ils apparaissent dans le fichier :
----Begin certificate----
émis pour : webserver01.EMC.com ;
Émis par : IntermediateCA-1
----end certificate----
----Begin certificate----
émis pour : IntermediateCA-1 ;
Émis par : IntermediateCA-2
----fin de certificat----
----le certificat
de début----émis pour : IntermediateCA-2 ;
Émis par : Root-CA
----end certificate----
----Begin certificate----
émis pour : Root-CA ;
Émis par : Root-ca
----certificat final----
pour enregistrer chacun d’entre eux, copiez l’intégralité du contenu chiffré, y compris les instructions de début et de fin dans un fichier texte distinct et enregistrez-le-
root. cercontient :
----Begin Certificate----
émis pour : Root-CA ;
Émis par : Root-ca
----certificat final----
Intermediate02. cer contient :
----Begin Certificate----
émis pour : IntermediateCA-2 ;
Émis par : Root-ca
----certificat final----
Intermediate01. cer contient :
----Begin Certificate----
émis pour : IntermediateCA-1 ;
Émis par : IntermediateCA-2
----end Certificate----
certificat de serveur websigné doit contenir :
----le certificat de début----
délivré à : webserver01.EMC.com ;
Émis par : IntermediateCA-1
----end Certificate----
ensuite, importez-les dans le magasin de clés temporaire à l’aide des commandes suivantes :
./keytool-import-trustcacerts-alias root-keystore New. keystore-file root. cer
* il doit vous demander s’il s’agit d’un certificat racine de confiance-Say Yes (y) and Hit Enter, puis saisissez le mot de passe du magasin de clés
./keytool-import-trustcacerts-alias intermediate02-keystore New. keystore-file intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01-keystore keystore-file intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-keystore New. keystore-file emcdpa. cer.
ensuite, assurez-vous que le certificat a été importé correctement à l’aide de :
./keytool-List-v-keystore New. keystore-storepass keystorepw
s’il est importé correctement, vous devriez voir la chaîne de certificats complète ici.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To