Article Number: 000158453
Tek imzalı bir sertifikadan sunucu, ara ve kök sertifikaları manuel olarak ayırma
Summary: Bu makalede, sunucu, orta ve kök sertifikaların Windows veya Linux 'ta tek imzalı bir sertifikadan manuel olarak nasıl ayrılacağı açıklanmaktadır.
Article Content
Instructions
İmzalı bir sertifikayı geçici bir ana mağazaya içe aktarırken, tam sertifika zincirini almak önemlidir. Web sitesinin güvenli olduğunu ve sertifikanın güvenilir bir sertifika yetkilisi tarafından imzalandığını doğrulamak için tarayıcının sertifika zincirine erişimi olmalıdır. "Güven zinciri"), imzalı sertifikadan kök sertifikaya giden tam yolu sağlayarak tarayıcının güvenilir bir bağlantı kurmasını sağlar. Bunun gibi bir veya daha fazla ara sertifika olabilir.
İmzalı sunucu sertifikasını kök sertifikaya bağlayan tüm sertifikalar, sertifika zincirini oluşturun. Zincir, güvenli bir bağlantıyı (https), güvenilir bir sertifika yetkilisinden yayımlanmakta olan webserver 'ye bağlı olarak doğrulamak için kullanılır. Tam sertifika zinciri olmadan tarayıcı güvenli bir bağlantıyı doğrulayamayacaktır.
Bazı sertifika dosya türleri, imzalı sunucu sertifikası, ara sertifikaları ve kök sertifikayı tek bir dosyada içerecektir. Bu durumlarda, tam zinciri tek seferde içe aktarmak mümkün olabilir.
Normalde bu dosyalar, parola korumalı tek bir. pfx dosyasındaki sunucu sertifikasını, ara sertifikayı ve özel anahtarı depolayabilecek PKCS # 12 (. pfx veya. p12) ' dir.
Ayrıca, özel anahtarlar değil, yalnızca zincirdeki sertifikaları içeren PKCS # 7 (. p7b veya. p7c) biçiminde de olabilirler.
PEM formatında Sertifikalar (. pem,. CRT,. cer veya. Key)-tek bir dosyada sunucu sertifikasını, ara sertifikayı ve özel anahtarı içerebilir. Sunucu sertifikası ve ara sertifika ayrı bir. CRT veya. cer dosyalarında da olabilir ve özel anahtar bir. Key dosyası içinde bulunabilir.
Tam Sertifika zincirinin bir metin düzenleyicisinde açarak tek bir dosyada olup olmadığını kontrol edebilirsiniz. Her sertifika,----SERTIFIKASı----ve----son SERTIFIKA----deyimlerinin arasında yer alır. Özel anahtar----RSA özel anahtarı-----ve-----END RSA PRIVATE KEY-----deyimlerinin arasında yer alır.
----SERTIFIKASı----ve----son SERTIFIKA----deyimlerinin, zincirdeki sertifika sayısıyla (sunucu ve orta) eşleştiğinden emin olun. Dosya özel anahtarı içeriyorsa----RSA özel anahtarı-----ve-----son RSA özel anahtarı ile sona erer. bunu doğrudan Apollo. KeyStore içine alabilirsiniz. Data Protection Advisor (DPA): DPA-Windows veya (Windows) tam güven zinciri ve özel anahtar zinciri içeren imzalı bir sertifika nasıl alınır
ya da özgünlük-Linux ' u y a tam güven zinciri ve özel anahtarın bulunduğu imzalı bir sertifika nasıl alınır
dosya tam sertifika zinciri içermiyorsa, sertifikanın her bir bölümünü kök sertifikadan sunucu sertifikasına manuel olarak almanız gerekebilir. Bazı durumlarda Müşteri, ara sertifikaların her birini ve kök sertifikasını CA 'dan ayrı dosyalarda alabilir. Bazı CA 'Lar, ayrı bir dosyada sunucu sertifikasına giden zinciri sağlar. Bu durumlarda, her bir dosyayı, aşağıdaki komutu ve her biri için farklı bir diğer ad kullanarak, her bir dosyayı geçici bir ana mağazaya (birinci düzey (s), ardından sunucu sertifikasından) içe aktarın:
Keytool-Import-trustcacert-alias diğerad -keystore Temp. KeyStore -File CERT. dosya
notu: Mht 'yi oluştururken kullanılan diğer ad ve dosya adlarını temel alarak diğer ad ve dosya adlarını değiştirirsiniz. Kök CA sertifikasını içe aktarırken her zaman diğer ad kökünü kullanın ve sunucu sertifikasını içe aktarırken, her zaman CSR dosyasını üretmek için kullanılan diğer adı kullanın. Ara sertifikaların diğer adları tanımlayıcılar olarak kullanılır, ancak her biri benzersiz olduğu sürece beğendiğiniz her şey olabilir.
