Додати в "Мої сертифікати" в Keychain Access? (Mac OS 10.10)


18

У мене такий файл сертифікатів:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Я можу його відобразити в розділі "Сертифікати", перейшовши до "Файл -> імпортувати елементи" (це "Елін").

введіть тут опис зображення

Однак я не можу додати його до "Моїх сертифікатів", які, на мою думку, необхідні для того, щоб вони з'являлися під час підключення до певних веб-сайтів:

введіть тут опис зображення

Як мені це дістати? (Чи потрібно мені, наприклад, перетворити його в .p12, а в такому разі як?)


подивіться, чи вам це корисно : digicert.com/ssl-support/… також показує, що експортувати cert в .p12. Якщо це робить те, що ви хочете, дайте мені знати, і я викладу це як відповідь :)
Девід Голдінг

Дякую @DavidGolding, але я шукаю спосіб перенести свій основний ключ у формат .p12, який, на мою думку, є необхідною умовою для його використання в розділі Мої сертифікати / для автентифікації веб-сайту.
dani

Відповіді:


36

Коротка версія:
Ви не можете використовувати його як свій сертифікат, якщо у вас немає приватного ключа, який формує збіганий набір із відкритим ключем, який міститься в сертифікаті. Подивіться, де ви залишили свій приватний ключ, та імпортуйте їх у брелок, і Keychain Access автоматично побачить, що він збігається із відкритим ключем у цьому сертифікаті, і почніть показувати цей сертифікат у списку "Мої сертифікати".

Довга версія:
Сертифікати - це публічні документи, які ви можете вільно розповсюджувати. Вони лише спосіб безпечно пов’язати вашу особу (тобто ідентифікацію такої інформації, як ваше повне ім’я, ім’я користувача, електронна адреса тощо) до вашого відкритого ключа.

Оскільки сертифікати є загальнодоступними для розповсюдження, просто наявність копії сертифіката не є доказом, що ви є особою, названою в сертифікаті, або що відкритий ключ у сертифікаті є справді вашим відкритим ключем.

Щоб мати змогу довести, що сертифікат є вашим, ви повинні мати приватний ключ, який формує збіганий набір із відкритим ключем, що міститься в сертифікаті.

Якщо у вас просто є .p7b або .cer або .pem файл, він, швидше за все, просто містить сертифікат, але не приватний ключ, який йде разом з ним.

Приватні ключі повинні зберігатися повністю захищеними та закритими і ніколи не передаватися комусь іншим. Якщо вони зберігаються на диску, вони повинні зберігатися у зашифрованому файлі, для розшифрування якого вам потрібна парольна фраза. Типовим способом надійного зберігання сертифіката разом із відповідним приватним ключем у зашифрованому захищеному паролем файлі є файл .p12 (PKCS # 12). Перевірте, чи у вас вже є файл .p12.

Якщо Keychain Access показує сертифікат у вашому особистому брелоку, але він не відображається у списку "Мої сертифікати", це означає, що ви імпортували лише сертифікат, але не приватний ключ, який йде разом із ним, тому OS X не може сказати що це справді "ваше".

Вам потрібно перейти, де зберігався ваш приватний ключ, коли ви вперше згенерували свою публічну / приватну пару ключів. Створення пари ключів - це перший крок до отримання сертифіката. Спочатку генерується пара ключів, потім відкритий ключ разом із вашою інформацією про особу вводиться у Запит на підписання сертифіката (також CSR, req) та відправляється до Сертифікаційного органу (CA) для підписання. CA повинен перевірити інформацію про вашу особу та ваш відкритий ключ, а потім, якщо все перевіряється, вони підписують КСВ, створюючи сертифікат. Підписаний сертифікат вам надсилається назад, і вам потрібно зіставити його назад із приватним ключем, який ви створили на першому кроці, щоб справді ним користуватися.

Зауважте, що роль ЦА не є нічого страшного особливого. Це не повинно бути такою корпорацією, як Verisign. Кожна ОС персонального комп’ютера містить все програмне забезпечення, необхідне для роботи в якості КА. Функція Assistant Certificate Assistant Keychain Access навіть допоможе вам встановити налаштування CA для власного приватного використання.

Якщо ви не пам’ятаєте, що створювали пару ключів, ви, ймовірно, використовували якесь програмне забезпечення, яке робило це автоматично для вас. Наприклад, є спеціальний тег HTML, який веб-сайти CA можуть використовувати у своїх веб-формах CSR, який повідомляє веб-браузеру автоматично генерувати пару ключів та подавати лише відкритий ключ разом із веб-формою. Коли ви використовуєте Safari в такій формі, приватний ключ зберігається в брелоку користувача для облікового запису користувача OS X, в якому ви ввійшли. Коли ви використовуєте IE в Windows у такій формі, приватний ключ зберігається в еквіваленті Windows (Microsoft називає це користувачем "Магазин сертифікатів"; "Магазин", як у "контейнері зберігання", а не в "магазині роздрібної торгівлі" :-) .

Я не можу сказати вам, де ваш приватний ключ, тому що я не знаю, яке програмне забезпечення ви використовували для його створення, і навіть якби я знав це, я не знав би точно, де ви сказали це програмне забезпечення для збереження вашого приватного ключа. Вам, мабуть, доведеться промацувати це самостійно.

Якщо ви не можете знайти свій приватний ключ, можливо, вам доведеться вважати це порушеним і відкликати свій сертифікат (можливо, вам доведеться зв’язатися з вашим центром обслуговування) і почати все з початку, створивши нову пару ключів, створивши нову CSR, маючи CA підписує його та видає сертифікат, погоджує його з новим приватним ключем і т. Д. Це схоже на те, щоб зрозуміти, що вам не вистачає копії вашого будинку, і вибрати, щоб слюсар переробив усі ваші замки дверей лише для бути обережним.

tl; dr: Перейдіть до свого приватного ключа та імпортуйте його у брелок.


2
Відмінна відповідь; але я додам дві примітки: По-перше, з історичних причин розширення ".pfx" іноді використовується для файлів PKCS # 12 (див. Вікіпедію ). По-друге, на знімках екрана є трикутник розкриття поруч із сертифікатом "com.apple.idmsa ..."; клацніть, що відкриє відповідний приватний ключ, який відображає його в "Мої сертифікати" та дозволяє використовувати його для аутентифікації.
Гордон Девіссон

Як я можу перемістити файл ключа (який з’являється після натискання трикутника) з Keychain на одному комп’ютері на новий комп'ютер?
Пірс

1
@Pier Ласкаво просимо до SuperUser. Будь ласка, поставте своє запитання, розмістивши його як власне повідомлення, а не запитуючи коментар.
Spiff
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.