Ich habe eine Zertifikatsdatei wie diese:
-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....
Ich kann es unter "Zertifikate" anzeigen lassen, indem ich zu "Datei-> Objekte importieren" gehe (es ist das "Elin").
Ich kann es jedoch nicht zu "Meine Zertifikate" hinzufügen, was meiner Meinung nach erforderlich ist, damit es beim Herstellen einer Verbindung zu bestimmten Websites angezeigt wird:
Wie komme ich dort hin? (Muss ich es zum Beispiel in .p12 umwandeln und in diesem Fall wie?)
Antworten:
Kurzversion:
Sie können es nicht als Zertifikat verwenden, es sei denn, Sie haben den privaten Schlüssel, der einen übereinstimmenden Satz mit dem öffentlichen Schlüssel im Zertifikat bildet. Suchen Sie nach der Stelle, an der Sie Ihren privaten Schlüssel hinterlassen haben, und importieren Sie diesen in den Schlüsselbund. Der Schlüsselbund-Zugriff erkennt automatisch, dass er mit dem öffentlichen Schlüssel in diesem Zertifikat übereinstimmt, und zeigt dieses Zertifikat in der Liste "Meine Zertifikate" an.
Langfassung:
Zertifikate sind öffentliche Dokumente, die Sie frei verteilen können. Sie sind nur eine Möglichkeit, Ihre Identität (dh Informationen wie Ihren vollständigen Namen, Benutzernamen, E-Mail-Adresse usw.) sicher mit Ihrem öffentlichen Schlüssel zu verknüpfen .
Da Zertifikate öffentlich verbreitet werden können, ist das einfache Vorhandensein einer Kopie eines Zertifikats kein Beweis dafür, dass Sie die im Zertifikat genannte Person sind oder dass der öffentliche Schlüssel im Zertifikat wirklich Ihr öffentlicher Schlüssel ist.
Um nachweisen zu können, dass ein Zertifikat Ihnen gehört, müssen Sie den privaten Schlüssel haben, der einen übereinstimmenden Satz mit dem im Zertifikat enthaltenen öffentlichen Schlüssel bildet .
Wenn Sie nur eine .p7b-, .cer- oder .pem-Datei haben, enthält diese höchstwahrscheinlich nur ein Zertifikat, nicht jedoch den dazugehörigen privaten Schlüssel.
Private Schlüssel müssen absolut sicher und privat aufbewahrt werden und dürfen nicht an Dritte weitergegeben werden. Wenn sie auf der Festplatte gespeichert sind, sollten sie in einer verschlüsselten Datei gespeichert sein, für deren Entschlüsselung Sie eine Passphrase benötigen. Die typische Methode zum sicheren Speichern eines Zertifikats zusammen mit dem zugehörigen privaten Schlüssel in einer verschlüsselten, kennwortgeschützten Datei ist eine .p12-Datei (PKCS # 12). Überprüfen Sie, ob Sie bereits irgendwo eine .p12-Datei haben.
Wenn in Keychain Access ein Zertifikat in Ihrem persönlichen Schlüsselbund angezeigt wird, es jedoch nicht in der Liste "Meine Zertifikate" angezeigt wird, bedeutet dies, dass Sie nur ein Zertifikat importiert haben, jedoch nicht den dazugehörigen privaten Schlüssel, sodass OS X dies nicht feststellen kann dass es wirklich "dein" ist.
Sie müssen herausfinden, wo Ihr privater Schlüssel gespeichert war, als Sie das erste Mal Ihr öffentliches / privates Schlüsselpaar generiert haben. Das Generieren eines Schlüsselpaares ist der erste Schritt, um ein Zertifikat zu erhalten. Zuerst wird ein Schlüsselpaar generiert, dann wird der öffentliche Schlüssel zusammen mit Ihren Identitätsinformationen in eine Zertifikatsignierungsanforderung (auch bekannt als CSR, req) eingegeben und zur Signierung an eine Zertifizierungsstelle (CA) gesendet. Die Zertifizierungsstelle soll Ihre Identitätsinformationen und Ihren öffentlichen Schlüssel überprüfen. Wenn alles ausgecheckt wird, signiert sie die CSR und erstellt ein Zertifikat. Das signierte Zertifikat wird an Sie zurückgesendet, und Sie müssen es mit dem privaten Schlüssel abgleichen, den Sie im ersten Schritt generiert haben, um es wirklich zu verwenden.
Beachten Sie, dass die Rolle der Zertifizierungsstelle nichts Besonderes ist. Es muss kein Unternehmen wie Verisign sein. Jedes PC-Betriebssystem enthält die gesamte Software, die als Zertifizierungsstelle fungiert. Die Certificate Assistant-Funktion von Keychain Access führt Sie sogar durch die Einrichtung Ihres CA-Setups für den privaten Gebrauch.
Wenn Sie sich nicht erinnern, ein Schlüsselpaar generiert zu haben, haben Sie wahrscheinlich eine Software verwendet, die dies automatisch für Sie erledigt hat. Zum Beispiel gibt es ein spezielles HTML-Tag, das CA-Websites in ihren CSR-Webformularen verwenden können, das Ihren Webbrowser anweist, automatisch ein Schlüsselpaar zu generieren und nur den öffentlichen Schlüssel zusammen mit dem Webformular zu übermitteln. Wenn Sie Safari in einem solchen Formular verwenden, wird der private Schlüssel im Benutzerschlüsselbund für das OS X-Benutzerkonto gespeichert, bei dem Sie angemeldet sind. Wenn Sie in einem solchen Formular den IE in Windows verwenden, wird der private Schlüssel in der entsprechenden Windows-Version gespeichert (Microsoft nennt dies den "Zertifikatspeicher" des Benutzers; "Speicher" als "Speichercontainer", nicht als "Einzelhandelsgeschäft" :-). .
Ich kann Ihnen nicht sagen, wo sich Ihr privater Schlüssel befindet, da ich nicht weiß, mit welcher Software Sie ihn erstellt haben, und selbst wenn ich das wüsste, würde ich nicht genau wissen, wo Sie diese Software angewiesen haben, Ihren privaten Schlüssel zu speichern. Sie werden das wahrscheinlich selbst herausfinden müssen.
Wenn Sie Ihren privaten Schlüssel nicht finden können, müssen Sie ihn möglicherweise als kompromittiert betrachten und Ihr Zertifikat widerrufen (Sie müssen sich dazu möglicherweise an Ihre Zertifizierungsstelle wenden). Beginnen Sie erneut, indem Sie ein neues Schlüsselpaar erstellen, eine neue CSR erstellen und ein CA signieren und ein Zertifikat ausstellen, es mit dem neuen privaten Schlüssel abgleichen usw. Dies ist ungefähr so, als würde man feststellen, dass eine Kopie des Hausschlüssels fehlt, und sich dafür entscheiden, dass ein Schlosser alle Ihre Türschlösser nur umschlüsselt sicher sein.
tl; dr: Suchen Sie Ihren privaten Schlüssel und importieren Sie ihn in den Schlüsselbund.
quelle