Article Number: 000158453
Ręczne oddzielanie certyfikatów serwera, pośredniego i głównego z jednego podpisanego certyfikatu
Summary: W tym artykule opisano sposób ręcznego oddzielania certyfikatów pośredniczących serwera, średniozaawansowanym i głównym z jednego podpisanego certyfikatu w Windows lub Linux. ...
Article Content
Instructions
Podczas importowania podpisanego certyfikatu do tymczasowego magazynu danych ważne jest zaimportowanie pełnego łańcucha certyfikatów. W celu sprawdzenia, czy witryna jest bezpieczna i czy certyfikat został podpisany przez zaufany urząd certyfikacji, przeglądarka musi mieć dostęp do łańcucha certyfikatów. "Łańcuch zaufania" umożliwia przeglądarce ustanowienie zaufanego połączenia poprzez dostarczenie pełnej ścieżki z podpisanego certyfikatu do certyfikatu głównego. Jeden lub więcej certyfikatów pośrednich może również zawierać jednocześnie.
Wszystkie certyfikaty łączące podpisany certyfikat serwera z certyfikatem głównym tworzą łańcuch certyfikatów. Łańcuch jest używany do sprawdzania poprawności bezpiecznego połączenia (https) na serwerze Web, na podstawie którego pochodzi on z zaufanego urzędu certyfikacji. Bez pełnego łańcucha certyfikatów przeglądarka nie będzie mogła zweryfikować bezpiecznego połączenia.
Niektóre typy plików certyfikatów zawierają certyfikat podpisanego serwera, certyfikaty pośrednie i certyfikat główny w jednym pliku. W takich przypadkach może być możliwe jednorazowe zaimportowanie pełnego łańcucha.
Zazwyczaj są to Pliki PKCS # 12 (. pfx lub. p12), które mogą przechowywać certyfikat serwera, certyfikat pośredni i klucz prywatny w jednym pliku PFX z ochroną hasłem.
Mogą mieć również format PKCS # 7 (. p7b lub. P7C), który zawiera tylko certyfikaty w łańcuchach, a nie na kluczach prywatnych.
Certyfikaty w formacie PEM (. pem,. CRT,. cer lub. Key) — mogą obejmować certyfikat serwera, certyfikat pośredni i klucz prywatny w pojedynczym pliku. Certyfikat serwera i certyfikat pośredni mogą również znajdować się w oddzielnych plikach CRT lub cer, a klucz prywatny może znajdować się w pliku. Key.
Aby sprawdzić, czy pełny łańcuch certyfikatów znajduje się w jednym pliku, otwórz go w edytorze tekstów. Wszystkie certyfikaty znajdują się między----początkowy certyfikat----i----KOŃCOWYch----ch certyfikatów. Klucz prywatny jest zawarty między----RSA klucz prywatny-----i-----koniec RSA klucza prywatnego-----.
Upewnij się, że liczba certyfikatów zawartych w----BEGIN CERTIFICATE----i----końcowy certyfikat----są zgodne z liczbą certyfikatów w łańcuchu (serwer i pośredni). Jeśli plik zawiera klucz prywatny, oznacza, że jest on zakończony----Rozpocznij RSA klucza prywatnego-----i-----Zakończ RSA klucz prywatny, można zaimportować go bezpośrednio do Apollo. KEY Store. Data Protection Advisor (DPA): Importowanie podpisanego certyfikatu z pełnym łańcuchem zaufania i klucza prywatnego do DPA-Windows lub
(Windows) lub sposobu importowania podpisanego certyfikatu zawierającego pełny łańcuch zaufania i klucza prywatnego do DPA-Linux
Jeśli plik nie zawiera pełnego łańcucha certyfikatu, może być konieczne zaimportowanie każdej części certyfikatu z certyfikatu głównego do certyfikatu serwera. W niektórych przypadkach klient może pobrać wszystkie certyfikaty pośrednie i certyfikat główny z urzędu certyfikacji. Niektóre urzędy certyfikacji dostarczą łańcucha prowadzącego do certyfikatu serwera w osobnym pliku. W takich przypadkach należy zaimportować każdy plik do tymczasowego magazynu danych (najpierw, niż w przypadku danych pośrednich, a następnie certyfikatu serwera) przy użyciu poniższego polecenia oraz innego aliasu: program
narzędziowy-import-trustcacerts-alias aliasutemp. certyfikat pliku przechowywania plików .
Uwaga dotycząca pliku: Alias i nazwy plików zostaną zmienione na podstawie aliasu i nazw plików używanych podczas generowania CSR. Należy zawsze używać głównego aliasu podczas importowania certyfikatu głównego urzędu certyfikacji i zawsze używać aliasu używanego do generowania pliku CSR podczas importowania certyfikatu serwera. Aliasy certyfikatów pośrednich są używane jako identyfikatory, ale mogą być takie same, jak długo są unikatowe.
Jeśli urząd certyfikacji nie dostarczy każdego z tych plików i należy go ręcznie oddzielić na katalog główny, certyfikatu pośredniczącego i serwera można to zrobić na dwa sposoby:
w Windows:
po otrzymaniu podpisanego pliku certyfikatu należy go otworzyć w programie Windows, aby wyświetlić ścieżkę do głównego certyfikatu:
dla certyfikatu głównego i wszelkich certyfikatów pośrednich, należy wyróżnić poszczególne urządzenia (po jednym na raz), a następnie kliknąć przycisk Wyświetl certyfikat.
W tym oknie kliknij opcję Wyświetl szczegóły > Kopiuj do pliku > Użyj formatu Base-64 encoded X. 509 (. cer) i Zapisz poszczególne pliki.
Prosimy o etykietowanie ich, aby można je było zaimportować w kolejności (katalog główny. cer, intermediate01. cer, emcdpa. cer). Certyfikat główny będzie jedynym wystawionym dla siebie samym elementem. Na przykład
:
Po zapisaniu urządzenia należy je przenosić do dpa\services\ _jre \Bin na serwerze aplikacji.
Za pomocą poniższych poleceń z dpa\services\ _jre \bin do importowania certyfikatu głównego, wszelkich certyfikatów pośrednich i końcowych plików certyfikatu.
Uwaga: Są to pliki utworzone w ostatnim kroku, dlatego należy zmienić nazwy plików i ścieżki plików, a także hasło do przechowywania danych, które będzie zgodne z używanymi w tym środowisku.
Program narzędziowy-import-trustcacerts-alias główny-skrót-nowy. plik główny przechowywania plików. cer
* należy zapytać, czy jest to certyfikat zaufanego certyfikatu głównego — powiedz Yes (y) i naciśnij przycisk Password, a następnie wprowadź hasło narzędzie File-
Import-trustcacerts-alias intermediate01-File Store. magazyn danych-File intermediate01. cer
Narzędzie-import-trustcacerts-alias emcdpa-File Store. nowy plik emcdpa. cer
, następnie sprawdź, czy certyfikat został zaimportowany prawidłowo, używając: program-
list-v-on-the New. Store-storepass keystorepw,
Jeśli został zaimportowany prawidłowo, powinien zostać wyświetlony pełny łańcuch certyfikatów.
W Linux:
Otwórz plik CSR w edytorze tekstów. Zidentyfikuj każdy certyfikat za pomocą----Rozpocznij certyfikat----i----końcowych----ch certyfikatów.
Aby oddzielić poszczególne pliki do własnego pliku, skopiuj zawartooć każdego z nich, w tym----rozpocznij certyfikat----i----końcowych----instrukcjami na obu końcach. Wklej zawartość każdego z nich do oddzielnych plików tekstowych i oznacz je na podstawie kolejności ich umieszczania w oryginalnym podpisanym pliku certyfikatu. Pierwszy z nich będzie certyfikatem podpisanym przez serwer, ostatni będzie certyfikatem głównym, a wszystkie z nich są certyfikatami pośredniczącymi.
