Article Number: 000158453
Как вручную отделить серверные, промежуточные и корневые сертификаты от единого подписанного сертификата
Summary: В этой статье описывается порядок разделения сервера, промежуточных и корневых сертификатов вручную с помощью одного подписанного сертификата в Windows или Linux.
Article Content
Instructions
При импорте подписанного сертификата во временный хранилище необходимо импортировать полную цепочку сертификатов. Чтобы убедиться, что веб-сайт безопасен и сертификат подписан доверенным центром сертификации, браузер должен иметь доступ к цепочке сертификатов. «Цепь доверия» позволяет браузеру установить доверительное соединение, указав полный путь от подписанного сертификата к корневому сертификату. Может также существовать один или несколько промежуточных сертификатов.
Все сертификаты, соединяющие подписанный сертификат сервера с корневым сертификатом, выключают цепочку сертификатов. Цепь используется для проверки безопасного подключения (HTTPS) к веб-серверу на основе того, что он был выдан доверенным центром сертификации. В случае отсутствия полной цепочки сертификатов браузер не сможет проверить безопасное соединение.
Некоторые типы файлов сертификатов будут содержать подписанный сертификат сервера, промежуточные сертификаты и корневой сертификат в одном файле. В этих случаях можно импортировать полную цепочку за один раз.
Как правило, это файлы PKCS # 12 (. pfx или. p12), которые могут хранить сертификат сервера, промежуточный сертификат и закрытый ключ в одном PFX-файле с защитой паролем.
Кроме того, они могут быть в формате PKCS # 7 (. p7b или. p7c), которые содержат только сертификаты в цепочке, а не закрытые ключи.
Сертификаты в формате PEM (PEM,. CRT,. cer или. key) — могут включать сертификат сервера, промежуточный сертификат и закрытый ключ в одном файле. Сертификат сервера и промежуточный сертификат также могут быть в отдельных файлах с расширением. CRT или. cer, а закрытый ключ может быть в файле. key.
Чтобы проверить, находится ли полная цепочка сертификатов в одном файле, откройте ее в текстовом редакторе. Каждый сертификат содержится между операторами----BEGIN CERTIFICATE----и----END----CERTIFICATE. Закрытый ключ находится между----BEGIN RSA закрытый ключ-----и-----END RSA ЗАКРЫТого ключа-----.
Убедитесь, что количество сертификатов, содержащихся в инструкциях----BEGIN CERTIFICATE----и----END----CERTIFICATE, совпадает с количеством сертификатов в цепочке (сервер и любитель). Если файл содержит закрытый ключ, то есть он заканчивается с----BEGIN RSA закрытый ключ-----и-----END RSA закрытый ключ, вы можете импортировать его непосредственно в Apollo. хранилище. Data Protection Advisor (DPA): Как импортировать подписанный сертификат, содержащий полную цепь доверия и закрытый ключ, в DPA-Windows или
(Windows) или импортировать подписанный сертификат, содержащий полную цепь и закрытый ключ, в DPA-Linux
Если в файле нет полной цепочки сертификатов, может потребоваться импортировать каждую часть сертификата вручную, от корневого сертификата к сертификату сервера. В некоторых случаях заказчик может получить каждый из промежуточных сертификатов и корневого сертификата в отдельных файлах из центра сертификации. Некоторые ЦС будут предоставлять цепочку, ведущая к сертификату сервера в отдельном файле. В этих случаях Импортируйте каждый файл во временный хранилище ключей (сначала — корневой каталог, а затем — «серверный сертификат»), используя указанную ниже команду, и другой псевдоним для каждого из следующих типов:
кэйтул-Import-трусткацертс-Alias aliasname -хранилища данных TEMP. хранилище ключей. файл.
Примечание. Имена псевдонимов и файлов будут изменены на основе псевдонимов и имен файлов, используемых при создании запроса CSR. При импорте сертификата корневого центра сертификации всегда используйте корневой псевдоним и всегда используйте псевдоним, который используется для создания файла CSR при импорте сертификата сервера. Псевдонимы для промежуточных сертификатов используются как идентификаторы, но могут быть любыми и другими, если они уникальны.