Eğer ca bu dosyaları sizin için sağlamamıyorsa ve bunları manuel olarak kökte ayırmanız gerekirse, ara ve sunucu sertifikası, şu iki yöntemden biriyle bunu yapabilirsiniz:
Windows 'ta
, imzalı sertifika dosyasını aldığınızda, kök sertifikaya giden yolu görmek için Windows 'ta açın:
kök sertifika ve herhangi bir ara sertifika için, her birini (bir seferde bir kez) vurgulayın ve sertifikayı görüntüle öğesine tıklayın.
Bu pencerede, > görünümü, dosyaya Kopyala > Base-64 kodlanmış X. 509.440 (. cer) biçimini kullanın ve her bir kaydetme seçeneğini tıklatın.
Bunları sıralı bir şekilde içe aktarabilmeniz için etiketleyin. (ör root. cer, intermediate01. cer, emcdpa. cer). Kök sertifika yalnızca kendi kendine kendisine verilen tek bir sertifika olacaktır. Örneğin
:
Her bir kaydettikten sonra bunları uygulama sunucusundaki dpa\services\ _jre \Bin ' e taşıyın.
Kök sertifikası, tüm ara sertifikaları ve son sertifika dosyalarını almak için dpa\services\ _jre \Bin ' den aşağıdaki komutları kullanarak.
Not: Bu, son adımda oluşturduğunuz dosyalardır. bu sayede dosya adlarını ve dosya yollarını gerektiği gibi değiştirdiğinizden ve bu ortamda kullanılan ile eşleşmesi gereken keystore parolasını da değiştirmeniz gerekir.
Keytool-Import-trustcacert-Alias root-keystore yeni. KeyStore-file root. cer
* bunun güvenilir bir kök sertifikası olup olmadığını sormalıdır-Evet (y) ve ENTER tuşuna basın, ardından parola
Keytool-Import-trustcacert-Alias intermediate01-keystore New. KeyStore-File intermediate01. cer
Keytool-Import-trustcacert-Alias emcdpa-keystore yeni. KeyStore-File emcdpa. cer
daha sonra, sertifikanın doğru şekilde içe aktarıldığını doğrulayın:
Keytool-List-v-keystore New. KeyStore-storepass keystorepwdüzgün bir şekilde
içe aktarılmışsa, tam sertifika zincirini buradan görmelisiniz.
Linux 'ta:
CSR dosyasını bir metin düzenleyicisinde açın. ----SERTIFIKAYA başlayın----ve----son sertifika----deyimlerini kullanarak sertifikaları belirleyin.
Her birini kendi dosyasına ayırmak için, her iki UÇTAKI----sertifikası----ve----son sertifika----deyimlerini içeren içerikleri kopyalayın. Her birinin içeriğini ayrı metin dosyalarına yapıştırın ve bunları, orijinal imzalı sertifika dosyasına yerleştirilen sıraya göre etiketleyin. İlk olarak sunucu imzalı sertifikası olacak, en son, kök sertifika olacak ve aralarındaki her şey ara sertifikalardır.
