Question Ajouter à "Mes certificats" dans Keychain Access? (Mac OS 10.10)


J'ai un fichier de certificat comme celui-ci:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Je peux le faire apparaître sous "Certificats" en allant dans "Fichier-> importer des articles" (c'est le "Elin").

enter image description here

Je ne peux cependant pas l'ajouter à "Mes certificats" qui, je pense, est nécessaire pour qu'il apparaisse lors de la connexion à certains sites Web:

enter image description here

Comment puis-je l'obtenir là-bas? (Dois-je le transformer en .p12 par exemple et dans ce cas, comment?)


14
2017-07-06 11:51


origine


voir si cela ne sert à rien:digicert.com/ssl-support/ montre également à exporter cert à .p12. Si cela fait ce que vous voulez, faites le moi savoir et je le mettrai comme réponse :) - David Golding
Merci @DavidGolding mais je cherche un moyen d'obtenir ma clé de base dans un format .p12 qui, à mon avis, est une condition préalable à son utilisation sous Mes certificats / pour l'authentification du site Web. - dani


Réponses:


Version courte:
Vous ne pouvez pas l'utiliser comme certificat à moins que vous n'ayez la clé privée qui forme un ensemble correspondant avec la clé publique figurant dans le certificat. Allez chercher où vous avez laissé votre clé privée et importez-la dans le trousseau, et Keychain Access verra automatiquement qu'il correspond à la clé publique de ce certificat et commence à afficher ce certificat dans la liste "Mes certificats".

Version longue:
Les certificats sont des documents publics que vous pouvez librement distribuer. Ils ne sont qu’un moyen de lier en toute sécurité votre identité (c.-à-d. Des informations d’identification telles que votre nom complet, votre nom d’utilisateur, votre adresse e-mail, etc.) à votre compte. Publique clé.

Comme les certificats peuvent être distribués publiquement, le simple fait d'avoir une copie d'un certificat ne constitue pas une preuve que vous êtes la personne nommée dans le certificat ou que la clé publique du certificat est réellement votre clé publique.

Pour pouvoir prouver qu'un certificat est à vous, vous devez avoir le privé clé qui forme un ensemble correspondant avec le Publique clé contenue dans le certificat.

Si vous ne disposez que d'un fichier .p7b ou .cer ou .pem, il est probable qu'il contienne simplement un certificat, mais pas la clé privée qui l'accompagne.

Les clés privées doivent être totalement sécurisées et privées et ne jamais être données à quiconque. Lorsqu'elles sont stockées sur disque, elles doivent être stockées dans un fichier crypté pour lequel vous devez décrypter une phrase secrète. La manière typique de stocker en toute sécurité un certificat avec la clé privée correspondante dans un fichier chiffré, protégé par mot de passe, se trouve un fichier .p12 (PKCS # 12). Voir si vous avez déjà un fichier .p12 quelque part.

Si Keychain Access affiche un certificat dans votre trousseau personnel, mais qu’il ne l’affiche pas dans la liste "Mes certificats", cela signifie que vous n’avez importé qu’un certificat, mais pas la clé privée qui l’accompagne. que c'est vraiment "le vôtre".

Vous devez aller chercher où votre privé La clé a été stockée lors de la première génération de votre paire de clés publique / privée. La génération d'une paire de clés est la première étape vers l'obtention d'un certificat. Tout d'abord, une paire de clés est générée, puis la clé publique, avec vos informations d'identité, est placée dans une demande de signature de certificat (CSR, demande), et envoyée à une autorité de certification (AC) pour être signée. L’autorité de certification est censée vérifier vos informations d’identité et votre clé publique, puis s’il s’en extrait, il signe le CSR en créant un certificat. Le certificat signé vous est renvoyé et vous devez le faire correspondre avec la clé privée que vous avez générée lors de la première étape, afin de l'utiliser réellement.

Notez que le rôle de CA n'a rien de vraiment spécial. Ce n'est pas forcément une société comme Verisign. Chaque ordinateur personnel contient tous les logiciels nécessaires pour agir en tant que CA. La fonction Assistant de certificats de Keychain Access vous guidera même lors de la configuration de votre configuration de CA pour votre propre usage privé.

Si vous ne vous souvenez pas d'avoir généré une paire de clés, vous utilisiez probablement un logiciel qui le faisait automatiquement pour vous. Par exemple, les sites Web de CA peuvent utiliser une balise HTML spéciale sur leurs formulaires Web CSR, qui indique à votre navigateur Web de générer automatiquement une paire de clés et d'envoyer uniquement la clé publique avec le formulaire Web. Lorsque vous utilisez Safari sur un tel formulaire, la clé privée est stockée dans le trousseau utilisateur du compte utilisateur OS X auquel vous êtes connecté. Lorsque vous utilisez IE dans Windows sur un tel formulaire, la clé privée est stockée dans l'équivalent Windows de celui-ci (Microsoft appelle cela le "magasin de certificats" de l'utilisateur; "magasin" dans "conteneur de stockage" pas "magasin de détail") :-) .

Je ne peux pas vous dire où se trouve votre clé privée car je ne sais pas quel logiciel vous avez utilisé pour la créer, et même si je le savais, je ne saurais pas avec certitude où vous avez demandé à ce logiciel d’enregistrer votre clé privée. Vous devrez probablement vous en occuper vous-même.

Si vous ne parvenez pas à trouver votre clé privée, vous devrez peut-être la considérer comme compromise et révoquer votre certificat (vous devrez peut-être contacter votre autorité de certification pour cela) et recommencer en générant une nouvelle paire de clés. CA le signe et émet un certificat, le fait correspondre à la nouvelle clé privée, etc. C'est un peu comme si vous aviez oublié une clé de votre maison et si vous préfériez une clé de serrurier pour toutes vos serrures de porte. fais attention.

tl; dr: Allez chercher votre clé privée et importez-la dans le trousseau.


30
2017-07-09 21:26



Excellente réponse mais j'ajouterai deux notes: D'abord, pour des raisons historiques, l'extension ".pfx" est parfois utilisée pour les fichiers PKCS # 12 (voir Wikipédia). Deuxièmement, dans les captures d'écran, il y a un triangle d'affichage à côté du certificat "com.apple.idmsa ..."; en cliquant dessus, vous découvrirez la clé privée correspondante qui le fait apparaître dans "Mes certificats" et lui permet d'être utilisé pour l'authentification. - Gordon Davisson
Comment déplacer le fichier de clés (qui apparaît après avoir cliqué sur le triangle) de Keychain dans un ordinateur vers un nouvel ordinateur? - Pier
@Pier Bienvenue dans SuperUser. S'il vous plaît, posez votre question en la postant comme votre propre message, plutôt que de demander un commentaire. - Spiff