Если ЦС не предоставляет каждый из этих файлов и их необходимо будет разделить вручную в корневую систему, промежуточный сертификат и сертификат сервера можно сделать одним из двух способов:
в Windows.
когда вы получаете подписанный файл сертификата, откройте его в Windows, чтобы увидеть путь к корневому сертификату:
для корневого сертификата и всех промежуточных сертификатов, выделите каждый раз (по одному) и нажмите кнопку Просмотр сертификата.
В этом окне нажмите кнопку View Details > Copy to File > использовать формат X. 509 (. cer) в кодировке Base-64 и сохранить каждую.
Обязательно запишите их, чтобы можно было импортировать их по порядку (например, root. cer, intermediate01. cer, емкдпа. cer). Корневой сертификат будет единственным выдан для самого себя. Пример
:
После сохранения каждого из них переместите их в дпа\сервицес\ _jre \bin на сервере приложений.
Используя следующие команды из дпа\сервицес\ _jre \bin для импорта корневого сертификата, всех промежуточных сертификатов и файлов с конечным сертификатом.
Примечание. Это файлы, которые были созданы на последнем шаге, поэтому при необходимости необходимо изменить имена файлов и пути к файлам, а также пароль хранилища ключей, который должен совпадать с паролем, используемым в этой среде.
кэйтул-Import-трусткацертс-Alias root-хранилище ключей New. root-File root. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль
кэйтул-Import-трусткацертс-Alias intermediate01-хранилище данных New. файл хранилища ключей intermediate01. cer
кэйтул-Import-трусткацертс-Alias емкдпа. New. хранилище ключей емкдпа. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
кэйтул-List-v-хранилища ключей New. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
В Linux:
Откройте файл CSR в текстовом редакторе. Определите каждый сертификат с помощью инструкций----BEGIN certificate----и----End certificate----.
Чтобы отделить каждый из них в собственном файле, скопируйте его содержимое, включая инструкции по----BEGIN Certificate----и----END Certificate----на обоих концах. Вставьте содержимое каждой области в отдельные текстовые файлы и пометьте их в соответствии с порядком их размещения в исходном файле подписанного сертификата. Первым будет сертификат, подписанный сервером, последний будет корневым сертификатом, все в пределах являются промежуточными сертификатами.
В приведенном ниже примере я заменил зашифрованное содержание, чтобы описать каждый сертификат в цепочке в соответствии с порядком их появления в файле:
----начало----сертификата
, выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
----начать----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Интермедиатека-2
----конечного сертификата----
----начать----сертификата
, выдано: Интермедиатека-2;
Кем выдан: ----СЕРТИФИКАТ корневого центра
----сертификации
----Начало----сертификата
, выданного следующим пользователям: Корневой ЦС;
Кем выдан: ----Сертификат корневого центра сертификации
----
для сохранения каждого из них, скопируйте все зашифрованное содержание, включая инструкции начала/окончания, в отдельный текстовый файл и сохраните его —
root. cerбудет содержать:
----начать----сертификата,
выданного для: Корневой ЦС;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate02. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-2;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate01. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Сертификат интермедиатека-2
----End Certificate----сертификате
дляподписанного вложенного сервера содержал следующие данные:
----Начало----сертификата,
выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
затем импортируйте их во временный хранилище ключей с помощью следующих команд:
./кэйтул-Import-трусткацертс-Alias root-root New. root-файловый корень. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль хранилища ключей
./кэйтул-Import-трусткацертс-Alias intermediate02. хранилище ключей-File intermediate02. cer
./кэйтул-Import-трусткацертс-Alias intermediate01-хранилище новых файл хранилища ключей intermediate01. cer
./кэйтул-Import-trustcacerts-Alias emcdpa-хранилище данных New. хранилище ключей emcdpa. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
./keytool-List-v-хранилища ключей. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
Все сертификаты, соединяющие подписанный сертификат сервера с корневым сертификатом, выключают цепочку сертификатов. Цепь используется для проверки безопасного подключения (HTTPS) к веб-серверу на основе того, что он был выдан доверенным центром сертификации. В случае отсутствия полной цепочки сертификатов браузер не сможет проверить безопасное соединение.
