Article Number: 000158453
Come separare manualmente i certificati server, intermedi e root da un unico certificato firmato
Summary: Questo articolo descrive come separare manualmente i certificati server, intermedi e root da un unico certificato firmato in Windows o Linux.
Article Content
Instructions
Quando si importa un certificato firmato nell'archivio chiavi temporaneo, è importante importare la catena di certificati completa. Per verificare che il sito Web sia protetto e che il certificato sia stato firmato da un'autorità di certificazione attendibile, il browser deve avere accesso alla catena di certificati. "Chain of Trust", consente al browser di stabilire una connessione affidabile fornendo il percorso completo dal certificato firmato al certificato root. Potrebbero essere presenti anche uno o più certificati intermedi.
Tutti i certificati che collegano il certificato del server firmato al certificato root formano la catena di certificati. La catena viene utilizzata per validare una connessione protetta (HTTPS) al server Web in base al suo rilascio da un'autorità di certificazione attendibile. Senza la catena di certificati completa, il browser non sarà in grado di validare una connessione protetta.
Alcuni tipi di file di certificato contengono il certificato del server firmato, i certificati intermedi e il certificato root in un unico file. In questi casi, potrebbe essere possibile importare la catena completa in una volta sola.
In genere, questi file sono PKCS # 12 (. pfx o. P12), in grado di archiviare il certificato del server, il certificato intermedio e la chiave privata in un singolo file. pfx con protezione tramite password.
Possono anche essere in formato PKCS # 7 (. p7b o. p7c), che contengono solo i certificati nella catena, non le chiavi private.
Certificati in formato PEM (. pem,. CRT,. cer o. Key)- possono includere il certificato del server, il certificato intermedio e la chiave privata in un singolo file. Il certificato server e il certificato intermedio possono anche essere in un file. CRT o. cer separato e la chiave privata può trovarsi in un file. Key.
È possibile verificare se la catena completa del certificato si trova in un file aprendolo in un editor di testo. Ogni certificato è contenuto tra le istruzioni di----BEGIN CERTIFICAte----e----certificato END----. La chiave privata è inclusa tra il----iniziare RSA-----della chiave privata e-----fine RSA istruzioni-----chiave privata.
Verificare che il numero di certificati contenuti nelle istruzioni di----BEGIN CERTIFICAte----e--------certificato finale corrisponda al numero di certificati nella catena (server e intermedi). Se il file contiene la chiave privata, che significa che termina con----iniziare RSA-----della chiave privata e-----fine RSA chiave privata, potrebbe essere possibile eseguire l'import direttamente in Apollo. keystore. Data Protection Advisor (DPA): Come importare un certificato firmato contenente la catena di attendibilità completa e la chiave privata in DPA-Windows o
(Windows) o come importare un certificato firmato contenente la catena di attendibilità completa e la chiave privata in DPA-Linux
se il file non contiene la catena di certificati completa, potrebbe essere necessario importare ogni parte del certificato manualmente, dal certificato root al certificato del server. In alcuni casi, il cliente può ottenere ciascuno dei certificati intermedi e il certificato root in file separati dalla CA. Alcuni CAs forniranno la catena che porta al certificato del server in un file separato. In questi casi, importare ciascun file nell'archivio chiavi temporaneo (root First, than Intermediate, quindi certificato server) utilizzando il comando riportato di seguito e un alias diverso per ogni:
strumento di chiavi-Import-trustcacerts-alias aliasname -keystore Temp. keystore -file cert. file
Nota: L'alias e i nomi di file vengono modificati in base all'alias e ai nomi di file utilizzati durante la generazione del CSR. Utilizzare sempre l'alias root quando si esegue l'import del certificato CA root e utilizzare sempre l'alias utilizzato per generare il file CSR quando si importa il certificato del server. Gli alias per i certificati intermedi vengono utilizzati come identificatori, ma possono essere quello che si desidera, purché siano univoci.
Se la CA non fornisce ciascuno di questi file per l'utente ed è necessario separarli manualmente in root, un certificato server e intermedio, è possibile farlo in due modi:
in Windows:
quando si riceve il file del certificato firmato, aprirlo in Windows per visualizzare il percorso al certificato root:
per il certificato root e i certificati intermedi, evidenziare ciascuno (uno alla volta) e fare clic su Visualizza certificato.
