1. 首页
  2. acgpower

创建、请求和安装目录代理服务器的证书申请SSL/TLS

2022/01/10 02:40 acgpower的ca证书下载 证书 客户端 根证书

acgpower的ca证书下载

创建、请求和安装目次代理服务器的证书

要在目次代理服务器上运行安全套接字层 (Secure Sockets Layer, SSL),必须使用自署名证书或公钥底子布局 (Public Key Infrastructure, PKI) 解决方案。

PKI 解决方案需要涉及到外部证书颁发机构 (Certificate Authority, CA)。要使用 PKI 解决方案,您需要包含公钥和私钥的 CA 署名服务器证书。此证书特定于一个目次代理服务器实例。别的,还需要包含公钥的 可信 CA 证书 。可信 CA 证书可确保来自 CA 的全部服务器证书都是可信的。此证书偶然称为 CA 根密钥或根证书。

有关怎样创建非默认的自署名证书,以及怎样请求和安装 CA 署名证书的信息,请拜见以下過逞。

创建非默认的目次代理服务器自署名证书

创建目次代理服务器实例时,将主动提供默认的自署名证书。假如要使用非默认设置创建自署名证书,请实行以下過逞。

此過逞将为服务器证书创建公钥/私钥对,此中公钥由目次代理服务器署名。自署名证书的有用期为三个月。

可以使用 DSCC 实行此使命。有关信息,请拜见 目次服务控制中心界面 和 DSCC 联机帮助。

    要创建非默认的目次代理服务器自署名证书,请键入: 


    $ dpadm add-selfsign-cert instance-pathcert-alias

    此中 cert-alias 是自署名证书的名称。

    比方,可以创建名为 my-self-signed-cert 的证书,如下所示: 


    $ dpadm add-selfsign-cert /local/dps my-self-signed-cert

    有关全部下令选项的描述,请拜见 dpadm(1M) 手册页,要么在下令行中键入 dpadm add-selfsign-cert --help

请求目次代理服务器的 CA 署名证书

自署名证书对于测试非常有效。但是在生产环境中,使用可信证书颁发机构 (Certificate Authority, CA) 颁发的证书会越发安全。

可以使用 DSCC 实行此使命。有关信息,请拜见 目次服务控制中心界面 和 DSCC 联机帮助。

  1. 请求 CA 署名的服务器证书。 


    $ dpadm request-cert instance-pathcert-alias

    此中 cert-alias 是要请求的证书的名称。证书颁发机构大概需要该下令的全部选项以辨认服务器。有关全部下令选项的描述,请拜见 dpadm(1M) 手册页。

    获取 CA 证书的過逞取决于所使用的 CA。某些贸易 CA 提供了容许您下载证书的 Web 站点。其他 CA 会以电子邮件的方法将证书发送给您。

    比方,可以请求一个名为 my-CA-signed-cert 的证书,如下所示: 


    $ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert -----BEGIN NEW CERTIFICATE REQUEST----- MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3 DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5 W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6 zwbn2EmIpjHzETtS5Nk= -----END NEW CERTIFICATE REQUEST-----

    使用 dpadm request-cert 下令请求证书时,此证书请求是保密性加强的电子邮件 (Privacy Enhanced Mail, PEM) 格式的 PKCS #10 证书请求。 PEM 是由 RFC 1421 至 1424 指定的格式。有关具体信息,请拜见 http://www.ietf.org/rfc/rfc1421.txt 。PEM 格式表现 ASCII 格式的 base64 编码的证书请求。

    请求 CA 署名的证书时,将创建一个暂时的自署名证书。收到并安装来自 CA 的 CA 署名证书时,新证书将代替暂时的自署名证书。

  2. 根据程序将证书请求发送给 CA。

    发送请求之后,必须等候 CA 对您的证书做出相应。请求的相应时间会有所差别。比方,假如 CA 在您的公司内部,则相应时间大概很短。但是,假如 CA 在公司外部,则 CA 大概需要几个礼拜才能相应您的请求。

  3. 保存从 CA 收到的证书。

    以文本文件的情势保存证书,并将此证书备份到安全位置。

安装目次代理服务器的 CA 署名服务器证书

要信托 CA 署名的服务器证书,必须在目次代理服务器实例上安装此证书。此過逞将 CA 证书的公钥安装到目次代理服务器上的证书数据库中。

可以使用 DSCC 实行此使命。有关信息,请拜见 目次服务控制中心界面 和 DSCC 联机帮助。

  1. 察看是否已安装此 CA 的可信 CA 证书。

    要实行此操作,请列出全部已安装的 CA 证书,如 列出 CA 证书 中所述。

  2. 假如未安装可信 CA 证书,请将其添加到目次代理服务器实例上的证书数据库中。 


    $ dpadm add-cert instance-pathcert-aliascert-file

    此中 cert-alias 是可信 CA 证书的名称, cert-file 是包含可信 CA 证书的文件的名称。

  3. 将 CA 署名的服务器证书安装到证书数据库中。 


    $ dpadm add-cert instance-pathcert-aliascert-file

    此中 cert-alias 是 CA 署名服务器证书的名称, cert-file 是包含 CA 署名服务器证书的文件的名称。请留意, cert-alias 必须与证书请求中所使用的 cert-alias 相同。