Некоторые типы файлов сертификатов будут содержать подписанный сертификат сервера, промежуточные сертификаты и корневой сертификат в одном файле. В этих случаях можно импортировать полную цепочку за один раз.
Как правило, это файлы PKCS # 12 (. pfx или. p12), которые могут хранить сертификат сервера, промежуточный сертификат и закрытый ключ в одном PFX-файле с защитой паролем.
Кроме того, они могут быть в формате PKCS # 7 (. p7b или. p7c), которые содержат только сертификаты в цепочке, а не закрытые ключи.
Сертификаты в формате PEM (PEM,. CRT,. cer или. key) — могут включать сертификат сервера, промежуточный сертификат и закрытый ключ в одном файле. Сертификат сервера и промежуточный сертификат также могут быть в отдельных файлах с расширением. CRT или. cer, а закрытый ключ может быть в файле. key.
Чтобы проверить, находится ли полная цепочка сертификатов в одном файле, откройте ее в текстовом редакторе. Каждый сертификат содержится между операторами----BEGIN CERTIFICATE----и----END----CERTIFICATE. Закрытый ключ находится между----BEGIN RSA закрытый ключ-----и-----END RSA ЗАКРЫТого ключа-----.
Убедитесь, что количество сертификатов, содержащихся в инструкциях----BEGIN CERTIFICATE----и----END----CERTIFICATE, совпадает с количеством сертификатов в цепочке (сервер и любитель). Если файл содержит закрытый ключ, то есть он заканчивается с----BEGIN RSA закрытый ключ-----и-----END RSA закрытый ключ, вы можете импортировать его непосредственно в Apollo. хранилище. Data Protection Advisor (DPA): Как импортировать подписанный сертификат, содержащий полную цепь доверия и закрытый ключ, в DPA-Windows или
(Windows) или импортировать подписанный сертификат, содержащий полную цепь и закрытый ключ, в DPA-Linux
Если в файле нет полной цепочки сертификатов, может потребоваться импортировать каждую часть сертификата вручную, от корневого сертификата к сертификату сервера. В некоторых случаях заказчик может получить каждый из промежуточных сертификатов и корневого сертификата в отдельных файлах из центра сертификации. Некоторые ЦС будут предоставлять цепочку, ведущая к сертификату сервера в отдельном файле. В этих случаях Импортируйте каждый файл во временный хранилище ключей (сначала — корневой каталог, а затем — «серверный сертификат»), используя указанную ниже команду, и другой псевдоним для каждого из следующих типов:
кэйтул-Import-трусткацертс-Alias aliasname -хранилища данных TEMP. хранилище ключей. файл.
Примечание. Имена псевдонимов и файлов будут изменены на основе псевдонимов и имен файлов, используемых при создании запроса CSR. При импорте сертификата корневого центра сертификации всегда используйте корневой псевдоним и всегда используйте псевдоним, который используется для создания файла CSR при импорте сертификата сервера. Псевдонимы для промежуточных сертификатов используются как идентификаторы, но могут быть любыми и другими, если они уникальны.
Если ЦС не предоставляет каждый из этих файлов и их необходимо будет разделить вручную в корневую систему, промежуточный сертификат и сертификат сервера можно сделать одним из двух способов:
в Windows.
когда вы получаете подписанный файл сертификата, откройте его в Windows, чтобы увидеть путь к корневому сертификату:
для корневого сертификата и всех промежуточных сертификатов, выделите каждый раз (по одному) и нажмите кнопку Просмотр сертификата.
В этом окне нажмите кнопку View Details > Copy to File > использовать формат X. 509 (. cer) в кодировке Base-64 и сохранить каждую.
Обязательно запишите их, чтобы можно было импортировать их по порядку (например, root. cer, intermediate01. cer, емкдпа. cer). Корневой сертификат будет единственным выдан для самого себя. Пример
:
После сохранения каждого из них переместите их в дпа\сервицес\ _jre \bin на сервере приложений.
Используя следующие команды из дпа\сервицес\ _jre \bin для импорта корневого сертификата, всех промежуточных сертификатов и файлов с конечным сертификатом.
Примечание. Это файлы, которые были созданы на последнем шаге, поэтому при необходимости необходимо изменить имена файлов и пути к файлам, а также пароль хранилища ключей, который должен совпадать с паролем, используемым в этой среде.
кэйтул-Import-трусткацертс-Alias root-хранилище ключей New. root-File root. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль
кэйтул-Import-трусткацертс-Alias intermediate01-хранилище данных New. файл хранилища ключей intermediate01. cer
кэйтул-Import-трусткацертс-Alias емкдпа. New. хранилище ключей емкдпа. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
кэйтул-List-v-хранилища ключей New. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
В Linux:
Откройте файл CSR в текстовом редакторе. Определите каждый сертификат с помощью инструкций----BEGIN certificate----и----End certificate----.
Чтобы отделить каждый из них в собственном файле, скопируйте его содержимое, включая инструкции по----BEGIN Certificate----и----END Certificate----на обоих концах. Вставьте содержимое каждой области в отдельные текстовые файлы и пометьте их в соответствии с порядком их размещения в исходном файле подписанного сертификата. Первым будет сертификат, подписанный сервером, последний будет корневым сертификатом, все в пределах являются промежуточными сертификатами.
В приведенном ниже примере я заменил зашифрованное содержание, чтобы описать каждый сертификат в цепочке в соответствии с порядком их появления в файле:
----начало----сертификата
, выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
----начать----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Интермедиатека-2
----конечного сертификата----
----начать----сертификата
, выдано: Интермедиатека-2;
Кем выдан: ----СЕРТИФИКАТ корневого центра
----сертификации
----Начало----сертификата
, выданного следующим пользователям: Корневой ЦС;
Кем выдан: ----Сертификат корневого центра сертификации
----
для сохранения каждого из них, скопируйте все зашифрованное содержание, включая инструкции начала/окончания, в отдельный текстовый файл и сохраните его —
root. cerбудет содержать:
----начать----сертификата,
выданного для: Корневой ЦС;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate02. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-2;
Кем выдан: Корневой
сертификат----конечного сертификата----
Intermediate01. cer будет содержать:
----Начало----сертификата
, выданного для: Интермедиатека-1;
Кем выдан: Сертификат интермедиатека-2
----End Certificate----сертификате
дляподписанного вложенного сервера содержал следующие данные:
----Начало----сертификата,
выданного для: WebServer01.EMC.com;
Кем выдан: Интермедиатека-1
----конечный сертификат----
затем импортируйте их во временный хранилище ключей с помощью следующих команд:
./кэйтул-Import-трусткацертс-Alias root-root New. root-файловый корень. cer
* он должен попросить вас, если это доверенный корневой сертификат — скажите Yes (y) и нажмите клавишу Enter, а затем введите пароль хранилища ключей
./кэйтул-Import-трусткацертс-Alias intermediate02. хранилище ключей-File intermediate02. cer
./кэйтул-Import-трусткацертс-Alias intermediate01-хранилище новых файл хранилища ключей intermediate01. cer
./кэйтул-Import-trustcacerts-Alias emcdpa-хранилище данных New. хранилище ключей emcdpa. cer.
затем убедитесь, что сертификат был импортирован правильно с помощью:
./keytool-List-v-хранилища ключей. хранилища ключей-storepass keystorepw
если он был импортирован надлежащим образом, здесь будет отображаться вся цепочка сертификатов.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To