Как установить сертификат p12 на компьютер
У меня есть приложение в java и cxf, которое подключается к WebServices с сертификатом клиента.
Я получил сертификаты от владельца WebService
-
certificate.p12
certificate.pem
certificate.crt
trusted_ca.cer
root_ca.cer
У меня есть проблема с простым преобразованием этого p12 certficate в рабочую jks keystore, требуемую java.
но этот jks не работает, и я получаю HTTP-ответ "403: Запрещено" при использовании этого сертификата1.jks
Однако, если я импортирую этот сертификат p12 (pfx) в Internet Explorer и затем экспортирую этот сертификат из IE в формат pfx, установите флажок "Включить все сертификаты в путь сертификации" и используйте:
Затем все работает нормально, и я могу подключиться к WebService, используя сертификат 2.js.
Я обнаружил, что исходный сертификат .p12 (pfx) содержит только одну запись (длина цепи сертификата: 1):
в то время как сертификат .pfx, экспортированный из IE с "Включить все сертификаты в пути сертификации", содержит цепочку сертификатов со вторым сертификатом доверенного ЦС (длина цепи сертификата: 2):
Итак, чтобы решить мою проблему, мне нужно иметь сертификат p12 с доверенным сертификатом CA.
Я могу сделать это, импортировав p12 в IE и затем экспортируя обратно с помощью "Включить все сертификаты в путь сертификации".
Как я могу сделать это без IE с помощью keytool или другого инструмента?
Я понял, как это сделать с OpenSSL:
Если вы работаете в ОС Windows, вы можете установить сертификат как обычно через IIS, затем открыть mmc.exe → Файл → Добавить/Удалить оснастку → Дважды щелкните "Сертификаты", выберите "Учетная запись компьютера", затем нажмите хорошо, хорошо
Разверните сертификаты, при необходимости добавьте сертификаты из ЦС в "Промежуточные центры сертификации" или "Доверенные корневые центры сертификации".
Затем перейдите в "Веб-хостинг", здесь должны быть ваши сертификаты веб-сайта, выберите сертификат, щелкните его левой кнопкой мыши, выберите "Экспорт" и следуйте указаниям мастера. Важные вещи, которые необходимо проверить: "Включить закрытый ключ", Включить все сертификаты в цепочку, экспортировать все расширенные свойства, вы должны установить пароль, выбрать имя выходного файла и это все. Теперь у вас есть сертификат с полной цепочкой. Больше никаких проблем с Facebook или подобным.
Чтобы создавать приложения для iPhone с помощью Flash Professional CS5, необходимо использовать файл сертификата P12. Этот сертификат создается на основе файла сертификата разработчика iPhone, полученного от компании Apple.
Преобразование сертификата разработчика iPhone в файл P12 в ОС Mac OS
Загрузив сертификат iPhone с сайта Apple, экспортируйте его в виде файла P12. В ОС Mac® OS выполните следующие действия.
Откройте программу «Связка ключей» (каталог Программы/Служебные программы).
Если сертификат еще не добавлен в связку ключей, выберите «Файл» > «Импорт». Найдите файл сертификата (CER-файл), полученный от компании Apple.
В программе «Связка ключей» выберите категорию «Ключи».
Выберите личный ключ, связанный с данным сертификатом на разработку iPhone.
Личный ключ идентифицируется связанным с ним открытым сертификатом «Разработчик iPhone: <имя> <фамилия>».
Выберите «Файл» > «Экспортировать объекты».
Сохраните ключ в формате файла обмена личными данными (.p12).
Появится запрос на создание пароля, который используется при попытке импорта этого ключа на другой компьютер.
Преобразование сертификата разработчика Apple в файл P12 в ОС Windows
Чтобы создавать приложения iPhone с помощью Flash CS5, необходимо использовать файл сертификата P12. Этот сертификат создается на основе файла сертификата разработчика iPhone, полученного от компании Apple.
Преобразуйте файл сертификата разработчика, полученный от компании Apple, в файл сертификата PEM. С помощью командной строки запустите следующую операцию из каталога корзины (bin) OpenSSL.
Если используется личный ключ из связки ключей на компьютере с ОС Mac, преобразуйте его в ключ PEM:
Теперь можно создать действительный файл P12 на основе ключа и версии PEM сертификата разработчика iPhone:
Если используется ключ из связки ключей в ОС Mac OS, используйте версию PEM, созданную при выполнении предыдущего шага. В противном случае используйте ключ OpenSSL, созданный ранее (в ОС Windows).
На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.
У меня есть приложение в java и cxf, которое подключается к WebServices с сертификатом клиента.
Я получил сертификаты от владельца WebService
-
certificate.p12
certificate.pem
certificate.crt
trusted_ca.cer
root_ca.cer
У меня есть проблема с простым преобразованием этого p12 certficate в рабочую jks keystore, требуемую java.
но этот jks не работает, и я получаю HTTP-ответ "403: Запрещено" при использовании этого сертификата1.jks
Однако, если я импортирую этот сертификат p12 (pfx) в Internet Explorer и затем экспортирую этот сертификат из IE в формат pfx, установите флажок "Включить все сертификаты в путь сертификации" и используйте:
Затем все работает нормально, и я могу подключиться к WebService, используя сертификат 2.js.
Я обнаружил, что исходный сертификат .p12 (pfx) содержит только одну запись (длина цепи сертификата: 1):
в то время как сертификат .pfx, экспортированный из IE с "Включить все сертификаты в пути сертификации", содержит цепочку сертификатов со вторым сертификатом доверенного ЦС (длина цепи сертификата: 2):
Итак, чтобы решить мою проблему, мне нужно иметь сертификат p12 с доверенным сертификатом CA.
