Article Number: 000158453
Så här separerar du Server-, mellanlagrings-och rot certifikaten från ett enda signerat certifikat
Summary: I den här artikeln beskrivs hur du manuellt separerar Server-, mellanliggande och rot certifikat från ett enskilt signerat certifikat i Windows eller Linux.
Article Content
Instructions
När du importerar ett signerat certifikat till det tillfälliga nyckel arkivet är det viktigt att importera hela certifikat kedjan. För att validera att webbplatsen är säker och att certifikatet har signerats av en betrodd certifikat utfärdare måste webbläsaren ha åtkomst till certifikat kedjan. "Förtroende kedjan" tillåter webbläsaren att upprätta en betrodd anslutning genom att ge den fullständiga sökvägen från det signerade certifikatet till rot certifikatet. Det kan även finnas ett eller flera mellanliggande certifikat.
Alla certifikat som ansluter det signerade Server certifikatet till rot certifikatet utgör certifikat kedjan. Kedjan används för att validera en säker anslutning (https) till en webserver baserat på den som utfärdas av en betrodd certifikat utfärdare. Utan den fullständiga certifikat kedjan kommer webbläsaren inte att kunna validera en säker anslutning.
Vissa typer av certifikat fil kommer att innehålla det signerade Server certifikatet, mellanliggande certifikat och rot certifikatet i en fil. I dessa fall kan det vara möjligt att importera hela kedjan på en gång.
Vanligt vis är de filerna PKCS # 12 (. pfx eller. P12) – som kan lagra Server certifikatet, mellanliggande certifikat och den privata nyckeln i en enda. pfx-fil med lösen ords skydd.
De kan även vara i PKCS # 7-format (. p7b eller. P7C)-som bara innehåller certifikat i kedjan, inte privata nycklar.
Certifikat i PEMs format (. PEM,. CRT,. cer eller. Key)- kan inkludera Server certifikatet, det mellanliggande certifikatet och den privata nyckeln i en enskild fil. Server certifikatet och mellanliggande certifikat kan även finnas i separata CRT-eller CER-filer och den privata nyckeln kan finnas i en. key-fil.
Du kan kontrol lera om den fullständiga certifikat kedjan finns i en fil genom att öppna den i en text redigerare. Varje certifikat finns mellan----BEGIN CERTIFICATe----och----END CERTIFICATe-----instruktioner. Den privata nyckeln finns mellan----börjar RSA privata nyckeln-----och-----END RSA PRIVATE KEY-----Statements.
Se till att det antal certifikat som finns i----BEGIN CERTIFICATe----och----END CERTIFICATe-----satser matchar antalet certifikat i kedjan (Server och mellanliggande). Om filen innehåller den privata nyckeln, vilket innebär att den slutar med----börjar RSA privata nyckeln-----och-----END RSA PRIVATE KEY, kanske du kan importera den direkt till Apollo. Key-butiken. Data Protection Advisor (DPA): Importera ett signerat certifikat som innehåller en fullständig kedja av förtroende och den privata nyckeln till DPA-Windows eller
(Windows) eller Importera ett signerat certifikat som innehåller hela kedjan med förtroende och privat nyckel till DPA-Linux
om filen inte innehåller hela certifikat kedjan kan du vara tvungen att importera varje del av certifikatet manuellt-från rot certifikatet till Server certifikatet. I vissa fall kan kunden få vart och ett av de mellanliggande certifikaten och rot certifikatet i separata filer från certifikat utfärdaren. Vissa certifikat utfärdare kommer att tillhandahålla kedjan som leder upp till Server certifikatet i en separat fil. I dessa fall bör du importera varje fil till det tillfälliga arkivet (root först, än mellanliggande (s), Server certifikatet) med hjälp av kommandona nedan och ett annat alias för varje:
knapp verktyg-import-trustcacerts-alias aliasName -attributarkivet temp. File-filnamn-File cert. fil
Anmärkning: Du ändrar alias-och fil namnen baserat på alias-och fil namnen som används när CSR skapas. Använd alltid aliasets rot när du importerar rotcertifikatutfärdarcertifikat och alltid använder det alias som används för att generera CSR-filen när du importerar Server certifikatet. Aliasen för mellanliggande certifikat används som identifierare, men det kan vara vad du vill så länge som varje är unikt.