Aşağıdaki örnekte, şifredeki her bir sertifikayı dosyada göründüğü sıraya göre tanımlamak için şifrelenmiş içeriği yerine koydum:
--------Şu için VERILEN sertifikaya başlayın:
WebServer01.EMC.com;
Yayımlayan: IntermediateCA-1
----son sertifika----
----sertifika----şu uygulamaya
verilbaşladı: IntermediateCA-1;
Yayımlayan: IntermediateCA-2
----son sertifika----
----sertifika----şu uygulamaya
verilbaşladı: IntermediateCA-2;
Yayımlayan: Kök-CA
----son sertifika----
----sertifika----
verilme başladı: Kök-CA;
Yayımlayan: Kök-CA
----son sertifika----
her biri kaydetmek için, başlangıç/bitiş deyimlerini içeren şifreli içeriğin tamamını ayrı bir metin dosyasına kopyalayın ve BT
kökünü saklayın. cer şunları içerir:
----başlama sertifikası----
verilen: Kök-CA;
Yayımlayan: Kök-CA
----son sertifika----
Intermediate02. cer şunları içerir:
----başlaması için sertifika----
verilen: IntermediateCA-2;
Yayımlayan: Kök-CA
----son sertifika----
Intermediate01. cer şunları içerir:
----başlaması için sertifika----
verilen: IntermediateCA-1;
Yayımlayan: IntermediateCA-2
----son sertifika----
imzalı WebSunucusu sertifikası şunları içerir:
----BEGIN Certificate----
verilen: WebServer01.EMC.com;
Yayımlayan: IntermediateCA-1
----son sertifika----
ardından bunları aşağıdaki komutları kullanarak geçici bir anahtar deposuna içe aktarın:
./Keytool-Import-trustcacert-Alias root-keystore yeni. KeyStore-file root. cer
* bunun güvenilir bir kök sertifikası olup olmadığını sormalı-Evet (y) ve ENTER tuşuna basın, ardından keystore parolasını girin
./Keytool-Import-trustcacert-Alias intermediate02-keystore yeni. KeyStore-File intermediate02. cer
./Keytool-Import-trustcacert-Alias intermediate01-keystore yeni. KeyStore-File intermediate01. cer
./Keytool-Import-trustcacert-Alias emcdpa-keystore yeni. KeyStore-File emcdpa. cer
ardından, sertifikanın doğru olduğundan emin olun şu kullanılarak doğru içe aktarılır:
./Keytool-v-keystore New. KeyStore-storepass keystorepw
doğru şekilde içe aktarılmışsa, tam sertifika zincirini buradan görmelisiniz.
İmzalı sunucu sertifikasını kök sertifikaya bağlayan tüm sertifikalar, sertifika zincirini oluşturun. Zincir, güvenli bir bağlantıyı (https), güvenilir bir sertifika yetkilisinden yayımlanmakta olan webserver 'ye bağlı olarak doğrulamak için kullanılır. Tam sertifika zinciri olmadan tarayıcı güvenli bir bağlantıyı doğrulayamayacaktır.
Bazı sertifika dosya türleri, imzalı sunucu sertifikası, ara sertifikaları ve kök sertifikayı tek bir dosyada içerecektir. Bu durumlarda, tam zinciri tek seferde içe aktarmak mümkün olabilir.
Normalde bu dosyalar, parola korumalı tek bir. pfx dosyasındaki sunucu sertifikasını, ara sertifikayı ve özel anahtarı depolayabilecek PKCS # 12 (. pfx veya. p12) ' dir.
Ayrıca, özel anahtarlar değil, yalnızca zincirdeki sertifikaları içeren PKCS # 7 (. p7b veya. p7c) biçiminde de olabilirler.
PEM formatında Sertifikalar (. pem,. CRT,. cer veya. Key)-tek bir dosyada sunucu sertifikasını, ara sertifikayı ve özel anahtarı içerebilir. Sunucu sertifikası ve ara sertifika ayrı bir. CRT veya. cer dosyalarında da olabilir ve özel anahtar bir. Key dosyası içinde bulunabilir.