W poniższym przykładzie zamienisz zaszyfrowaną zawartość w celu opisania każdego certyfikatu w łańcuchu zgodnie z kolejnością ich pojawienia się w pliku:
----Rozpocznij certyfikat----
wydany dla: webserver01.EMC.com;
Wystawiony przez: IntermediateCA-1
----koniec certyfikatu----
----rozpocznij certyfikat----
wystawiony dla: IntermediateCA-1;
Wystawiony przez: IntermediateCA-2
----koniec certyfikatu----
----rozpocznij certyfikat----
wystawiony dla: IntermediateCA-2;
Wystawiony przez: Główny urząd certyfikacji
----końcowy certyfikat----
----rozpoczynać certyfikaty----
wystawione w celu: Główny urząd certyfikacji;
Wystawiony przez: Główny urząd certyfikacji
----końcowych certyfikatów----
aby je zapisać, Skopiuj całą zaszyfrowaną zawartość, łącznie z instrukcją begin/end do oddzielnego pliku tekstowego i Zapisz plik jako
root. cerbędzie zawierał następujące elementy:
----Rozpocznij certyfikat----
wystawiony Główny urząd certyfikacji;
Wystawiony przez: Główny urząd certyfikacji
----końcowy certyfikat----
Intermediate02. cer będzie zawierał następujące dane:
----Rozpocznij certyfikat----
wystawiony dla: IntermediateCA-2;
Wystawiony przez: Główny urząd certyfikacji
----końcowy certyfikat----
Intermediate01. cer będzie zawierał następujące dane:
----Rozpocznij certyfikat----
wystawiony dla: IntermediateCA-1;
Wystawiony przez: IntermediateCA-2
----koniec certyfikatu----
podpisany certyfikat WebServer będzie zawierał następujące dane:
----Rozpocznij certyfikat----
wystawiony dla: webserver01.EMC.com;
Wystawiony przez: IntermediateCA-1
----koniec certyfikatu----
następnie zaimportuj te elementy do tymczasowego magazynu danych za pomocą następujących poleceń:
./Keytool-import-trustcacerts-alias root-. główny katalog plików. cer
* należy zapytać, czy jest to certyfikat zaufanego certyfikatu głównego – powiedz Yes (y) i naciśnij przycisk ENTER, a następnie wprowadź hasło do urządzenia
./Keytool-import-trustcacerts-alias intermediate02-nowy. \ magazyn-plik intermediate02. cer
./Keytool-import-trustcacerts-alias intermediate01-nowy. magazyn danych-File intermediate01. cer
./Keytool-import-trustcacerts-alias emcdpa--, nowy. The File Store-emcdpa. cer
następnie upewnij się, że certyfikat został zaimportowany prawidłowo za pomocą:
./Keytool-lista-v--, nowy. magazyn danych-storepass keystorepw
Jeśli został prawidłowo zaimportowany, powinien zostać wyświetlony w tym miejscu
Wszystkie certyfikaty łączące podpisany certyfikat serwera z certyfikatem głównym tworzą łańcuch certyfikatów. Łańcuch jest używany do sprawdzania poprawności bezpiecznego połączenia (https) na serwerze Web, na podstawie którego pochodzi on z zaufanego urzędu certyfikacji. Bez pełnego łańcucha certyfikatów przeglądarka nie będzie mogła zweryfikować bezpiecznego połączenia.
Niektóre typy plików certyfikatów zawierają certyfikat podpisanego serwera, certyfikaty pośrednie i certyfikat główny w jednym pliku. W takich przypadkach może być możliwe jednorazowe zaimportowanie pełnego łańcucha.
Zazwyczaj są to Pliki PKCS # 12 (. pfx lub. p12), które mogą przechowywać certyfikat serwera, certyfikat pośredni i klucz prywatny w jednym pliku PFX z ochroną hasłem.
Mogą mieć również format PKCS # 7 (. p7b lub. P7C), który zawiera tylko certyfikaty w łańcuchach, a nie na kluczach prywatnych.
Certyfikaty w formacie PEM (. pem,. CRT,. cer lub. Key) — mogą obejmować certyfikat serwera, certyfikat pośredni i klucz prywatny w pojedynczym pliku. Certyfikat serwera i certyfikat pośredni mogą również znajdować się w oddzielnych plikach CRT lub cer, a klucz prywatny może znajdować się w pliku. Key.
