Article Number: 000158453
De server-, tussenliggende en basiscertificaten van een enkel ondertekend certificaat handmatig scheiden
Summary: In dit artikel wordt beschreven hoe u de server-, tussen-en basiscertificaten handmatig kunt scheiden van een enkel ondertekend certificaat in Windows of Linux.
Article Content
Instructions
Bij het importeren van een ondertekend certificaat in het tijdelijke opslagarchief, is het belangrijk om de volledige certificaatketen te importeren. Om te controleren of de website veilig is en of het certificaat is ondertekend door een vertrouwde certificeringsinstantie, moet de browser toegang hebben tot de certificaatketen. De "keten van vertrouwen", stelt de browser in staat een vertrouwde verbinding te maken door het volledige pad van het ondertekende certificaat naar het basiscertificaat te leveren. Er kunnen ook een of meer tussenliggende certificaten aanwezig zijn.
Alle certificaten waarmee het ondertekende servercertificaat is verbonden met het basiscertificaat maken de certificaatketen. De keten wordt gebruikt om een beveiligde verbinding (https) op de webserver te valideren op basis van een vertrouwde certificeringsinstantie. Zonder de volledige certificaatketen kan de browser geen beveiligde verbinding valideren.
Sommige typen certificaatbestanden bevatten het ondertekende servercertificaat, het tussenliggende certificaat en het hoofdcertificaat in één bestand. In dat geval is het mogelijk dat u de volledige keten tegelijk kunt importeren.
Meestal zijn deze bestanden PKCS # 12 (. pfx of. p12)-Dit kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel opslaan in een enkel. pfx-bestand met wachtwoordbeveiliging.
Ze kunnen ook een PKCS # 7-indeling hebben (. p7b of. P7C), die alleen de certificaten in de keten bevat, niet de persoonlijke sleutels.
Certificaten in PEM indeling (. pem,. CRT,. CER of. key)- kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel opnemen in een enkel bestand. Het servercertificaat en het tussenliggende certificaat kunnen ook in een afzonderlijke. CRT-of. cer-bestanden staan en de persoonlijke sleutel kan een. key-bestand zijn.
U kunt nagaan of de volledige certificaatketen in één bestand staat door deze te openen in een teksteditor. Elk certificaat bevindt zich tussen de----BEGIN certificaat----en----EINDCERTIFICAAT----instructies. De persoonlijke sleutel bevindt zich in de----BEGIN RSA persoonlijke sleutel-----en-----END RSA persoonlijke sleutel-----statements.
Zorg ervoor dat het aantal certificaten in het----BEGIN certificaat----en----EINDCERTIFICAAT-----instructies overeenkomen met het aantal certificaten in de keten (server en intermediair). Als het bestand de persoonlijke sleutel bevat, wat inhoudt dat het einde van----RSA persoonlijke sleutel-----en-----END RSA persoonlijke sleutel is, kunt u deze mogelijk rechtstreeks importeren in Apollo. sleutelarchief. Data Protection Advisor (DPA): Een ondertekend certificaat importeren dat de volledige vertrouwensketen en de persoonlijke sleutel bevat in DPA-Windows of
(Windows) of hoe u een ondertekend certificaat met de volledige vertrouwensketen en persoonlijke sleutel importeert in DPA-Linux
als het bestand niet de volledige certificaatketen bevat, moet u mogelijk elk gedeelte van het certificaat handmatig importeren van het basiscertificaat naar het servercertificaat. In sommige gevallen kan de klant elk van de tussenliggende certificaten en het basiscertificaat ophalen in afzonderlijke bestanden van de CA. Sommige Ca's leveren de keten die op het servercertificaat staat, in een apart bestand. In deze gevallen importeert u elk bestand in de tijdelijke opslagset (root eerst, dan de tussenliggende (s) en vervolgens het servercertificaat) met behulp van de onderstaande opdracht en een andere alias voor elke:
trustcacerts-import- -aliasnaam -archief- temp
U gaat de alias en bestandsnamen wijzigen op basis van de alias en bestandsnamen die worden gebruikt bij het genereren van de CSR. Gebruik altijd de alias root bij het importeren van het hoofd-CA-certificaat en gebruik altijd de alias die wordt gebruikt om het CSR-bestand te genereren bij het importeren van het servercertificaat. De aliassen voor de tussenliggende certificaten worden als id's gebruikt, maar dit kan alles wat u maar wilt, zo lang als elk uniek is.
Als de certificeringsinstantie niet al deze bestanden voor u verstrekt en u ze handmatig in root moet scheiden, tussenliggend en servercertificaat kunt u dit op twee manieren doen:
in Windows:
Wanneer u het ondertekende certificaatbestand ontvangt, moet u het openen in Windows om het pad naar het basiscertificaat te zien:
voor het basiscertificaat en eventuele tussenliggende certificaten markeert u elk (één tegelijk) en klikt u op certificaat weergeven.