Tam Sertifika zincirinin bir metin düzenleyicisinde açarak tek bir dosyada olup olmadığını kontrol edebilirsiniz. Her sertifika,----SERTIFIKASı----ve----son SERTIFIKA----deyimlerinin arasında yer alır. Özel anahtar----RSA özel anahtarı-----ve-----END RSA PRIVATE KEY-----deyimlerinin arasında yer alır.
----SERTIFIKASı----ve----son SERTIFIKA----deyimlerinin, zincirdeki sertifika sayısıyla (sunucu ve orta) eşleştiğinden emin olun. Dosya özel anahtarı içeriyorsa----RSA özel anahtarı-----ve-----son RSA özel anahtarı ile sona erer. bunu doğrudan Apollo. KeyStore içine alabilirsiniz. Data Protection Advisor (DPA): DPA-Windows veya (Windows) tam güven zinciri ve özel anahtar zinciri içeren imzalı bir sertifika nasıl alınır
ya da özgünlük-Linux ' u y a tam güven zinciri ve özel anahtarın bulunduğu imzalı bir sertifika nasıl alınır
dosya tam sertifika zinciri içermiyorsa, sertifikanın her bir bölümünü kök sertifikadan sunucu sertifikasına manuel olarak almanız gerekebilir. Bazı durumlarda Müşteri, ara sertifikaların her birini ve kök sertifikasını CA 'dan ayrı dosyalarda alabilir. Bazı CA 'Lar, ayrı bir dosyada sunucu sertifikasına giden zinciri sağlar. Bu durumlarda, her bir dosyayı, aşağıdaki komutu ve her biri için farklı bir diğer ad kullanarak, her bir dosyayı geçici bir ana mağazaya (birinci düzey (s), ardından sunucu sertifikasından) içe aktarın:
Keytool-Import-trustcacert-alias diğerad -keystore Temp. KeyStore -File CERT. dosya
notu: Mht 'yi oluştururken kullanılan diğer ad ve dosya adlarını temel alarak diğer ad ve dosya adlarını değiştirirsiniz. Kök CA sertifikasını içe aktarırken her zaman diğer ad kökünü kullanın ve sunucu sertifikasını içe aktarırken, her zaman CSR dosyasını üretmek için kullanılan diğer adı kullanın. Ara sertifikaların diğer adları tanımlayıcılar olarak kullanılır, ancak her biri benzersiz olduğu sürece beğendiğiniz her şey olabilir.
Eğer ca bu dosyaları sizin için sağlamamıyorsa ve bunları manuel olarak kökte ayırmanız gerekirse, ara ve sunucu sertifikası, şu iki yöntemden biriyle bunu yapabilirsiniz:
Windows 'ta
, imzalı sertifika dosyasını aldığınızda, kök sertifikaya giden yolu görmek için Windows 'ta açın:
kök sertifika ve herhangi bir ara sertifika için, her birini (bir seferde bir kez) vurgulayın ve sertifikayı görüntüle öğesine tıklayın.
Bu pencerede, > görünümü, dosyaya Kopyala > Base-64 kodlanmış X. 509.440 (. cer) biçimini kullanın ve her bir kaydetme seçeneğini tıklatın.
Bunları sıralı bir şekilde içe aktarabilmeniz için etiketleyin. (ör root. cer, intermediate01. cer, emcdpa. cer). Kök sertifika yalnızca kendi kendine kendisine verilen tek bir sertifika olacaktır. Örneğin
:
Her bir kaydettikten sonra bunları uygulama sunucusundaki dpa\services\ _jre \Bin ' e taşıyın.
Kök sertifikası, tüm ara sertifikaları ve son sertifika dosyalarını almak için dpa\services\ _jre \Bin ' den aşağıdaki komutları kullanarak.
Not: Bu, son adımda oluşturduğunuz dosyalardır. bu sayede dosya adlarını ve dosya yollarını gerektiği gibi değiştirdiğinizden ve bu ortamda kullanılan ile eşleşmesi gereken keystore parolasını da değiştirmeniz gerekir.