Aby sprawdzić, czy pełny łańcuch certyfikatów znajduje się w jednym pliku, otwórz go w edytorze tekstów. Wszystkie certyfikaty znajdują się między----początkowy certyfikat----i----KOŃCOWYch----ch certyfikatów. Klucz prywatny jest zawarty między----RSA klucz prywatny-----i-----koniec RSA klucza prywatnego-----.
Upewnij się, że liczba certyfikatów zawartych w----BEGIN CERTIFICATE----i----końcowy certyfikat----są zgodne z liczbą certyfikatów w łańcuchu (serwer i pośredni). Jeśli plik zawiera klucz prywatny, oznacza, że jest on zakończony----Rozpocznij RSA klucza prywatnego-----i-----Zakończ RSA klucz prywatny, można zaimportować go bezpośrednio do Apollo. KEY Store. Data Protection Advisor (DPA): Importowanie podpisanego certyfikatu z pełnym łańcuchem zaufania i klucza prywatnego do DPA-Windows lub
(Windows) lub sposobu importowania podpisanego certyfikatu zawierającego pełny łańcuch zaufania i klucza prywatnego do DPA-Linux
Jeśli plik nie zawiera pełnego łańcucha certyfikatu, może być konieczne zaimportowanie każdej części certyfikatu z certyfikatu głównego do certyfikatu serwera. W niektórych przypadkach klient może pobrać wszystkie certyfikaty pośrednie i certyfikat główny z urzędu certyfikacji. Niektóre urzędy certyfikacji dostarczą łańcucha prowadzącego do certyfikatu serwera w osobnym pliku. W takich przypadkach należy zaimportować każdy plik do tymczasowego magazynu danych (najpierw, niż w przypadku danych pośrednich, a następnie certyfikatu serwera) przy użyciu poniższego polecenia oraz innego aliasu: program
narzędziowy-import-trustcacerts-alias aliasutemp. certyfikat pliku przechowywania plików .
Uwaga dotycząca pliku: Alias i nazwy plików zostaną zmienione na podstawie aliasu i nazw plików używanych podczas generowania CSR. Należy zawsze używać głównego aliasu podczas importowania certyfikatu głównego urzędu certyfikacji i zawsze używać aliasu używanego do generowania pliku CSR podczas importowania certyfikatu serwera. Aliasy certyfikatów pośrednich są używane jako identyfikatory, ale mogą być takie same, jak długo są unikatowe.
Jeśli urząd certyfikacji nie dostarczy każdego z tych plików i należy go ręcznie oddzielić na katalog główny, certyfikatu pośredniczącego i serwera można to zrobić na dwa sposoby:
w Windows:
po otrzymaniu podpisanego pliku certyfikatu należy go otworzyć w programie Windows, aby wyświetlić ścieżkę do głównego certyfikatu:
dla certyfikatu głównego i wszelkich certyfikatów pośrednich, należy wyróżnić poszczególne urządzenia (po jednym na raz), a następnie kliknąć przycisk Wyświetl certyfikat.
W tym oknie kliknij opcję Wyświetl szczegóły > Kopiuj do pliku > Użyj formatu Base-64 encoded X. 509 (. cer) i Zapisz poszczególne pliki.
Prosimy o etykietowanie ich, aby można je było zaimportować w kolejności (katalog główny. cer, intermediate01. cer, emcdpa. cer). Certyfikat główny będzie jedynym wystawionym dla siebie samym elementem. Na przykład
:
Po zapisaniu urządzenia należy je przenosić do dpa\services\ _jre \Bin na serwerze aplikacji.
Za pomocą poniższych poleceń z dpa\services\ _jre \bin do importowania certyfikatu głównego, wszelkich certyfikatów pośrednich i końcowych plików certyfikatu.
Uwaga: Są to pliki utworzone w ostatnim kroku, dlatego należy zmienić nazwy plików i ścieżki plików, a także hasło do przechowywania danych, które będzie zgodne z używanymi w tym środowisku.