In questa finestra, fare clic su Visualizza dettagli > copia su file > USA formato base-64 X. 509 (. cer) e salvare ciascuno di essi.
Assicurarsi di etichettarle in modo da poterle importare in ordine (ad esempio root. cer, intermediate01. cer, emcdpa. cer). Il certificato root sarà l'unico emesso da solo. Ad esempio
:
Dopo averli salvati, spostarli in dpa\services\ _jre \bin sull'Application Server.
Utilizzando i seguenti comandi di dpa\services\ _jre \bin per importare il certificato root, eventuali certificati intermedi e i file del certificato finale.
Nota: Questi sono i file creati nell'ultimo passaggio, in modo da assicurarsi di modificare i nomi e i percorsi dei file in base alle esigenze, nonché la password dell'archivio chiavi che dovrà corrispondere a quella utilizzata in questo ambiente.
strumento di chiavi-Import-trustcacerts-alias root-keystore nuovo. keystore-file root. cer
* vi chiederà se si tratta di un certificato root attendibile-diciamo sì (y) e premete invio, quindi inserire la password
Tool chiave-Import-trustcacerts-alias intermediate01-keystore nuovo. keystore-file intermediate01. cer strumento per chiavi
-Import-trustcacerts-alias emcdpa-keystore nuovo. keystore-file emcdpa. cer
quindi, verificare che il certificato sia stato importato correttamente usando: keystore
-elenco-v-keystore nuovo. archivio chiavi-storepass keystorepw
se è stato importato correttamente, viene visualizzata la catena di certificati completa qui.
In Linux:
Aprire il file CSR in un editor di testo. Identificare ciascuno dei certificati in----istruzioni BEGIN certificate----e----end certificate----.
Per separare ciascuno di essi nel proprio file, copiare il contenuto di ciascuno, incluse le istruzioni di----Begin certificate----e----certificato end----su entrambe le estremità. Incollare il contenuto di ciascuno in file di testo separati ed etichettarli in base all'ordine in cui vengono posizionati nel file del certificato firmato originale. Il primo sarà il certificato firmato del server, l'ultimo sarà il certificato root, qualsiasi elemento tra sono certificati intermedi.
Nell'esempio riportato di seguito, i ve ha sostituito il contenuto crittografato per descrivere ciascun certificato nella catena in base all'ordine in cui vengono visualizzati nel file:
----iniziare il certificato----
inviato a: webserver01.EMC.com;
Emesso da: IntermediateCA-1
----certificato di fine----
----iniziare il certificato----
emesso per: IntermediateCA-1;
Emesso da: IntermediateCA-2
----certificato di fine----
----iniziare il certificato----
emesso per: IntermediateCA-2;
Emesso da: Root-CA
----certificato di fine----
----iniziare il certificato----
emesso per: Root-CA;
Emesso da: Root-CA
----certificato finale----
per salvare ciascuno, copiare l'intero contenuto crittografato, incluse le istruzioni di inizio/fine in un file di testo separato e salvarlo-
root. cercontiene:
----Begin certificato----
emesso per: Root-CA;
Emesso da: Root-CA
----certificato di fine----
Intermediate02. CER contiene:
----Begin certificato----
emesso per: IntermediateCA-2;
Emesso da: Root-CA
----certificato di fine----
Intermediate01. CER contiene:
----Begin certificato----
emesso per: IntermediateCA-1;
Emesso da: IntermediateCA-2
----certificato finale----certificato
webserver conterrà:
----iniziare il certificato----
rilasciato a: webserver01.EMC.com;
Emesso da: IntermediateCA-1
----certificato finale----
quindi, importarli nel keystore temporaneo utilizzando i seguenti comandi:
./keytool-Import-trustcacerts-alias root-keystore nuovo. keystore-file root. cer
* dovrebbe chiedersi se si tratta di un certificato root attendibile-dire sì (y) e premere INVIO, quindi immettere la password dell'archivio chiavi
./keytool-Import-trustcacerts-alias intermediate02-keystore New. keystore-file intermediate02. cer
./keytool-Import-trustcacerts-alias intermediate01-keystore nuovo. keystore-file intermediate01. cer
./keytool-Import-trustcacerts-alias emcdpa-keystore nuovo. keystore-file emcdpa. cer
quindi, verificare che il certificato sia stato importato correttamente utilizzando:
./keytool-list-v-keystore New. keystore-storepass keystorepw
se è stato importato correttamente, si dovrebbe vedere la catena di certificati completa qui.