Klik in dit venster op Details weergeven > kopiëren naar bestand > gebruik de basis-64 gecodeerd X. 509 (. CER)-indeling en sla ze op.
Voorzie ze van een label, zodat u ze in de juiste volgorde kunt importeren (bijvoorbeeld root. CER, intermediate01. CER, emcdpa. CER). Het basiscertificaat wordt de enige die zelfstandig aan zichzelf wordt verstrekt. Bijvoorbeeld
:
Als u ze eenmaal hebt opgeslagen, verplaatst u ze naar dpa\services\ _jre \Bin op de toepassingsserver.
Gebruik de volgende opdrachten uit dpa\services\ _jre \Bin om het basiscertificaat, alle tussenliggende certificaten en de bestanden van het eindcertificaat te importeren.
Opmerking: Dit zijn de bestanden die u in de laatste stap hebt gemaakt en zorg ervoor dat u de bestandsnamen en bestandspaden zo nodig wijzigt, evenals het wachtwoord voor de opslag die in deze omgeving wordt gebruikt.
hulpprogramma voor importeren-trustcacerts-alias root-File Store New. het bestand met de hoofd bestandsnaam. CER
* u dient u te vragen als dit een vertrouwd root certificaat is-zeg ja (y) en druk op ENTER en voer dan het wachtwoord voor het instellen van de wachtwoord
functie-Import-trustcacerts-alias intermediate01-de nieuwe. intermediate01. CER-
hulpprogramma-import-trustcacerts-alias emcdpa-runtime-bestand nieuw.-File emcdpa. CER
Controleer dan of het certificaat correct is geïmporteerd met: in de functie voor het uitvoeren van de-lijst-v-de nieuwe versie van het certificaat. op deze manier wordt de
volledige certificaatketen hier weergegeven.
In Linux:
Open het CSR-bestand in een teksteditor. Identificeer elk van de certificaten door het----begin certificaat----en----eindcertificaat----instructies.
Als u deze wilt scheiden in het eigen bestand, kopieert u de inhoud van elk met de----BEGIN certificaat----en----eindcertificaat----instructies aan een van beide uiteinden. Plak de inhoud van elk bestand in afzonderlijke tekstbestanden en voorzie ze van een label op basis van de volgorde waarin ze zijn geplaatst in het bestand met het oorspronkelijke ondertekende certificaat. De eerste is het door de server s ondertekende certificaat, de laatste is het basiscertificaat, wat alles in tussen de tussenliggende certificaten is.
In het onderstaande voorbeeld vervangt ik de versleutelde inhoud door de gecodeerde inhoud om elk certificaat in de keten te beschrijven volgens de volgorde waarin ze in het bestand worden weergegeven:
----begin certificaat----
afgegeven aan: webserver01.EMC.com;
Uitgegeven door: IntermediateCA-1
----eindcertificaat----
----BEGIN certificaat----
afgegeven aan: IntermediateCA-1;
Uitgegeven door: IntermediateCA-2
----eindcertificaat----
----BEGIN certificaat----
afgegeven aan: IntermediateCA-2;
Uitgegeven door: Root-CA
----eindcertificaat----
----BEGIN certificaat----
verleend aan: Root-CA;
Uitgegeven door: Root-CA
----eindcertificaat----
om elk te bewaren, kopieert u de volledige versleutelde inhoud inclusief de begin-/eindtijden-instructies in een afzonderlijk tekstbestand en slaat u dit op
. CERzou het volgende bevatten:
----certificaat laten beginnen----
afgegeven aan: Root-CA;
Uitgegeven door: Root-CA
----eindcertificaat----
Intermediate02. CER zou het volgende bevatten:
----begin certificaat----
verleend aan: IntermediateCA-2;
Uitgegeven door: Root-CA
----eindcertificaat----
Intermediate01. CER zou het volgende bevatten:
----begin certificaat----
verleend aan: IntermediateCA-1;
Uitgegeven door: IntermediateCA-2
----eindcertificaat----
ondertekend Webservercertificaat zou bevatten:
----begin van certificaat----
afgegeven aan: webserver01.EMC.com;
Uitgegeven door: IntermediateCA-1
----eindcertificaat----
u kunt deze vervolgens importeren in het tijdelijke versie-archief met de volgende opdrachten:
./keytool-import-trustcacerts-alias root-runtime-archief nieuw. bestand met de hoofd bestandsnaam. CER
* het is raadzaam om u te vragen of dit een vertrouwd root certificaat is (Ja (y) en druk op ENTER en voer dan het wachtwoord in
./keytool-import-trustcacerts-alias intermediate02-runtime-opslag nieuwe. de opslaglocatie voor bestanden intermediate02. CER
./keytool-import-trustcacerts-alias intermediate01-ca nieuw. het bestand intermediate01. CER
./keytool-import-trustcacerts-alias emcdpa-ca Store New. store-file emcdpa. CER
Controleer dan of het certificaat correct is geïmporteerd met:
./Keytool-list-v-in-en uitvoerbaar .y Store-storepass keystorepw
als dit correct is geïmporteerd, wordt hier de volledige certificaatketen weergegeven.