Om inte certifikat utfärdaren tillhandahåller dessa filer åt dig och du måste separera dem manuellt till rot-, mellanliggande och Server certifikat kan du göra på ett av två sätt:
i Windows:
när du får den signerade certifikat filen öppnar du den i Windows för att se sökvägen till rot certifikatet:
för rot certifikatet och eventuella mellanliggande certifikat, markera varje (ett i taget) och klicka på Visa certifikat.
I det här fönstret klickar du på Visa detaljer > Kopiera till fil > Använd Base-64-kodad X. 509 (. cer)-format och spara varje.
Var noga med att märka dem så att du kan importera dem i rätt ordning (dvs. root. cer, intermediate01. cer, emcdpa. cer). Rot certifikatet är det enda som utfärdas till sig självt själv. Till exempel
:
När du har sparat dem flyttar du dem till dpa\services\ _jre \Bin på program servern.
Använd följande kommandon från dpa\services\ _jre-\Bin för att importera rot certifikatet, eventuella mellanliggande certifikat och slutcertifikats filen.
Anmärkning: Det här är de filer som du skapade i det senaste steget så se till att du ändrar fil namnen och fil Sök vägarna efter behov, liksom lösen ordet som behövs för att matcha den som används i den här miljön.
knapps tack-import-trustcacerts-alias rot-inloggnings namn nytt.... inloggnings-fil rot. cer
* fråga om det är ett betrott rot certifikat-Säg Ja (y) och tryck på RETUR och ange sedan lösen ordet för Password-
import-trustcacerts-Ali-intermediate01. intermediate01. cer nyckel
verktyg-import-trustcacerts-alias emcdpa-nyckel Arkiv nytt. nyckel Arkiv-fil emcdpa. cer
kontrol lera sedan att certifikatet har importer ATS korrekt med hjälp av: nyckel
verktygs lista-v-radioarkiv nytt. attributarkiv-storepass keystorepw
om det har importer ATS korrekt bör du se den fullständiga certifikats kedjan här.
I Linux:
Öppna CSR-filen i en text redigerare. Identifiera vart och ett av certifikaten av----BEGIN certificate----och----end certificate-----instruktioner.
Om du vill separera varje enskild fil i den egna filen kopierar du innehållet i vart och ett av dem inklusive----BEGIN certificate----och----end certificate-----instruktioner på båda ändar. Klistra in innehållet i var och en i separata textfiler och märk dem baserat på den ordning de placerades i den ursprungliga signerade certifikat filen. Det första blir det signerade certifikatet för servern. det sista är rot certifikatet, allt i mellan är mellanliggande certifikat.
I exemplet nedan är jag klar med att sätta tillbaka det krypterade innehållet för att beskriva varje certifikat i kedjan enligt den ordning de finns i filen:
----BEGIN certifikat----
utfärdat till: webserver01.EMC.com;
Utfärdat av: IntermediateCA-1
----slut certifikat----
----BEGIN certificate----
utfärdat till: IntermediateCA-1;
Utfärdat av: IntermediateCA-2
----slut certifikat----
----BEGIN certificate----
utfärdat till: IntermediateCA-2;
Utfärdat av: Rot certifikat utfärdare
----slut certifikat----
----BEGIN certificate----
utfärdat till: Rot certifikat utfärdare;
Utfärdat av: Rot certifikat utfärdare
----slut certifikat----
för att spara var och en kopiera hela det krypterade innehållet inklusive start-och slut instruktionerna till en separat textfil och spara den –
root. cerskulle innehålla följande:
----BEGIN Certificate----
utfärdat till: Rot certifikat utfärdare;
Utfärdat av: Rot-ca
----slut certifikatet----
Intermediate02. cer innehåller:
----BEGIN Certificate----
utfärdat till: IntermediateCA-2;
Utfärdat av: Rot-ca
----slut certifikatet----
Intermediate01. cer innehåller:
----BEGIN Certificate----
utfärdat till: IntermediateCA-1;
Utfärdat av: IntermediateCA-2
----slut certifikatet----
signerade webserver-certifikatet innehåller:
----BEGIN Certificate----
utfärdat till: webserver01.EMC.com;
Utfärdat av: IntermediateCA-1
----slut certifikat----
Importera sedan dessa till det tillfälliga arkivet med hjälp av följande kommandon:
./keytool-import-trustcacerts-alias rot-inloggnings Arkiv nytt.-fil rot. cer
* fråga om det är ett betrott rot certifikat. Säg Ja (y) och tryck på RETUR och ange sedan lösen ordet för
inloggning./keytool-import-trustcacerts-Ali-alias intermediate02-postarkiv nytt. attributarkiv-File intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01-postarkiv nytt. intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-nyckel Arkiv nytt. nyckel Arkiv-File emcdpa. cer
kontrol lera sedan att certifikatet har importer ATS korrekt med hjälp av:
./keytool-List-v-radioarkiv nytt. nyckel Arkiv-storepass keystorepw
om det har importer ATS korrekt bör du se den fullständiga certifikats kedjan här.