Tutti i certificati che collegano il certificato del server firmato al certificato root formano la catena di certificati. La catena viene utilizzata per validare una connessione protetta (HTTPS) al server Web in base al suo rilascio da un'autorità di certificazione attendibile. Senza la catena di certificati completa, il browser non sarà in grado di validare una connessione protetta.
Alcuni tipi di file di certificato contengono il certificato del server firmato, i certificati intermedi e il certificato root in un unico file. In questi casi, potrebbe essere possibile importare la catena completa in una volta sola.
In genere, questi file sono PKCS # 12 (. pfx o. P12), in grado di archiviare il certificato del server, il certificato intermedio e la chiave privata in un singolo file. pfx con protezione tramite password.
Possono anche essere in formato PKCS # 7 (. p7b o. p7c), che contengono solo i certificati nella catena, non le chiavi private.
Certificati in formato PEM (. pem,. CRT,. cer o. Key)- possono includere il certificato del server, il certificato intermedio e la chiave privata in un singolo file. Il certificato server e il certificato intermedio possono anche essere in un file. CRT o. cer separato e la chiave privata può trovarsi in un file. Key.
È possibile verificare se la catena completa del certificato si trova in un file aprendolo in un editor di testo. Ogni certificato è contenuto tra le istruzioni di----BEGIN CERTIFICAte----e----certificato END----. La chiave privata è inclusa tra il----iniziare RSA-----della chiave privata e-----fine RSA istruzioni-----chiave privata.
Verificare che il numero di certificati contenuti nelle istruzioni di----BEGIN CERTIFICAte----e--------certificato finale corrisponda al numero di certificati nella catena (server e intermedi). Se il file contiene la chiave privata, che significa che termina con----iniziare RSA-----della chiave privata e-----fine RSA chiave privata, potrebbe essere possibile eseguire l'import direttamente in Apollo. keystore. Data Protection Advisor (DPA): Come importare un certificato firmato contenente la catena di attendibilità completa e la chiave privata in DPA-Windows o
(Windows) o come importare un certificato firmato contenente la catena di attendibilità completa e la chiave privata in DPA-Linux
se il file non contiene la catena di certificati completa, potrebbe essere necessario importare ogni parte del certificato manualmente, dal certificato root al certificato del server. In alcuni casi, il cliente può ottenere ciascuno dei certificati intermedi e il certificato root in file separati dalla CA. Alcuni CAs forniranno la catena che porta al certificato del server in un file separato. In questi casi, importare ciascun file nell'archivio chiavi temporaneo (root First, than Intermediate, quindi certificato server) utilizzando il comando riportato di seguito e un alias diverso per ogni:
strumento di chiavi-Import-trustcacerts-alias aliasname -keystore Temp. keystore -file cert. file
Nota: L'alias e i nomi di file vengono modificati in base all'alias e ai nomi di file utilizzati durante la generazione del CSR. Utilizzare sempre l'alias root quando si esegue l'import del certificato CA root e utilizzare sempre l'alias utilizzato per generare il file CSR quando si importa il certificato del server. Gli alias per i certificati intermedi vengono utilizzati come identificatori, ma possono essere quello che si desidera, purché siano univoci.
Se la CA non fornisce ciascuno di questi file per l'utente ed è necessario separarli manualmente in root, un certificato server e intermedio, è possibile farlo in due modi:
in Windows:
quando si riceve il file del certificato firmato, aprirlo in Windows per visualizzare il percorso al certificato root:
per il certificato root e i certificati intermedi, evidenziare ciascuno (uno alla volta) e fare clic su Visualizza certificato.
In questa finestra, fare clic su Visualizza dettagli > copia su file > USA formato base-64 X. 509 (. cer) e salvare ciascuno di essi.