Alle certificaten waarmee het ondertekende servercertificaat is verbonden met het basiscertificaat maken de certificaatketen. De keten wordt gebruikt om een beveiligde verbinding (https) op de webserver te valideren op basis van een vertrouwde certificeringsinstantie. Zonder de volledige certificaatketen kan de browser geen beveiligde verbinding valideren.
Sommige typen certificaatbestanden bevatten het ondertekende servercertificaat, het tussenliggende certificaat en het hoofdcertificaat in één bestand. In dat geval is het mogelijk dat u de volledige keten tegelijk kunt importeren.
Meestal zijn deze bestanden PKCS # 12 (. pfx of. p12)-Dit kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel opslaan in een enkel. pfx-bestand met wachtwoordbeveiliging.
Ze kunnen ook een PKCS # 7-indeling hebben (. p7b of. P7C), die alleen de certificaten in de keten bevat, niet de persoonlijke sleutels.
Certificaten in PEM indeling (. pem,. CRT,. CER of. key)- kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel opnemen in een enkel bestand. Het servercertificaat en het tussenliggende certificaat kunnen ook in een afzonderlijke. CRT-of. cer-bestanden staan en de persoonlijke sleutel kan een. key-bestand zijn.
U kunt nagaan of de volledige certificaatketen in één bestand staat door deze te openen in een teksteditor. Elk certificaat bevindt zich tussen de----BEGIN certificaat----en----EINDCERTIFICAAT----instructies. De persoonlijke sleutel bevindt zich in de----BEGIN RSA persoonlijke sleutel-----en-----END RSA persoonlijke sleutel-----statements.
Zorg ervoor dat het aantal certificaten in het----BEGIN certificaat----en----EINDCERTIFICAAT-----instructies overeenkomen met het aantal certificaten in de keten (server en intermediair). Als het bestand de persoonlijke sleutel bevat, wat inhoudt dat het einde van----RSA persoonlijke sleutel-----en-----END RSA persoonlijke sleutel is, kunt u deze mogelijk rechtstreeks importeren in Apollo. sleutelarchief. Data Protection Advisor (DPA): Een ondertekend certificaat importeren dat de volledige vertrouwensketen en de persoonlijke sleutel bevat in DPA-Windows of
(Windows) of hoe u een ondertekend certificaat met de volledige vertrouwensketen en persoonlijke sleutel importeert in DPA-Linux
als het bestand niet de volledige certificaatketen bevat, moet u mogelijk elk gedeelte van het certificaat handmatig importeren van het basiscertificaat naar het servercertificaat. In sommige gevallen kan de klant elk van de tussenliggende certificaten en het basiscertificaat ophalen in afzonderlijke bestanden van de CA. Sommige Ca's leveren de keten die op het servercertificaat staat, in een apart bestand. In deze gevallen importeert u elk bestand in de tijdelijke opslagset (root eerst, dan de tussenliggende (s) en vervolgens het servercertificaat) met behulp van de onderstaande opdracht en een andere alias voor elke:
trustcacerts-import- -aliasnaam -archief- temp
U gaat de alias en bestandsnamen wijzigen op basis van de alias en bestandsnamen die worden gebruikt bij het genereren van de CSR. Gebruik altijd de alias root bij het importeren van het hoofd-CA-certificaat en gebruik altijd de alias die wordt gebruikt om het CSR-bestand te genereren bij het importeren van het servercertificaat. De aliassen voor de tussenliggende certificaten worden als id's gebruikt, maar dit kan alles wat u maar wilt, zo lang als elk uniek is.
Als de certificeringsinstantie niet al deze bestanden voor u verstrekt en u ze handmatig in root moet scheiden, tussenliggend en servercertificaat kunt u dit op twee manieren doen:
in Windows:
Wanneer u het ondertekende certificaatbestand ontvangt, moet u het openen in Windows om het pad naar het basiscertificaat te zien:
voor het basiscertificaat en eventuele tussenliggende certificaten markeert u elk (één tegelijk) en klikt u op certificaat weergeven.
Klik in dit venster op Details weergeven > kopiëren naar bestand > gebruik de basis-64 gecodeerd X. 509 (. CER)-indeling en sla ze op.
