Tambahkan ke “Sertifikat saya” di Akses Keychain? (Mac OS 10.10)


18

Saya memiliki file sertifikat seperti ini:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Saya bisa membuatnya muncul di bawah "Sertifikat" dengan pergi ke "File-> impor item" (itu adalah "Elin").

masukkan deskripsi gambar di sini

Namun saya tidak dapat menambahkannya ke "Sertifikat saya" yang menurut saya perlu untuk membuatnya muncul saat menghubungkan ke situs web tertentu:

masukkan deskripsi gambar di sini

Bagaimana saya mendapatkannya di sana? (Apakah saya perlu mengubahnya menjadi .p12 misalnya dan bagaimana?)


lihat apakah ini tidak berguna bagi Anda: digicert.com/ssl-support/… juga menunjukkan untuk mengekspor cert di .p12. Jika itu sesuai keinginan Anda, beri tahu saya dan saya akan menjawabnya :)
David Golding

Terima kasih @ DavidGolding tetapi saya sedang mencari cara untuk mendapatkan kunci dasar saya ke dalam format .p12 yang saya pikir merupakan prasyarat untuk digunakan di bawah Sertifikat Saya / untuk otentikasi situs web.
dani

Jawaban:


36

Versi singkat:
Anda tidak dapat menggunakannya sebagai sertifikat kecuali Anda memiliki kunci pribadi yang membentuk pasangan yang cocok dengan kunci publik yang ada dalam sertifikat. Cari di mana Anda meninggalkan kunci pribadi Anda dan impor itu ke gantungan kunci, dan Akses Keychain akan secara otomatis melihat bahwa itu cocok dengan kunci publik dalam sertifikat itu dan mulai menunjukkan sertifikat itu dalam daftar "Sertifikat Saya".

Versi panjang:
Sertifikat adalah dokumen publik yang dapat Anda bagikan dengan bebas. Mereka hanya cara untuk secara aman menautkan identitas Anda (yaitu mengidentifikasi informasi seperti nama lengkap, nama pengguna, alamat email, dll.) Ke kunci publik Anda .

Karena sertifikat dapat didistribusikan secara publik, hanya memiliki salinan sertifikat bukan bukti bahwa Anda adalah orang yang disebutkan dalam sertifikat, atau bahwa kunci publik dalam sertifikat tersebut benar-benar kunci publik Anda.

Untuk dapat membuktikan bahwa sertifikat adalah milik Anda, Anda harus memiliki kunci pribadi yang membentuk pasangan yang cocok dengan kunci publik yang terkandung dalam sertifikat.

Jika Anda hanya memiliki file .p7b atau .cer atau .pem, kemungkinan besar hanya berisi sertifikat, tetapi bukan kunci pribadi yang menyertainya.

Kunci pribadi harus dijaga sepenuhnya aman dan pribadi dan tidak pernah diberikan kepada orang lain. Ketika disimpan pada disk, mereka harus disimpan dalam file terenkripsi yang Anda perlu frasa sandi untuk mendekripsi. Cara khas untuk menyimpan sertifikat dengan aman bersama dengan kunci pribadi yang cocok dalam file terenkripsi dan dilindungi kata sandi, adalah file .p12 (PKCS # 12). Lihat apakah Anda sudah memiliki file .p12 di suatu tempat.

Jika Akses Keychain menunjukkan sertifikat di gantungan kunci pribadi Anda, tetapi tidak menunjukkannya di daftar "Sertifikat Saya", itu berarti Anda hanya mengimpor sertifikat tetapi bukan kunci pribadi yang menyertainya, sehingga OS X tidak dapat memberi tahu bahwa itu benar-benar "milikmu".