Assicurarsi di etichettarle in modo da poterle importare in ordine (ad esempio root. cer, intermediate01. cer, emcdpa. cer). Il certificato root sarà l'unico emesso da solo. Ad esempio
:
Dopo averli salvati, spostarli in dpa\services\ _jre \bin sull'Application Server.
Utilizzando i seguenti comandi di dpa\services\ _jre \bin per importare il certificato root, eventuali certificati intermedi e i file del certificato finale.
Nota: Questi sono i file creati nell'ultimo passaggio, in modo da assicurarsi di modificare i nomi e i percorsi dei file in base alle esigenze, nonché la password dell'archivio chiavi che dovrà corrispondere a quella utilizzata in questo ambiente.
strumento di chiavi-Import-trustcacerts-alias root-keystore nuovo. keystore-file root. cer
* vi chiederà se si tratta di un certificato root attendibile-diciamo sì (y) e premete invio, quindi inserire la password
Tool chiave-Import-trustcacerts-alias intermediate01-keystore nuovo. keystore-file intermediate01. cer strumento per chiavi
-Import-trustcacerts-alias emcdpa-keystore nuovo. keystore-file emcdpa. cer
quindi, verificare che il certificato sia stato importato correttamente usando: keystore
-elenco-v-keystore nuovo. archivio chiavi-storepass keystorepw
se è stato importato correttamente, viene visualizzata la catena di certificati completa qui.
In Linux:
Aprire il file CSR in un editor di testo. Identificare ciascuno dei certificati in----istruzioni BEGIN certificate----e----end certificate----.
Per separare ciascuno di essi nel proprio file, copiare il contenuto di ciascuno, incluse le istruzioni di----Begin certificate----e----certificato end----su entrambe le estremità. Incollare il contenuto di ciascuno in file di testo separati ed etichettarli in base all'ordine in cui vengono posizionati nel file del certificato firmato originale. Il primo sarà il certificato firmato del server, l'ultimo sarà il certificato root, qualsiasi elemento tra sono certificati intermedi.
Nell'esempio riportato di seguito, i ve ha sostituito il contenuto crittografato per descrivere ciascun certificato nella catena in base all'ordine in cui vengono visualizzati nel file:
----iniziare il certificato----
inviato a: webserver01.EMC.com;
Emesso da: IntermediateCA-1
----certificato di fine----
----iniziare il certificato----
emesso per: IntermediateCA-1;
Emesso da: IntermediateCA-2
----certificato di fine----
----iniziare il certificato----
emesso per: IntermediateCA-2;
Emesso da: Root-CA
----certificato di fine----
----iniziare il certificato----
emesso per: Root-CA;
Emesso da: Root-CA
----certificato finale----
per salvare ciascuno, copiare l'intero contenuto crittografato, incluse le istruzioni di inizio/fine in un file di testo separato e salvarlo-
root. cercontiene:
----Begin certificato----
emesso per: Root-CA;
Emesso da: Root-CA
----certificato di fine----
Intermediate02. CER contiene:
----Begin certificato----
emesso per: IntermediateCA-2;
Emesso da: Root-CA
----certificato di fine----
Intermediate01. CER contiene:
----Begin certificato----
emesso per: IntermediateCA-1;
Emesso da: IntermediateCA-2
----certificato finale----certificato
webserver conterrà:
----iniziare il certificato----
rilasciato a: webserver01.EMC.com;
Emesso da: IntermediateCA-1
----certificato finale----
quindi, importarli nel keystore temporaneo utilizzando i seguenti comandi:
./keytool-Import-trustcacerts-alias root-keystore nuovo. keystore-file root. cer
* dovrebbe chiedersi se si tratta di un certificato root attendibile-dire sì (y) e premere INVIO, quindi immettere la password dell'archivio chiavi
./keytool-Import-trustcacerts-alias intermediate02-keystore New. keystore-file intermediate02. cer
./keytool-Import-trustcacerts-alias intermediate01-keystore nuovo. keystore-file intermediate01. cer
./keytool-Import-trustcacerts-alias emcdpa-keystore nuovo. keystore-file emcdpa. cer
quindi, verificare che il certificato sia stato importato correttamente utilizzando:
./keytool-list-v-keystore New. keystore-storepass keystorepw
se è stato importato correttamente, si dovrebbe vedere la catena di certificati completa qui.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To