本文囊括证书申请中的证书申请、证书合并等常规操作、满足证书管理的日常工作
分步指南
证书申请信息模板
证书存档
证书申请操作手册
证书格式转换、拼接操作
根证书添加信任
证书申请默认不提供通用类型证书,即形如*.cxmt.com.
,
一:证书模板:证书申请时,需要提供如下信息以便日后运行问题需要,同时将申请文件做存档处理。
证书模板:例如:
模板链接:证书申请模板.xlsx
二:证书存档:颁发的证书除直接发送给需求部门外,证书管理部门会保存一份 颁发副本,记录保存在 服务器172.16.13.109 ,D盘目录。
三:证书申请操作SOP
PKI证书颁发机构服务器URL:https://pki.innotron.com/certsrv/certrqma.asp
用户名:用户域账号即可
1、登录服务器:
至此:点击提交后证书申请操作就完成了
导出证书:进入证书颁发控制台,在”颁发的证书“中找到对应的证书→双击并进行”详细信息“,→然后点击复制到文件
参照上图可以导出自己需要的证书,但证书仅含有.cer 或.p7b格式。我们是导出.p7b 类型证书,再分别导出服务器证书、中间证书和根证书,如下:
四:证书格式转换、证书链合并
在日常工作中除了.cer 格式的证书,可能还需要.crt等类型的证书,整个时候就需要对证书进行转换。
CER是二进制形式的X.509证书,DER编码。
CRT是二进制X.509证书,封装在文本(base-64)编码中。
证书格式转化在linux 平台使用openssl命令执行,如下两种方式进行尝试转换
证书格式转换
[root@hfeak8sts02 mon]# openssl x509 -inform DER -in mon.cxmt.com.cer -out mon.cxmt.com.crt #格式转换
[root@hfeak8sts02 mon]# openssl x509 -inform DER -in ISCA.cer -out ISCA.crt #格式转换
这样我们就完成了证书的格式转化工作,但如果是linux 环境,还有必要在证书末尾加上中间件服务器的证书, 以使得证书认证形成完整的证书链。现有环境是二层架构,因此需要将中间证书与服务器证书进行证书链合并操作。
证书链拼接
[root@hfeak8sts02 mon]# cat mon.cxmt.com.crt ISCA.crt > mon.cxmt.comv1.crt #证书链拼接
五:添加受信任的更证书颁发机构
默认情况下,非域控内的计算机不会信任自建根证书颁发机构,为了是这些计算下信任我们的根证书颁发机构,这个时候需要将根证书颁发机构添加到信任列表,操作如下:
根证书:R-CA.cer
添加根证书到受信任的更证书颁发机构列表
转换格式 .cer 到 .pem
openssl x509 -inform der -in R-CA.cer -out R-CA.pem
追加到信任列表
cat R-CA.pem >> /etc/pki/tls/certs/ca-bundle.crt