Program narzędziowy-import-trustcacerts-alias główny-skrót-nowy. plik główny przechowywania plików. cer
* należy zapytać, czy jest to certyfikat zaufanego certyfikatu głównego — powiedz Yes (y) i naciśnij przycisk Password, a następnie wprowadź hasło narzędzie File-
Import-trustcacerts-alias intermediate01-File Store. magazyn danych-File intermediate01. cer
Narzędzie-import-trustcacerts-alias emcdpa-File Store. nowy plik emcdpa. cer
, następnie sprawdź, czy certyfikat został zaimportowany prawidłowo, używając: program-
list-v-on-the New. Store-storepass keystorepw,
Jeśli został zaimportowany prawidłowo, powinien zostać wyświetlony pełny łańcuch certyfikatów.
W Linux:
Otwórz plik CSR w edytorze tekstów. Zidentyfikuj każdy certyfikat za pomocą----Rozpocznij certyfikat----i----końcowych----ch certyfikatów.
Aby oddzielić poszczególne pliki do własnego pliku, skopiuj zawartooć każdego z nich, w tym----rozpocznij certyfikat----i----końcowych----instrukcjami na obu końcach. Wklej zawartość każdego z nich do oddzielnych plików tekstowych i oznacz je na podstawie kolejności ich umieszczania w oryginalnym podpisanym pliku certyfikatu. Pierwszy z nich będzie certyfikatem podpisanym przez serwer, ostatni będzie certyfikatem głównym, a wszystkie z nich są certyfikatami pośredniczącymi.
W poniższym przykładzie zamienisz zaszyfrowaną zawartość w celu opisania każdego certyfikatu w łańcuchu zgodnie z kolejnością ich pojawienia się w pliku:
----Rozpocznij certyfikat----
wydany dla: webserver01.EMC.com;
Wystawiony przez: IntermediateCA-1
----koniec certyfikatu----
----rozpocznij certyfikat----
wystawiony dla: IntermediateCA-1;
Wystawiony przez: IntermediateCA-2
----koniec certyfikatu----
----rozpocznij certyfikat----
wystawiony dla: IntermediateCA-2;
Wystawiony przez: Główny urząd certyfikacji
----końcowy certyfikat----
----rozpoczynać certyfikaty----
wystawione w celu: Główny urząd certyfikacji;
Wystawiony przez: Główny urząd certyfikacji
----końcowych certyfikatów----
aby je zapisać, Skopiuj całą zaszyfrowaną zawartość, łącznie z instrukcją begin/end do oddzielnego pliku tekstowego i Zapisz plik jako
root. cerbędzie zawierał następujące elementy:
----Rozpocznij certyfikat----
wystawiony Główny urząd certyfikacji;
Wystawiony przez: Główny urząd certyfikacji
----końcowy certyfikat----
Intermediate02. cer będzie zawierał następujące dane:
----Rozpocznij certyfikat----
wystawiony dla: IntermediateCA-2;
Wystawiony przez: Główny urząd certyfikacji
----końcowy certyfikat----
Intermediate01. cer będzie zawierał następujące dane:
----Rozpocznij certyfikat----
wystawiony dla: IntermediateCA-1;
Wystawiony przez: IntermediateCA-2
----koniec certyfikatu----
podpisany certyfikat WebServer będzie zawierał następujące dane:
----Rozpocznij certyfikat----
wystawiony dla: webserver01.EMC.com;
Wystawiony przez: IntermediateCA-1
----koniec certyfikatu----
następnie zaimportuj te elementy do tymczasowego magazynu danych za pomocą następujących poleceń:
./Keytool-import-trustcacerts-alias root-. główny katalog plików. cer
* należy zapytać, czy jest to certyfikat zaufanego certyfikatu głównego – powiedz Yes (y) i naciśnij przycisk ENTER, a następnie wprowadź hasło do urządzenia
./Keytool-import-trustcacerts-alias intermediate02-nowy. \ magazyn-plik intermediate02. cer
./Keytool-import-trustcacerts-alias intermediate01-nowy. magazyn danych-File intermediate01. cer
./Keytool-import-trustcacerts-alias emcdpa--, nowy. The File Store-emcdpa. cer
następnie upewnij się, że certyfikat został zaimportowany prawidłowo za pomocą:
./Keytool-lista-v--, nowy. magazyn danych-storepass keystorepw
Jeśli został prawidłowo zaimportowany, powinien zostać wyświetlony w tym miejscu
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To