Alla certifikat som ansluter det signerade Server certifikatet till rot certifikatet utgör certifikat kedjan. Kedjan används för att validera en säker anslutning (https) till en webserver baserat på den som utfärdas av en betrodd certifikat utfärdare. Utan den fullständiga certifikat kedjan kommer webbläsaren inte att kunna validera en säker anslutning.
Vissa typer av certifikat fil kommer att innehålla det signerade Server certifikatet, mellanliggande certifikat och rot certifikatet i en fil. I dessa fall kan det vara möjligt att importera hela kedjan på en gång.
Vanligt vis är de filerna PKCS # 12 (. pfx eller. P12) – som kan lagra Server certifikatet, mellanliggande certifikat och den privata nyckeln i en enda. pfx-fil med lösen ords skydd.
De kan även vara i PKCS # 7-format (. p7b eller. P7C)-som bara innehåller certifikat i kedjan, inte privata nycklar.
Certifikat i PEMs format (. PEM,. CRT,. cer eller. Key)- kan inkludera Server certifikatet, det mellanliggande certifikatet och den privata nyckeln i en enskild fil. Server certifikatet och mellanliggande certifikat kan även finnas i separata CRT-eller CER-filer och den privata nyckeln kan finnas i en. key-fil.
Du kan kontrol lera om den fullständiga certifikat kedjan finns i en fil genom att öppna den i en text redigerare. Varje certifikat finns mellan----BEGIN CERTIFICATe----och----END CERTIFICATe-----instruktioner. Den privata nyckeln finns mellan----börjar RSA privata nyckeln-----och-----END RSA PRIVATE KEY-----Statements.
Se till att det antal certifikat som finns i----BEGIN CERTIFICATe----och----END CERTIFICATe-----satser matchar antalet certifikat i kedjan (Server och mellanliggande). Om filen innehåller den privata nyckeln, vilket innebär att den slutar med----börjar RSA privata nyckeln-----och-----END RSA PRIVATE KEY, kanske du kan importera den direkt till Apollo. Key-butiken. Data Protection Advisor (DPA): Importera ett signerat certifikat som innehåller en fullständig kedja av förtroende och den privata nyckeln till DPA-Windows eller
(Windows) eller Importera ett signerat certifikat som innehåller hela kedjan med förtroende och privat nyckel till DPA-Linux
om filen inte innehåller hela certifikat kedjan kan du vara tvungen att importera varje del av certifikatet manuellt-från rot certifikatet till Server certifikatet. I vissa fall kan kunden få vart och ett av de mellanliggande certifikaten och rot certifikatet i separata filer från certifikat utfärdaren. Vissa certifikat utfärdare kommer att tillhandahålla kedjan som leder upp till Server certifikatet i en separat fil. I dessa fall bör du importera varje fil till det tillfälliga arkivet (root först, än mellanliggande (s), Server certifikatet) med hjälp av kommandona nedan och ett annat alias för varje:
knapp verktyg-import-trustcacerts-alias aliasName -attributarkivet temp. File-filnamn-File cert. fil
Anmärkning: Du ändrar alias-och fil namnen baserat på alias-och fil namnen som används när CSR skapas. Använd alltid aliasets rot när du importerar rotcertifikatutfärdarcertifikat och alltid använder det alias som används för att generera CSR-filen när du importerar Server certifikatet. Aliasen för mellanliggande certifikat används som identifierare, men det kan vara vad du vill så länge som varje är unikt.
Om inte certifikat utfärdaren tillhandahåller dessa filer åt dig och du måste separera dem manuellt till rot-, mellanliggande och Server certifikat kan du göra på ett av två sätt:
i Windows:
när du får den signerade certifikat filen öppnar du den i Windows för att se sökvägen till rot certifikatet:
för rot certifikatet och eventuella mellanliggande certifikat, markera varje (ett i taget) och klicka på Visa certifikat.
I det här fönstret klickar du på Visa detaljer > Kopiera till fil > Använd Base-64-kodad X. 509 (. cer)-format och spara varje.