Voorzie ze van een label, zodat u ze in de juiste volgorde kunt importeren (bijvoorbeeld root. CER, intermediate01. CER, emcdpa. CER). Het basiscertificaat wordt de enige die zelfstandig aan zichzelf wordt verstrekt. Bijvoorbeeld
:
Als u ze eenmaal hebt opgeslagen, verplaatst u ze naar dpa\services\ _jre \Bin op de toepassingsserver.
Gebruik de volgende opdrachten uit dpa\services\ _jre \Bin om het basiscertificaat, alle tussenliggende certificaten en de bestanden van het eindcertificaat te importeren.
Opmerking: Dit zijn de bestanden die u in de laatste stap hebt gemaakt en zorg ervoor dat u de bestandsnamen en bestandspaden zo nodig wijzigt, evenals het wachtwoord voor de opslag die in deze omgeving wordt gebruikt.
hulpprogramma voor importeren-trustcacerts-alias root-File Store New. het bestand met de hoofd bestandsnaam. CER
* u dient u te vragen als dit een vertrouwd root certificaat is-zeg ja (y) en druk op ENTER en voer dan het wachtwoord voor het instellen van de wachtwoord
functie-Import-trustcacerts-alias intermediate01-de nieuwe. intermediate01. CER-
hulpprogramma-import-trustcacerts-alias emcdpa-runtime-bestand nieuw.-File emcdpa. CER
Controleer dan of het certificaat correct is geïmporteerd met: in de functie voor het uitvoeren van de-lijst-v-de nieuwe versie van het certificaat. op deze manier wordt de
volledige certificaatketen hier weergegeven.
In Linux:
Open het CSR-bestand in een teksteditor. Identificeer elk van de certificaten door het----begin certificaat----en----eindcertificaat----instructies.
Als u deze wilt scheiden in het eigen bestand, kopieert u de inhoud van elk met de----BEGIN certificaat----en----eindcertificaat----instructies aan een van beide uiteinden. Plak de inhoud van elk bestand in afzonderlijke tekstbestanden en voorzie ze van een label op basis van de volgorde waarin ze zijn geplaatst in het bestand met het oorspronkelijke ondertekende certificaat. De eerste is het door de server s ondertekende certificaat, de laatste is het basiscertificaat, wat alles in tussen de tussenliggende certificaten is.
In het onderstaande voorbeeld vervangt ik de versleutelde inhoud door de gecodeerde inhoud om elk certificaat in de keten te beschrijven volgens de volgorde waarin ze in het bestand worden weergegeven:
----begin certificaat----
afgegeven aan: webserver01.EMC.com;
Uitgegeven door: IntermediateCA-1
----eindcertificaat----
----BEGIN certificaat----
afgegeven aan: IntermediateCA-1;
Uitgegeven door: IntermediateCA-2
----eindcertificaat----
----BEGIN certificaat----
afgegeven aan: IntermediateCA-2;
Uitgegeven door: Root-CA
----eindcertificaat----
----BEGIN certificaat----
verleend aan: Root-CA;
Uitgegeven door: Root-CA
----eindcertificaat----
om elk te bewaren, kopieert u de volledige versleutelde inhoud inclusief de begin-/eindtijden-instructies in een afzonderlijk tekstbestand en slaat u dit op
. CERzou het volgende bevatten:
----certificaat laten beginnen----
afgegeven aan: Root-CA;
Uitgegeven door: Root-CA
----eindcertificaat----
Intermediate02. CER zou het volgende bevatten:
----begin certificaat----
verleend aan: IntermediateCA-2;
Uitgegeven door: Root-CA
----eindcertificaat----
Intermediate01. CER zou het volgende bevatten:
----begin certificaat----
verleend aan: IntermediateCA-1;
Uitgegeven door: IntermediateCA-2
----eindcertificaat----
ondertekend Webservercertificaat zou bevatten:
----begin van certificaat----
afgegeven aan: webserver01.EMC.com;
Uitgegeven door: IntermediateCA-1
----eindcertificaat----
u kunt deze vervolgens importeren in het tijdelijke versie-archief met de volgende opdrachten:
./keytool-import-trustcacerts-alias root-runtime-archief nieuw. bestand met de hoofd bestandsnaam. CER
* het is raadzaam om u te vragen of dit een vertrouwd root certificaat is (Ja (y) en druk op ENTER en voer dan het wachtwoord in
./keytool-import-trustcacerts-alias intermediate02-runtime-opslag nieuwe. de opslaglocatie voor bestanden intermediate02. CER
./keytool-import-trustcacerts-alias intermediate01-ca nieuw. het bestand intermediate01. CER
./keytool-import-trustcacerts-alias emcdpa-ca Store New. store-file emcdpa. CER
Controleer dan of het certificaat correct is geïmporteerd met:
./Keytool-list-v-in-en uitvoerbaar .y Store-storepass keystorepw
als dit correct is geïmporteerd, wordt hier de volledige certificaatketen weergegeven.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To