Anda harus mencari di mana kunci pribadi Anda disimpan ketika Anda pertama kali membuat pasangan kunci publik / pribadi Anda. Membuat pasangan kunci adalah langkah pertama menuju mendapatkan sertifikat. Pertama sepasang kunci dihasilkan, kemudian kunci publik, bersama dengan informasi identitas Anda, dimasukkan ke dalam Permintaan Penandatanganan Sertifikat (alias CSR, req), dan dikirim ke Otoritas Sertifikat (CA) untuk ditandatangani. CA seharusnya memverifikasi informasi identitas Anda dan kunci publik Anda, dan kemudian jika semuanya memeriksa, mereka menandatangani CSR, membuat sertifikat. Sertifikat yang ditandatangani dikirim kembali kepada Anda, dan Anda harus mencocokkannya kembali dengan kunci pribadi yang Anda buat pada langkah pertama, untuk benar-benar menggunakannya.

Perhatikan bahwa peran CA tidak ada yang sangat istimewa. Tidak harus korporasi seperti Verisign. Setiap OS komputer pribadi berisi semua perangkat lunak yang diperlukan untuk bertindak sebagai CA. Fitur Asisten Sertifikat Keychain Access bahkan akan memandu Anda mengatur pengaturan CA untuk penggunaan pribadi Anda.

Jika Anda tidak ingat membuat pasangan kunci, Anda mungkin menggunakan beberapa perangkat lunak yang melakukannya secara otomatis untuk Anda. Misalnya, ada tag HTML khusus yang dapat digunakan situs web CA di formulir web CSR mereka yang memberi tahu peramban web Anda untuk secara otomatis membuat pasangan kunci dan mengirimkan hanya kunci publik bersama dengan formulir web. Saat Anda menggunakan Safari pada formulir seperti itu, kunci pribadi disimpan di gantungan kunci pengguna untuk akun pengguna OS X yang Anda masuki. Ketika Anda menggunakan IE di Windows pada formulir seperti itu, kunci pribadi disimpan dalam Windows yang setara dengan itu (Microsoft menyebutnya "Toko Sertifikat" pengguna; "toko" seperti dalam "wadah penyimpanan" bukan "toko ritel" :-) .

Saya tidak dapat memberi tahu Anda di mana kunci pribadi Anda karena saya tidak tahu perangkat lunak apa yang Anda gunakan untuk membuatnya, dan bahkan jika saya tahu itu, saya tidak akan tahu pasti di mana Anda mengatakan perangkat lunak itu untuk menyimpan kunci pribadi Anda. Anda mungkin harus menyembunyikan hal itu sendiri.

Jika Anda tidak dapat menemukan kunci pribadi Anda, Anda mungkin perlu mempertimbangkan itu dikompromikan dan mencabut sertifikat Anda (Anda mungkin perlu menghubungi CA Anda untuk melakukan itu) dan mulai lagi dengan menghasilkan pasangan kunci baru, menciptakan CSR baru, memiliki CA menandatanganinya dan mengeluarkan sertifikat, cocokkan dengan kunci pribadi baru, dll. Ini seperti menyadari bahwa Anda kehilangan salinan kunci rumah Anda, dan memilih untuk meminta tukang kunci merekam semua kunci pintu Anda hanya untuk berhati-hatilah.

tl; dr: Pergi temukan kunci pribadi Anda dan impor ke gantungan kunci.


2
Jawaban luar biasa; tapi saya akan menambahkan dua catatan: Pertama, karena alasan historis ekstensi ".pfx" kadang-kadang digunakan untuk file PKCS # 12 (lihat Wikipedia ). Kedua, dalam tangkapan layar ada segitiga pengungkapan di sebelah sertifikat "com.apple.idmsa ..."; mengklik yang akan mengungkapkan kunci pribadi terkait yang membuatnya muncul di "Sertifikat Saya" dan memungkinkannya digunakan untuk otentikasi.
Gordon Davisson

Bagaimana saya bisa memindahkan file kunci (yang muncul setelah mengklik segitiga) dari Keychain di satu komputer ke komputer baru?
Dermaga

1
@Pier Selamat Datang di SuperUser. Silakan ajukan pertanyaan Anda dengan mempostingnya sebagai posting Pertanyaan Anda sendiri, daripada bertanya dalam komentar.
Spiff
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.