Var noga med att märka dem så att du kan importera dem i rätt ordning (dvs. root. cer, intermediate01. cer, emcdpa. cer). Rot certifikatet är det enda som utfärdas till sig självt själv. Till exempel
:
När du har sparat dem flyttar du dem till dpa\services\ _jre \Bin på program servern.
Använd följande kommandon från dpa\services\ _jre-\Bin för att importera rot certifikatet, eventuella mellanliggande certifikat och slutcertifikats filen.
Anmärkning: Det här är de filer som du skapade i det senaste steget så se till att du ändrar fil namnen och fil Sök vägarna efter behov, liksom lösen ordet som behövs för att matcha den som används i den här miljön.
knapps tack-import-trustcacerts-alias rot-inloggnings namn nytt.... inloggnings-fil rot. cer
* fråga om det är ett betrott rot certifikat-Säg Ja (y) och tryck på RETUR och ange sedan lösen ordet för Password-
import-trustcacerts-Ali-intermediate01. intermediate01. cer nyckel
verktyg-import-trustcacerts-alias emcdpa-nyckel Arkiv nytt. nyckel Arkiv-fil emcdpa. cer
kontrol lera sedan att certifikatet har importer ATS korrekt med hjälp av: nyckel
verktygs lista-v-radioarkiv nytt. attributarkiv-storepass keystorepw
om det har importer ATS korrekt bör du se den fullständiga certifikats kedjan här.
I Linux:
Öppna CSR-filen i en text redigerare. Identifiera vart och ett av certifikaten av----BEGIN certificate----och----end certificate-----instruktioner.
Om du vill separera varje enskild fil i den egna filen kopierar du innehållet i vart och ett av dem inklusive----BEGIN certificate----och----end certificate-----instruktioner på båda ändar. Klistra in innehållet i var och en i separata textfiler och märk dem baserat på den ordning de placerades i den ursprungliga signerade certifikat filen. Det första blir det signerade certifikatet för servern. det sista är rot certifikatet, allt i mellan är mellanliggande certifikat.
I exemplet nedan är jag klar med att sätta tillbaka det krypterade innehållet för att beskriva varje certifikat i kedjan enligt den ordning de finns i filen:
----BEGIN certifikat----
utfärdat till: webserver01.EMC.com;
Utfärdat av: IntermediateCA-1
----slut certifikat----
----BEGIN certificate----
utfärdat till: IntermediateCA-1;
Utfärdat av: IntermediateCA-2
----slut certifikat----
----BEGIN certificate----
utfärdat till: IntermediateCA-2;
Utfärdat av: Rot certifikat utfärdare
----slut certifikat----
----BEGIN certificate----
utfärdat till: Rot certifikat utfärdare;
Utfärdat av: Rot certifikat utfärdare
----slut certifikat----
för att spara var och en kopiera hela det krypterade innehållet inklusive start-och slut instruktionerna till en separat textfil och spara den –
root. cerskulle innehålla följande:
----BEGIN Certificate----
utfärdat till: Rot certifikat utfärdare;
Utfärdat av: Rot-ca
----slut certifikatet----
Intermediate02. cer innehåller:
----BEGIN Certificate----
utfärdat till: IntermediateCA-2;
Utfärdat av: Rot-ca
----slut certifikatet----
Intermediate01. cer innehåller:
----BEGIN Certificate----
utfärdat till: IntermediateCA-1;
Utfärdat av: IntermediateCA-2
----slut certifikatet----
signerade webserver-certifikatet innehåller:
----BEGIN Certificate----
utfärdat till: webserver01.EMC.com;
Utfärdat av: IntermediateCA-1
----slut certifikat----
Importera sedan dessa till det tillfälliga arkivet med hjälp av följande kommandon:
./keytool-import-trustcacerts-alias rot-inloggnings Arkiv nytt.-fil rot. cer
* fråga om det är ett betrott rot certifikat. Säg Ja (y) och tryck på RETUR och ange sedan lösen ordet för
inloggning./keytool-import-trustcacerts-Ali-alias intermediate02-postarkiv nytt. attributarkiv-File intermediate02. cer
./keytool-import-trustcacerts-alias intermediate01-postarkiv nytt. intermediate01. cer
./keytool-import-trustcacerts-alias emcdpa-nyckel Arkiv nytt. nyckel Arkiv-File emcdpa. cer
kontrol lera sedan att certifikatet har importer ATS korrekt med hjälp av:
./keytool-List-v-radioarkiv nytt. nyckel Arkiv-storepass keystorepw
om det har importer ATS korrekt bör du se den fullständiga certifikats kedjan här.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To