Keytool-Import-trustcacert-Alias root-keystore yeni. KeyStore-file root. cer
* bunun güvenilir bir kök sertifikası olup olmadığını sormalıdır-Evet (y) ve ENTER tuşuna basın, ardından parola
Keytool-Import-trustcacert-Alias intermediate01-keystore New. KeyStore-File intermediate01. cer
Keytool-Import-trustcacert-Alias emcdpa-keystore yeni. KeyStore-File emcdpa. cer
daha sonra, sertifikanın doğru şekilde içe aktarıldığını doğrulayın:
Keytool-List-v-keystore New. KeyStore-storepass keystorepwdüzgün bir şekilde
içe aktarılmışsa, tam sertifika zincirini buradan görmelisiniz.
Linux 'ta:
CSR dosyasını bir metin düzenleyicisinde açın. ----SERTIFIKAYA başlayın----ve----son sertifika----deyimlerini kullanarak sertifikaları belirleyin.
Her birini kendi dosyasına ayırmak için, her iki UÇTAKI----sertifikası----ve----son sertifika----deyimlerini içeren içerikleri kopyalayın. Her birinin içeriğini ayrı metin dosyalarına yapıştırın ve bunları, orijinal imzalı sertifika dosyasına yerleştirilen sıraya göre etiketleyin. İlk olarak sunucu imzalı sertifikası olacak, en son, kök sertifika olacak ve aralarındaki her şey ara sertifikalardır.
Aşağıdaki örnekte, şifredeki her bir sertifikayı dosyada göründüğü sıraya göre tanımlamak için şifrelenmiş içeriği yerine koydum:
--------Şu için VERILEN sertifikaya başlayın:
WebServer01.EMC.com;
Yayımlayan: IntermediateCA-1
----son sertifika----
----sertifika----şu uygulamaya
verilbaşladı: IntermediateCA-1;
Yayımlayan: IntermediateCA-2
----son sertifika----
----sertifika----şu uygulamaya
verilbaşladı: IntermediateCA-2;
Yayımlayan: Kök-CA
----son sertifika----
----sertifika----
verilme başladı: Kök-CA;
Yayımlayan: Kök-CA
----son sertifika----
her biri kaydetmek için, başlangıç/bitiş deyimlerini içeren şifreli içeriğin tamamını ayrı bir metin dosyasına kopyalayın ve BT
kökünü saklayın. cer şunları içerir:
----başlama sertifikası----
verilen: Kök-CA;
Yayımlayan: Kök-CA
----son sertifika----
Intermediate02. cer şunları içerir:
----başlaması için sertifika----
verilen: IntermediateCA-2;
Yayımlayan: Kök-CA
----son sertifika----
Intermediate01. cer şunları içerir:
----başlaması için sertifika----
verilen: IntermediateCA-1;
Yayımlayan: IntermediateCA-2
----son sertifika----
imzalı WebSunucusu sertifikası şunları içerir:
----BEGIN Certificate----
verilen: WebServer01.EMC.com;
Yayımlayan: IntermediateCA-1
----son sertifika----
ardından bunları aşağıdaki komutları kullanarak geçici bir anahtar deposuna içe aktarın:
./Keytool-Import-trustcacert-Alias root-keystore yeni. KeyStore-file root. cer
* bunun güvenilir bir kök sertifikası olup olmadığını sormalı-Evet (y) ve ENTER tuşuna basın, ardından keystore parolasını girin
./Keytool-Import-trustcacert-Alias intermediate02-keystore yeni. KeyStore-File intermediate02. cer
./Keytool-Import-trustcacert-Alias intermediate01-keystore yeni. KeyStore-File intermediate01. cer
./Keytool-Import-trustcacert-Alias emcdpa-keystore yeni. KeyStore-File emcdpa. cer
ardından, sertifikanın doğru olduğundan emin olun şu kullanılarak doğru içe aktarılır:
./Keytool-v-keystore New. KeyStore-storepass keystorepw
doğru şekilde içe aktarılmışsa, tam sertifika zincirini buradan görmelisiniz.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To