Mam plik certyfikatu taki jak ten:
-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....
Mogę sprawić, by pojawił się pod „Certyfikaty”, przechodząc do „Plik-> importuj elementy” (jest to „Elin”).
Nie mogę jednak dodać go do „Moich certyfikatów”, które moim zdaniem są konieczne, aby pojawiały się podczas łączenia z niektórymi witrynami:
Jak mogę to tam dostać? (Czy muszę na przykład przekształcić go w .p12, a w takim razie jak?)
Odpowiedzi:
Wersja skrócona:
nie możesz używać go jako certyfikatu, chyba że masz klucz prywatny, który tworzy dopasowany zestaw z kluczem publicznym znajdującym się w certyfikacie. Znajdź miejsce, w którym zostawiłeś swój klucz prywatny i zaimportuj go do pęku kluczy, a Keychain Access automatycznie zobaczy, że pasuje on do klucza publicznego w tym certyfikacie i zacznij pokazywać ten certyfikat na liście „Moje certyfikaty”.
Wersja długa:
Certyfikaty to dokumenty publiczne, które można swobodnie rozpowszechniać. Są tylko sposobem na bezpieczne połączenie twojej tożsamości (tj. Identyfikacja informacji takich jak imię i nazwisko, nazwa użytkownika, adres e-mail itp.) Z kluczem publicznym .
Ponieważ certyfikaty są publicznie rozpowszechniane, samo posiadanie kopii certyfikatu nie jest dowodem na to, że jesteś osobą wymienioną w certyfikacie lub że klucz publiczny w certyfikacie jest naprawdę twoim kluczem publicznym.
Aby móc udowodnić, że certyfikat należy do Ciebie, musisz mieć klucz prywatny , który tworzy dopasowany zestaw z kluczem publicznym zawartym w certyfikacie.
Jeśli masz tylko plik .p7b lub .cer lub .pem, najprawdopodobniej zawiera on tylko certyfikat, ale nie klucz prywatny z nim związany.
Klucze prywatne muszą być całkowicie bezpieczne i prywatne i nigdy nie mogą być przekazywane nikomu innemu. Gdy są przechowywane na dysku, powinny być przechowywane w zaszyfrowanym pliku, który potrzebujesz hasła do odszyfrowania. Typowym sposobem bezpiecznego przechowywania certyfikatu wraz z pasującym kluczem prywatnym w zaszyfrowanym pliku chronionym hasłem jest plik .p12 (PKCS # 12). Sprawdź, czy już gdzieś masz plik .p12.
Jeśli Keychain Access pokazuje certyfikat w twoim osobistym pęku kluczy, ale nie pokazuje go na liście „Moje certyfikaty”, oznacza to, że zaimportowałeś tylko certyfikat, ale nie klucz prywatny, który się z nim wiąże, więc OS X nie może powiedzieć że to naprawdę „twoje”.
Musisz poszukać, gdzie był przechowywany Twój klucz prywatny, kiedy wygenerowałeś parę kluczy publiczny / prywatny. Wygenerowanie pary kluczy jest pierwszym krokiem do uzyskania certyfikatu. Najpierw generowana jest para kluczy, a następnie klucz publiczny wraz z informacjami o tożsamości są umieszczane w żądaniu podpisania certyfikatu (inaczej CSR, req) i wysyłane do urzędu certyfikacji (CA) w celu podpisania. Urząd certyfikacji ma zweryfikować informacje o Twojej tożsamości i kluczu publicznym, a następnie, jeśli wszystko się sprawdzi, podpisują CSR, tworząc certyfikat. Podpisany certyfikat jest odesłany z powrotem i musisz dopasować go z kluczem prywatnym wygenerowanym w pierwszym kroku, aby naprawdę go użyć.
Zauważ, że rola CA nie jest niczym nadzwyczajnym. To nie musi być jakaś korporacja jak Verisign. Każdy system operacyjny komputera osobistego zawiera całe oprogramowanie niezbędne do działania jako urząd certyfikacji. Funkcja Asystenta certyfikatu Keychain Access przeprowadzi Cię nawet przez proces konfigurowania konfiguracji urzędu certyfikacji na własny użytek.
Jeśli nie pamiętasz generowania pary kluczy, prawdopodobnie korzystałeś z oprogramowania, które zrobiło to automatycznie dla Ciebie. Na przykład istnieje specjalny znacznik HTML, którego witryny CA mogą używać w swoich formularzach internetowych CSR, które nakazują przeglądarce internetowej automatyczne wygenerowanie pary kluczy i przesłanie tylko klucza publicznego wraz z formularzem internetowym. Gdy używasz Safari w takiej formie, klucz prywatny jest przechowywany w pęku kluczy użytkownika dla konta użytkownika OS X, na którym jesteś zalogowany. Gdy używasz IE w systemie Windows w takiej formie, klucz prywatny jest przechowywany w systemie Windows jako odpowiednik tego (Microsoft nazywa to „magazynem certyfikatów” użytkownika; „przechowuje” jak w „kontenerze pamięci”, a nie „sklepem detalicznym” :-) .
Nie mogę ci powiedzieć, gdzie jest twój klucz prywatny, ponieważ nie wiem, jakiego oprogramowania użyłeś do jego utworzenia, a nawet gdybym to wiedział, nie wiedziałbym na pewno, gdzie powiedziałeś temu oprogramowaniu, aby zapisać swój klucz prywatny. Prawdopodobnie będziesz musiał to wyłudzić.
Jeśli nie możesz znaleźć swojego klucza prywatnego, może być konieczne uznanie go za naruszony i unieważnienie certyfikatu (może być konieczne skontaktowanie się z urzędem certyfikacji, aby to zrobić) i zacząć od nowa, generując nową parę kluczy, tworząc nowy CSR, mając Urząd certyfikacji podpisuje go i wydaje certyfikat, dopasowuje go do nowego klucza prywatnego itp. Jest to trochę jak uświadomienie sobie, że brakuje kopii klucza domowego i wybranie, aby ślusarz ponownie uruchomił wszystkie zamki drzwi tylko po to, aby bądź bezpieczny.
tl; dr: Znajdź swój klucz prywatny i zaimportuj go do pęku kluczy.
źródło