X.509 证书管理
使用此窗口可以创建、导入或重新使用 Server Administrator 的 Web 证书。
注: 此帮助页面可能包括关于系统不支持的功能的信息。Server Administrator 仅显示系统上受支持的功能。
X.509 证书管理
Web 证书确保远程系统的身份并确保与远程系统交换的信息无法由他人查看或更改。为了确保 Server Administrator 的系统安全,强烈建议您生成新的 X.509 证书、重新使用现有的 X.509 证书或从证书颁发机构 (CA) 导入证书链。
您可以申请证书以验证通过网络访问系统或系统连接的存储设备的用户权限。
X.509 证书选项菜单
生成新的证书 | 生成用于在运行 Server Administrator 的服务器和浏览器之间进行 SSL 通信的新自签名证书。 注: 大多数 Web 浏览器会生成不受信任 警告,因为该证书未被操作系统信任的证书颁发机构 (CA) 签署。有些安全浏览器设置会拦截自签署的 SSL 证书。因此,对于此类安全浏览器,Server Administrator Web GUI 需要 CA 签名的证书。 |
---|---|
证书维护 | 使您可以生成证书签名请求 (CSR),其中包含了主机的所有证书信息,以供 CA 自动创建受信任 SSL Web 证书。您可通过以下方式检索必要的 CSR 文件:从页面顶部的指定路径,或者将文本框中整个文本复制粘贴到 CA 提交表单中。文本格式必须为 Base 64 编码格式。 注: 您也可选择查看证书信息并将目前使用中的证书导出至通用 Base–64 编码格式,该格式可被导入至其他网页服务中。 |
导入证书链 | 使您可以导入信任 CA 签署的证书链(采用 PKCS#7 格式)。证书可以为 DER 或 Base 64 编码格式。 |
导入 PKCS12 密钥库 | 使您可以导入 PKCS#12 密钥库,该密钥库取代 Server Administrator Web 服务器中使用的密钥和证书。。 注: 如果选择了无效的 PKCS 文件或者键入了不正确的密码,则将显示错误消息。 |
X.509 证书生成菜单:生成新的证书
别名 | 别名是在密钥库有证书的实体特定于密钥库的简短名称。用户可以为密钥库中的公用密钥和专用密钥分配任意别名。 |
---|---|
密钥签名算法 | 显示支持的签名算法。从下拉列表中选择一种算法。 注: 如果您选择 SHA 512 或 SHA 256,请确保您的操作系统/浏览器支持此算法。如果您选择这些选项之一,但没有所需的操作系统/浏览器支持,Server Administrator 将显示 cannot display the webpage 错误。 |
密钥生成算法 | 说明将用于生成证书的算法。常用的算法有 RSA 和 DSA。 |
密钥大小 | 密钥的加密强度。默认值为 2048。 |
有效期 | 证书有效的时间长度,以天表示。 |
常用名 (CN) | 要保护的主机或域的确切名称,例如 xyzcompany.com。 |
组织 (O) | 完整的公司名称,与显示在公司证书或州/省/自治区/直辖市政府注册中的名称一样。 |
组织部门 (OU) | 公司中申请证书的部门,例如电子商务部门。 |
地点 (L) | 组织注册或成立所在的城市或地点。 |
州/省/自治区/直辖市 (ST) | 组织注册或成立所在的州或省/自治区/直辖市。请写出全称。 |
国家/地区 (C) | 两个字母的国家/地区代码,例如 US 代表美国,UK 代表英国。 |
X.509 证书生成菜单:证书维护
证书 | 这是当前使用的 X.509 证书的名称。 |
---|---|
选择适当的操作 |
|
如果选择 CSR,Server Administrator 会生成 .csr 文件。Server Administrator 显示可以检索 .csr 文件的路径。
Server Administrator 还将提示您复制和保存证书的文本。
当您选择导出时,Server Administrator 使您可以以 .cer 文件下载证书,并将该文件保存到所选的目录。
X.509 自签证书内容
第一次创建证书时将收集以下字段的值:
别名 | 别名是在密钥库有证书的实体特定于密钥库的简短名称。用户可以为密钥库中的公用密钥和专用密钥分配任意别名。 |
---|---|
创建日期 | 现有证书最初创建的日期。 |
提供商 | 默认的证书提供商是 Sun Microsystems 安全保护提供商。Sun 有一个处理 X509 类型的证书的证书工厂。 |
证书链 | 具有根证书以及相关响应的完整证书。 |
链元素 1:
如果用户查看证书内容,在说明中发现链元素 1:但没有发现链元素 2:,则现有证书是自签证书。如果证书内容含有链元素 2:,则该证书有一个或多个 CA 与之关联。
类型 | X.509 |
---|---|
版本 | X.509 的版本。 |
有效 | Server Administrator 是否认为证书有效(是或否)。 |
主题 | 向其颁发证书的实体名称。此实体称作证书的接收者。 |
颁发者 | 签发证书的证书机构名称。 |
有效期始于 | 证书生效的第一天。 |
有效期至 | 证书有效期的最后一天。 |
序列号 | 标识此证书的唯一编号。 |
公钥 | 证书的公共密钥,即属于证书所担保的接收者的密钥。 |
公共密钥算法 | RSA 或 DSA。 |
密钥用法 | 密钥用法扩展,定义密钥的用途。可以将密钥用于数字签名、密钥协议、证书签名等等。密钥用法是 X.509 规范的扩展,不必出现在所有 X.509 证书中。 |
签名 | 证书机构的标识摘要,授予证书的有效性。 |
签名算法名称 | 用于生成签名的算法。 |
签名算法 OID | 签名算法的对象 ID。 |
签名算法参数 | 用于生成签名的算法,使用 TBS 证书作为输入。 |
TBS 证书 | 实际证书的主体。它包含证书中的所有命名和密钥信息。在签署或验证证书时,TBS 证书用作签名算法的输入数据。 |
基本限制 | X.509 证书可以包含确定证书接收者是否是证书机构 (CA) 的可选扩展。如果接收者是 CA,此扩展将会返回证书链中跟在此证书后的证书数。 |
接收者唯一 ID | 标识证书申请者的字符串。 |
颁发者唯一 ID | 标识证书颁发者的字符串。 |
MD5 指纹 | 数字签名算法,通过创建 128 位的消息摘要或指纹来验证数据的完整性。该指纹对于输入数据是唯一的,就像指纹仅属于一个独立的人一样。 |
SHA1 指纹 | 安全哈希算法,即一种用于验证数据完整性的加密信息摘要算法,该算法的机制使得复制摘要或指纹需要付出极大的计算代价而不值得这样做。 |
已编码的证书 | 证书的内容(二进制格式)。 |
证书导入:导入证书链
要导入从 CA 获得的证书链,请执行以下操作:
- 键入您要导入的证书文件的名称,或单击浏览以搜索该文件。
- 选择该文件,然后单击导入。
导入 PKCS#12
要导入 PKCS#12 证书:
- 浏览 PKCS#12 文件的名称,该文件包含该 Web 服务器的密钥和证书。
- 输入密钥库密码。
- 单击导入。
要了解 Server Administrator 操作页面中其他按钮的解释,请参阅 Server Administrator 窗口按钮。