【完整证书链】
完整的证书链必须有以下的情况:假设客户完整得提供了所有的证书,例如:根CA签发了CA1,CA1签发了CA2、CA2签发了CA3、CA3签发了local。客户把上面的CA、CA1、CA2、CA3、local和密钥key都提供了。(有些时候key已经合入了local)
注:这里假设您已经了解了CA证书、Local证书、私钥,PKI域等概念。
正常的情况下,一对证书会包含一个local证书和CA证书,但是现场客户提供了很多证书,存在证书链(就是上面CA1、CA2等)的情况,让导入到设备上,就需要先合成证书再导入。
所谓的证书链是指CA机构提供的CA证书并不是一个,而是由多级连续签发,存在根CA证书和被签发CA证书。这种情况下,为了获得完整有效的证书,需要将CA证书和local分别合成以后,再导入设备。
你的目的是什么?
答:做成一个CA和local,后缀都是.cer的文件,也就是下文中的方式一;或者将所有的信息合成一个local证书,后缀是.cer的,也就是下文的方式二;
你应该怎么做?
方法一:合成两张证书CA和local
*1 合成CA证书,以下为例,客户提供的证书链中会有这样两个证书(已隐去关键信息),两个证书,其中ROOT是根CA签发了Server的二级CA证书,但是两者都属于CA证书,需要将两者合起来:
右键两个证书,分别用Notepad++软件打开,会得到电子版的长串数字,将两个信息复制在一起,建议Server放前面,ROOT放后面(仅作示例,隐去关键信息)。
上面的内容保存,命名CA.cer。
*2合成local证书;客户提供的日志中,有一个local和私钥。把两者合起来,方式和上面的一样,建议把私钥放在前面(仅作示例,隐去关键信息),然后命名成LOCAL.cer。如果客户提供的证书已经把.key文件合入了local了,那这步骤就可以省略了。(怎么判定有没有合入?答:看local证书上有没有一个小钥匙的图标,有的话就是合入了)
3*最后合成的效果
4*在设备上新建PKI域,然后导入两个证书。
方法二:所有的证书合成一张证书,可以命名成.cer格式
参考上面的方式,将上面四个证书(就是客户提供的原始的四张)的内容信息放在一起,保存成.cer格式的文件。例如:Certificate.cer。
然后导入设备上的时候,新建PKI域,然后把这个证书按【本地证书】形式导入。
顺序(自上而下):key---local---CA3---CA2---CA1
无
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作