    比方,可以将名为 CA-cert 的 CA 署名服务器证书添加到 /local/dps 上的证书数据库中,如下所示: 


    $ dpadm add-cert /local/dps CA-cert /local/safeplace/ca-cert-file.ascii

SSL 证书领导让您可以为 Sophos Mobile EAS 代理创建 SSL/TLS 证书。

%MDM_HOME% \tools\Wizard 文件夹中运行 SSL 证书领导,或从 Sophos 授权流派下载。

注:

假如您使用自署名证书或您自己的证书颁发机构 (CA) 颁发的证书,将应用以下限定:

  • 您必须先在您的装备上手动安装自署名证书或 CA 证书,然后再将它们注册到 Sophos Mobile 。假如您不这样做, Sophos Mobile Control 应用程序将不会信托您的服务器,且会拒绝连接。由环球受信托的 CA 颁发的证书不需要进行此手动安装。
  • 您不能从托管在 Sophos Mobile 服务器上的 APK 文件安装 Android 应用。
  • 您不能使用 Android Zero-touch 注册或 Samsung Knox Mobile Enrollment。
  • 假如您使用的自署名证书不是由 Sophos Mobile 设置领导或 SSL 证书领导创建的,请参阅 Apple 文章 iOS 13 和 macOS 10.15 中对于信托证书的要求

要申请 SSL/TLS 证书:

运行 Sophos Mobile SSL Certificate Wizard.exe 文件,启动 SSL 证书领导。

该助手将引导您完成安装。按以下说明输入所需的信息:

    Upload CSR (上传 CSR) 页面上,可以单击 Open CSR (打开 CSR) 按钮以打开 CSR 文件 (假如您的证书供给商支持复制和粘贴)。 Import Certificate Files (导入证书文件) 页面上,把在 Upload CSR (上传 CSR) 页面上下载的 CA 证书输入到 Select CA certificate file (选择 CA 证书文件) 字段中。 Certificate created (证书已创建) 页面上,将表现创建的证书的位置。设置 Sophos Mobile 时需要引用此位置。

为了保证客户端和服务端通过HTTPS成功通讯,您在安装SSL证书时,也需要安装CA根证书和中间证书。本文介绍怎样获取CA根证书和中间证书。

根证书

使用场景

假如您的业务用户通过browser访问您的Web业务,则您无需关注根证书,由于CA根证书已经内置在browser。您只需在Web服务器安装经CA签发的SSL证书,即可实现browser与服务端的HTTPS通讯。关于安装SSL证书的相关操作,请拜见 SSL证书安装指南 。

假如您的业务用户通过Java等客户端访问您的Web业务,由于客户端没有内置CA根证书,您大概需要在对应客户端手动安装CA根证书,保证客户端可以或许校验服务端的加密信息。比方,假设服务端安装了DigiCert OV型SSL证书,则客户端需要有DigiCert OV型根证书,才能实现客户端与服务端的HTTPS通讯。

告诫 在客户端安装根证书以实现客户端校验,大概会由于根证书逾期失效或策略变动等导致业务停止,我们不建议您使用该方法。假如您确认已理解相关风险,且仍需要在App、Java客户端安装根证书,则可以参考下载地点,下载您需要的CA根证书。

相比于在客户端安装根证书以实现客户端校验,我们建议您使用系统默认信托库进行客户端校验,并开启域名强校验来增长App的安全性。假如需要理解更多信息,请提交 工单 或在 SSL证书控制台 左侧导航栏,单击 有问题?找专家! ,然后扫描二维码,进入钉钉服务群联系售后技能支持职员。

下载地点

现在只支持下载部分CA根证书,详细下载地点如下:

中间证书

为了制止客户端与服务端的HTTPS通讯失败,您在安装SSL证书时,也需要安装中间证书。通常环境下,您下载的SSL证书已经包含了中间证书,以是您可以直接安装SSL证书。比方,当您下载Apache证书文件后,此中的 domain name _chain.crt 文件已经包含了中间证书。

留意

假如您的SSL证书不包含中间证书要么您的中间证书已逾期,请访问证书品牌的官网下载中间证书要么提交

工单

联系售后技能支持职员来帮忙您得到中间证书的下载链接。

本文网址: http://www.6vho.com/page/202201033156_7754_447733976/home