Я могу сделать это, импортировав p12 в IE и затем экспортируя обратно с помощью "Включить все сертификаты в путь сертификации".
Как я могу сделать это без IE с помощью keytool или другого инструмента?
Я понял, как это сделать с OpenSSL:
Если вы работаете в ОС Windows, вы можете установить сертификат как обычно через IIS, затем открыть mmc.exe → Файл → Добавить/Удалить оснастку → Дважды щелкните "Сертификаты", выберите "Учетная запись компьютера", затем нажмите хорошо, хорошо
Разверните сертификаты, при необходимости добавьте сертификаты из ЦС в "Промежуточные центры сертификации" или "Доверенные корневые центры сертификации".
Затем перейдите в "Веб-хостинг", здесь должны быть ваши сертификаты веб-сайта, выберите сертификат, щелкните его левой кнопкой мыши, выберите "Экспорт" и следуйте указаниям мастера. Важные вещи, которые необходимо проверить: "Включить закрытый ключ", Включить все сертификаты в цепочку, экспортировать все расширенные свойства, вы должны установить пароль, выбрать имя выходного файла и это все. Теперь у вас есть сертификат с полной цепочкой. Больше никаких проблем с Facebook или подобным.
Если это первый LoTW-cepтификат, который получает радиолюбитель, то потребуется также выслать в ARRL копии (сканы) документов (паспорта и радиолюбительской лицензии) обычной почтой.
Вроде бы, все предельно просто, но многие пользователи на этом этапе испытывают проблемы. Поэтому давайте проанализируем происходящие процессы для более полного понимания своих действий.
Система LoTW построена с высокой степенью защиты от несанкционированного доступа и содержит несколько инструментов такой защиты.
Файлы с расширениями .tq5 и .tq6 являются одним из них. Файл запроса сертификата YOURCALL.tq5 содержит некоторые уникальные идентификационные данные, которые хранятся на компьютере (например, серийный номер материнской платы данного компьютера, точные дата и время создания файла и т.д.), где этот файл был создан.
После установки сертификата эти 2 файла (YOURCALL.tq5 и YOURCALL.tq6) больше не нужны. Следует также заметить, что на компьютере должен находиться только один файл YOURCALL.tq5, в противном случае файл YOURCALL.tq6 инсталлирован не будет.
Сделаем некоторые выводы:
В LoTW-сертификаты выдаются на определенное время (как правило, на 3 года), и время от времени их придется продлевать, а для этого потребуется создать новый файл запроса YOURCALL.tq5.
При этом других файлов YOURCALL.tq5 во избежание конфликтов между ними на вашем компьютере быть не должно.
Что делать, если вам нужно переустановить сертификат на исходном компьютере в случае, например, выхода из строя жесткого диска вашего компьютера или необходимости переустановки Windows, а также если вы хотите установить сертифи-
кат на другие компьютеры?
Заранее будьте готовы к возможным проблемам в будущем, а также обеспечьте себе возможность быстро и просто установить комплект программ для работы в LoTW на других компьютерах. Для этого просто сделайте копию вашего сертификата и сохраните ее, а лучше сохраните неоднократно и в разных местах вне вашего базового компьютера. Для этого запустите программу tQSLCert. Вы увидите все существующие у вас сертификаты.
Щелчком мыши выделите сертификат, копию которого хотите сделать, затем войдите в меню Certificate и щелкните на пункте Save. Программа предложит вам сохранить файл YOURCALL.p12. Сохраните его на своем компьютере, а затем перенесите копии этого файла на другие компьютеры, на внешнюю флэш-память, в общем, куда угодно. В любом случае имеет смысл сделать несколько копий на разных носителях.
Вся процедура создания копии сертификата YOURCALL.p12 потребовала ровно трех щелчков мыши, после чего вы уже можете не бояться возможных компьютерных проблем, переустановок Windows, и можете иметь комплект программ tQSL-tQSLCert на любом количестве компьютеров.
Файл YOURCALL.p12 скорее всего, он очень понадобится в будущем — например, когда потребуется установить комплект программ tQSL-tQSLCert на новый компьютер. Для этого на этом компьютере должна быть установлена последняя версия комплекта программ tQSL (на момент подготовки статьи это версия 1.13). Скопируйте файл YOURCALL.p12 на новый компьютер или просто вставьте в компьютер внешнюю флэш-память с этим файлом. Запустите tQSLCert и щелкните мышью на меню File, из выпавшего меню выберите пункт LoadCertificate File, в следующем окошке выберите файл типа *.р12 (эта опция предлагается по умолчанию) и далее укажите путь к вашему файлу YOURCALL.p12. Запустите инсталлирование сертификата, и вот у вас уже появилось еще одно полноценное рабочее место для работы с LoTW. На это вам понадобилось 4-5 щелчков мыши и одна-две минуты потраченного времени.
Файл YOURCALL.p12 можно создавать сколько угодно раз и в любое время на протяжении срока действия сертификата. Таким образом, если у вас в настоящее время благополучно функционирует сертификат на единственном компьютере, вы активизировали его год-два назад, не сделав при этом копии файла YOURCALL.p12, а сейчас вдруг появилась необходимость установить сертификат еще на один компьютер, не переживайте и просто создайте YOURCALL.p12, как описано выше.
Чем раньше вы сделаете и сохраните на внешнем носителе файл YOURCALL.p12, тем лучше вы будете защищены от возможных проблем.
В настоящее время ведется работа над новой, обновленной и расширенной версией комплекта программ tQSL. Предполагается, что эта версия будет автоматически создавать копию сертификата после его установки. Пока же для изготовления копии сертификата просто пользуйтесь описанной выше процедурой.
Типичные и довольно частые ошибки, которых необходимо избегать:
Читайте также: