SSL常见问题
基本问题
HTTPS访问GUI在VPX实例上失败。我如何获得访问权限?
通过HTTPS访问GUI需要证书-密钥对。在Citrix ADC设备上,一个证书密钥对会自动绑定到内部服务。在MPX或SDX设备上,默认的密钥大小是1024字节,在VPX实例上,默认的密钥大小是512字节。然而,现在大多数浏览器都不接受小于1024字节的键。因此,对VPX配置实用程序的HTTPS访问被阻止。
Citrix建议您安装一个至少1024字节的证书密钥对,并将其绑定到内部服务,以便通过HTTPS访问配置实用程序。此外,更新ns-server-certificate到1024个字节。您可以使用HTTP访问配置实用程序或CLI来安装证书。
如果向MPX设备添加许可证,则会丢失证书-密钥对绑定。我该如何解决这个问题?
如果MPX设备启动时没有提供许可证,稍后添加许可证并重新启动设备,则可能会丢失证书绑定。重新安装证书并将其绑定到内部服务
Citrix建议您在启动设备之前安装适当的许可证。
为SSL事务设置安全通道涉及哪些步骤?
为SSL事务设置安全通道涉及以下步骤:
客户端向服务器发送安全通道的HTTPS请求。
选择协议和密码后,服务器将其证书发送给客户端。
客户端检查服务器证书的真实性。
如果任何检查失败,则客户端将显示相应的反馈。
如果检查通过,或者即使检查失败,客户端也决定继续,那么客户端将创建一个临时的、可丢弃的密钥。这把钥匙叫做前秘密客户端使用服务器证书的公钥对密钥进行加密。
服务器在接收到预先主密钥后,通过使用服务器的私钥解密它并生成会话密钥。客户端还生成来自主预处理的会话密钥。因此,客户端和服务器现在都有一个常见的会话密钥,它用于加密和解密应用程序数据。
我明白SSL是一个CPU密集型进程。与SSL过程相关的CPU成本是多少?
以下两个阶段与SSL进程相关联:
使用公钥和私钥技术进行初始握手和安全通道设置。
采用对称密钥技术进行海量数据加密。
以上两个阶段都会影响服务器的性能,由于以下原因,它们需要密集的CPU处理:
初始握手涉及公私密钥加密,这是由于大密钥大小(1024位,2048位,4096位)非常CPU密集型。
数据的加密/解密在计算上也很昂贵,这取决于必须加密或解密的数据量。
SSL配置的各种实体是什么?
SSL配置有以下实体:
- 服务器证书
- 证书颁发机构证书
- 为以下任务指定协议的密码套件:
- 初始密钥交换
- 服务器和客户端身份验证
- 批量加密算法
- 消息身份验证
- 客户身份验证
- CRL
- SSL证书键生成工具,使您可以创建以下文件:
- 证书请求
- 自签名证书
- RSA密钥
- DH参数
我想使用Citrix ADC Appliance的SSL卸载功能。接收SSL证书有哪些选项?
您必须在Citrix ADC设备上配置SSL安装程序之前收到SSL证书。您可以使用以下任何方法接收SSL证书:
向授权的证书颁发机构(CA)请求证书。
使用现有的服务器证书。
在Citrix ADC设备上创建证书密钥对。
注意:此证书是由Citrix ADC设备生成的测试root-ca签名的测试证书。浏览器不接受由测试根CA签名的测试证书。浏览器抛出警告消息,指出无法验证服务器的证书。
- 对于除测试以外的任何目的,您必须提供有效的CA证书和CA密钥来签署服务器证书。
SSL设置的最低要求是什么?
配置SSL的最低要求如下:
- 获取证书和密钥。
- 创建负载平衡SSL虚拟服务器。
- 将HTTP或SSL服务绑定到SSL虚拟服务器。
- 为SSL虚拟服务器绑定证书密钥对。
SSL各种组件有哪些限制?
SSL组件有以下限制:
- SSL证书位大小:4096。
- SSL证书的数量:取决于设备上的可用内存。
- 最大链接中间CA SSL证书:每种链9。
- CRL撤销:取决于设备上的可用内存。
在Citrix ADC设备上进行端到端数据加密涉及哪些步骤?
Citrix ADC设备上服务器端加密过程中涉及的步骤如下:
客户端连接到安全站点的Citrix ADC设备上配置的SSL VIP。
设备接收到安全请求后,对请求进行解密,并应用4-7层内容交换技术和负载均衡策略。然后,它为请求选择最佳可用的后端web服务器。
Citrix ADC设备与所选服务器创建SSL会话。
建立SSL会话后,设备通过使用安全的SSL会话加密客户端请求并将其发送到Web服务器。
当设备从服务器接收加密响应时,它会解密并重新加密数据。然后,它通过使用客户端SSL会话将数据发送到客户端。
Citrix ADC设备的多路复用技术使该设备能够重用通过Web服务器建立的SSL会话。因此,该设备避免了CPU密集型的密钥交换,称为完整的握手.这个过程可以减少服务器上的SSL会话总数,并维护端到端安全性。
证书和密钥
我可以在任何位置放置证书和关键文件吗?是否有推荐的位置来存储这些文件?
您可以将证书和密钥文件存储在Citrix ADC设备或本地计算机上。但是,Citrix建议您存储证书和密钥文件/ nsconfig / ssl目录。的/等目录存在于Citrix ADC设备的闪存中。此操作提供了可移植性,并简化了设备上证书文件的备份和恢复。
注意:请确保证书和密钥文件存储在同一个目录中。
Citrix ADC设备支持的证书密钥的最大大小是多少?
运行9.0之前的软件版本的Citrix ADC设备支持的最大证书密钥大小为2048位。Release 9.0及更高版本支持最大的证书密钥大小为4096位。此限制仅适用于RSA证书。
MPX设备支持从512位到以下大小的证书:
虚拟服务器上的4096位服务器证书
服务上的4096位客户端证书
4096位CA证书(包括中间和根证书)
后端服务器上的4096位证书
4096位客户端证书(虚拟服务器启用客户端认证)
虚拟设备支持从512位到以下大小的证书:
虚拟服务器上的4096位服务器证书
服务上的4096位客户端证书
4096位CA证书(包括中间和根证书)
后端服务器上的4096位证书,版本为12.0-56.x。较早版本支持2048位证书。
2048位客户端证书(如果在虚拟服务器上启用了客户端认证)从12.0-56.x发布。
Citrix ADC设备支持的DH参数的最大大小是多少?
Citrix ADC设备支持最大2048位的DH参数。
Citrix ADC设备支持的最大证书链长度是最大的证书链长度,即链条中的最大证书数量?
Citrix ADC设备可以在发送服务器证书消息时在链中最多发送10个证书。最大长度的链包括服务器证书和九个中间CA证书。
Citrix ADC设备支持的各种证书和关键格式是什么?
Citrix ADC设备支持以下证书和密钥格式:
- 隐私增强邮件(PEM)
- 可分辨的编码规则(Der)
我可以在Citrix ADC Appliance上安装的证书数和键数是否有限?
不可以。可以安装的证书和键的数量仅限于Citrix ADC设备上的可用内存。
我已保存本地计算机上的证书和密钥文件。我想通过使用FTP协议将这些文件传输到Citrix ADC设备。是否有任何优选模式用于将这些文件传输到Citrix ADC设备?
是的。如果使用FTP协议,则必须使用二进制模式将证书和密钥文件传输到Citrix ADC设备。
注意:缺省情况下,禁用FTP服务。建议使用SCP协议传输证书和密钥文件。配置实用程序隐式地使用SCP连接到设备。
证书和密钥的默认目录路径是什么?
证书和密钥的默认目录路径为“/nsconfig/ssl”。
当添加证书和密钥对时,如果我没有指定证书和密钥文件的绝对路径,会发生什么?
添加证书键对时,请指定证书和密钥文件的绝对路径。如果未指定,ADC设备会搜索这些文件的默认目录,并尝试将它们加载到内核。默认目录是/ nsconfig / ssl.例如:cert1024. pem。pem和rsa1024。Pem文件可在/ nsconfig / ssl目录下,以下两个命令都是成功的:
添加ssl certKey cert1 -cert cert1204。pem关键rsa1024。pem < !——NeedCopy >add ssl certKey cert1 -cert /nsconfig/ssl/cert1204。pem关键/ nsconfig / ssl / rsa1024。pem < !——NeedCopy >我已经配置了一个高可用性设置。我想在设置中实现SSL特性。在高可用性设置中,我必须如何处理证书和密钥文件?
在高可用性设置中,必须在主Citrix ADC设备和辅助Citrix ADC设备上存储证书和密钥文件。在主设备上添加SSL证书-密钥对之前,两个设备上证书和密钥文件的目录路径必须相同。
nCipher公司nShield®HSM
当与nCipher nShield®HSM集成时,在将Citrix ADC设备添加到HA时,我们是否必须记住任何特定的配置?
在两个HA节点上配置相同的nCipher设备。nCipher配置命令在HA中不同步。有关nCipher nShield®HSM的先决条件的信息,请参阅先决条件.
我们是否必须单独集成两个设备与nCipher nShield®HSM和RFS?我们需要在HA设置之前还是之后完成此操作?
您可以在HA设置之前或之后完成集成。如果在HA安装后完成集成,则在配置辅助节点之前在主节点上导入的键不会同步到辅助节点。因此,Citrix在HA设置前建议NCipher集成。
我们是否需要将密钥同时导入主和辅助Citrix ADC设备,或者从主节点到辅助节点同步密钥?
如果在两个设备上集成在两个设备上之前,请在集成过程中自动与RF自动同步。
假设HSM不在Citrix ADC设备上,而是在nCipher上,当一个节点发生故障并被替换时,密钥和证书会发生什么?
如果某个节点出现故障,您可以通过在新节点上集成nCipher将密钥和证书同步到新节点。然后执行如下命令:
Sync ha files SSL force ha Sync 如果在集成NCipher的过程中,则证书会同步并添加。
密码
什么是空密码?
没有加密的密码被称为空密码。例如,NULL-MD5是NULL-Cipher。
SSL VIP或SSL服务是否默认启用空密码?
默认为SSL VIP或SSL服务默认未启用NULL-CIPHER。
删除空密码的程序是什么?
使用实例删除SSL VIP的null - cipher:
bind ssl cipher REM NULL 使用实例删除SSL服务中的null - cipher:
bind ssl cipher REM NULL -service Citrix ADC设备支持哪些不同的密码别名?
要列出设备支持的密码别名,请在命令提示符处输入:
Sh密码<! - 需要 - >显示Citrix ADC设备的所有预定义密码的命令是什么?
要在CLI中显示Citrix ADC设备的所有预定义密码,请输入:
Show SSL cipher 显示Citrix ADC设备的单个密码的详细信息的命令是什么?
要在CLI中显示Citrix ADC设备的单个密码的详细信息,输入:
show ssl cipher 例子:
show cipher SSL3-RC4-SHA 1) cipher Name: SSL3-RC4-SHA Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1 Done 添加Citrix ADC设备的预定义密码有什么意义?
添加Citrix ADC设备的预定义密码可以将空密码添加到SSL VIP或SSL服务中。
在Citrix ADC设备上,是否可以更改密码的顺序,而不将它们从密码组中解绑定?
是的。可以更改密码的顺序,而不需要从自定义密码组中解绑定密码。但是,不能更改内置密码组中的优先级。若要更改与SSL实体绑定的密码的优先级,请先解除与虚拟服务器、服务或服务组的绑定。
注意:如果绑定到SSL实体的密码组为空,则SSL握手失败,因为没有协商的密码。密码组中必须至少包含一个密码。
ECDSA是否支持Citrix ADC Appliance?
ECDSA支持以下Citrix ADC平台。有关支持的构建版本的详细信息,请参见在Citrix ADC设备上可用的密码.
- Citrix ADC MPX和SDX设备与N3芯片
- Citrix ADC MPX 5900/8900 / 15000/26000
- Citrix ADC SDX 8900/15000
- Citrix ADC VPX电器
Citrix ADC VPX设备是否支持AES-GCM/SHA2加密?
是的,Citrix ADC VPX设备支持AES-GCM / SHA2 CIPHERS。有关支持的构建的详细信息,请参阅在Citrix ADC设备上可用的密码.
证书
客户端证书中的专有名称在用户会话期间可用吗?
是的。在用户会话期间,您可以在后续请求中访问客户端证书的专有名称。也就是说,即使在SSL握手完成之后,浏览器也不会再次发送证书。使用一个变量和一个赋值,具体如下面的示例配置:
例子:
添加ns变量v2 -type“text(100)”添加ns分配a1 -variable“$ v2”-set“client.ssl.client_cert.subject.typecast_nvlist_t('=','/')。值(”cn“)“添加重写动作Act1 Insert_http_header主题”$ v2“//示例:要在标题中插入可专有的名称添加重写重写策略pol1 true a1添加重写策略pol2 true act1 bind重写全局pol1 1 next -type res_default绑定重写全局pol2 2-type res_default设置重写param -undefaction复位<! - caltcopy - >为什么需要绑定服务器证书?
绑定服务器证书是启用SSL配置以处理SSL事务的基本要求。
要将服务器证书绑定到SSL VIP,请在CLI中键入:
bind ssl vserver -certkeyName 要将服务器证书绑定到SSL服务,请在CLI中输入:
绑定ssl service -certkeyname <! - yourcopy - > 我可以将多少证书绑定到SSL VIP或SSL服务?
在Citrix ADC VPX、MPX/SDX (N3)和MPX/SDX 14000 FIPS设备上,如果SNI禁用,可以将两个证书绑定到SSL虚拟服务器或SSL服务。证书必须为RSA和ECDSA类型。如果启用SNI,可以绑定RSA或ECDSA类型的多个服务器证书。在Citrix ADC MPX (N2)或MPX 9700 FIPS设备上,如果SNI被禁用,则只能绑定一个RSA类型的证书。如果SNI启用,则可以绑定仅RSA类型的多个服务器证书。
如果我取消绑定或覆盖服务器证书会发生什么?
解除绑定或覆盖服务器证书时,将终止使用现有证书创建的所有连接和SSL会话。当您覆盖现有证书时,将出现以下消息:
错误:警告:当前证书替换先前的绑定。<! - 需要 - >如何在Citrix ADC设备上安装中间证书并链接到服务器证书?
看文章http://support.citrix.com/article/ctx114146有关安装中级证书的信息。
当我尝试在Citrix ADC上安装证书时,为什么我获得“资源已经存在”错误?
看文章http://support.citrix.com/article/ctx117284有关解决“资源已存在”错误的说明。
我想在Citrix ADC设备上创建一个服务器证书,以测试和评估产品。创建服务器证书的过程是什么?
执行以下过程以创建测试证书。
注意:使用此过程创建的证书不能用于验证所有用户和浏览器。使用证书进行测试后,必须获取由授权的根证书颁发机构签名的服务器证书。
要创建自签名服务器证书:
要创建根CA证书,在命令行中输入:
创建SSL rsakey /nsconfig/ SSL /test-ca。Key 1024 create SSL certreq /nsconfig/ SSL /test-ca. conf . confcsr密钥文件/ nsconfig / ssl /测试ca。key根据提示输入所需信息,然后输入以下命令:create ssl cert /nsconfig/ssl/test-ca. keycer / nsconfig / ssl /测试ca。csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca. cer关键< !——NeedCopy >执行以下步骤来创建服务器证书,并使用刚才创建的根CA证书对其签名
要在CLI中创建请求和密钥,请键入:
创建SSL rsakey /nsconfig/ SSL /test-server。密钥1024 create SSL certreq /nsconfig/ SSL /test-server. properties . propertiescsr密钥文件/ nsconfig / ssl /测试服务器。关键< !——NeedCopy >在提示时输入所需的信息。
要创建一个序列号文件,在CLI中输入:
Shell # echo '01' > /nsconfig/ssl/serial.txt # exit要在CLI中创建由步骤1中创建的根CA证书签名的服务器证书,请键入:
创建SSL证书/nsconfig/ SSL /test-server。cer / nsconfig / ssl /测试服务器。csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca. cercer凝固了的/ nsconfig / ssl /测试ca。nsconfig/ssl/serial.txt要在CLI中创建Citrix ADC cert-key对(内存中对象,用于保存用于SSL握手和批量加密的服务器证书信息),输入:
添加SSL certkey test-certkey -cert /nsconfig/ SSL /test-server。cer关键/ nsconfig / ssl /测试服务器。关键< !——NeedCopy >要将cert-key对绑定到SSL虚拟服务器,在命令行中输入:
bind ssl vserver-certkeyName
我收到了一个安装了NetScaler 9.0版本软件的Citrix ADC设备。我注意到设备上有一个额外的许可文件。从NetScaler软件9.0版开始的许可政策有什么变化吗?
是的。从Citrix NetScaler软件版本9.0开始,设备可能没有单一许可证文件。许可证文件的数量取决于Citrix ADC软件版本版本。例如,如果已安装Advanced Edition,则可能需要额外的许可证文件以获得各种功能的完整功能。但是,如果已安装Premium Edition,则设备只有一个许可证文件。
如何从Internet信息服务(IIS)导出证书?
有很多方法,但是通过下面的方法可以导出适合网站的证书和私钥。此步骤必须在实际的IIS服务器上执行。
打开Internet信息服务(IIS)管理器管理工具。
展开“网站”节点,并找到要通过Citrix ADC设备服务的SSL的网站。
右键单击此网站,然后单击“属性”。
单击“目录安全性”选项卡,并在窗口的“安全通信”部分中选择“查看证书”框。
单击Details选项卡,然后单击Copy to File。
在“欢迎使用证书导出向导”页面上,单击“下一步”。
选择Yes,导出私钥,然后单击Next。
注意:必须导出私钥以用于SSL卸载以在Citrix ADC上工作。
确保选中个人信息交换-PKCS #12单选按钮,然后选择只要“如果可能,请将所有证书包含在证书路径中”复选框。单击Next。
输入密码并单击Next。
输入文件名和位置,然后单击Next。给文件的扩展名。pfx。
单击Finish。
如何转换PKCS#12证书并将其安装在Citrix ADC上?
将导出的. pfx证书文件移动到可以将其复制到Citrix ADC设备的位置。也就是允许SSH访问Citrix ADC设备的管理接口的机器。使用安全复制实用程序(如SCP)将证书复制到设备。
访问BSD shell并将证书(例如,cert.pfx)转换为.pem格式:
root @ ns#openssl pkcs12 -in cert.pfx -out cert.pem <! - caltcopy - >要确保转换的证书是正确的x509格式,请检查以下命令是否产生错误:
root@ns# openssl x509 -in cert.PEM -text验证证书文件是否包含私钥。首先发出以下命令:
root@ns# cat cert.PEM验证输出文件是否包含RSA PRIVATE KEY部分。-----BEGIN RSA PRIVATE KEY----- Mkm^s9KMs9023pz/s…-----结束rsa私钥-----下面是RSA私钥部分的另一个例子:
包属性1.3.6.1.4.1.311.17.2:<没有值> localKeyID: 01 00 00 00微软CSP名称:微软RSA SChannel加密提供者friendlyName: 4 b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e - 6183 4 - d45 - 886 - e - 6 - e067297b38f关键属性X509v3关键用法:10——开始RSA私钥Proc-Type: 4,加密DEK-Info:43岁的DES-EDE3-CBC e7aca5f4423968 pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ + Rg…(更多随机字符)v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh 5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg== -----END RSA PRIVATE KEY-----下面是服务器证书部分:
BAG属性localKeyID:01 00 00 00友好名称:AG证书主题= / C = AU / ST = NSW / L = WanniSSA / O = Dave Mother AsiaPacific / OU = Support / Cn = Davemother.Food.Lan issuer = / DC = LAN/ DC =食品/ CN =热狗----- BEGIN CERTIFICATE ----- MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK ...(更多的随机字符)5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV / MY2ovQyQZM8gGe3 + lGFum0VHbv / Y / gB9HhFesog = ----- END CERTIFICATE ----- <! - 需要 - >以下是中间CA证书部分:
subject=/DC=lan/DC=food/CN=hotdog issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8…(更多随机字符)Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/ iosgnhup5w6ddi9pqqffadk = -----END CERTIFICATE----- 根据导出证书的认证路径,可以遵循进一步的中间CA证书。
在文本编辑器中打开.PEM文件
找到.PEM文件的第一行和下面一行的第一个实例,并复制这两行和它们之间的所有行:
-----END CERTIFICATE-----注意:请确保复制的最后一行是. pem文件中的第一行-----END CERTIFICATE-----。<! - 需要 - >将复制的行粘贴到一个新文件中。用一些直观的方法调用新文件,例如cert-key.pem。此证书密钥对用于承载HTTPS服务的服务器。此文件必须包含上面示例中标记为RSA PRIVATE KEY的部分和标记为SERVER CERTIFICATE的部分。
注意:证书密钥对文件包含私钥,必须保持安全。
找到任何以——BEGIN CERTIFICATE开始、以-END CERTIFICATE结束的后续部分,并将每个这样的部分复制到一个单独的新文件中。
这些部分对应于包含在证书路径中的受信任ca的证书。必须将这些部分复制并粘贴到这些证书的新的单独文件中。例如,前面示例中的INTERMEDIATE CA CERTIFICATE部分必须复制并粘贴到一个新文件中)。
对于原始文件中的多个中间CA证书,按照它们在文件中出现的顺序为每个中间CA证书创建文件。跟踪(使用适当的文件名)证书出现的顺序,因为在后面的步骤中它们必须以正确的顺序链接在一起。
将证书键文件(Cert-key.pem)和任何其他CA证书文件复制到Citrix ADC设备上的/ nsconfig / ssl目录中。
退出BSD shell并进入Citrix ADC提示符。
密钥/证书上传至设备后,按照“在设备上安装证书-密钥文件”的步骤进行安装。
如何转换PKCS#7证书并将其安装在Citrix ADC设备上?
您可以使用OpenSSL将PKCS #7证书转换为Citrix ADC设备可识别的格式。这个过程与PKCS #12证书的过程相同,只是使用不同的参数调用OpenSSL。转换PKCS #7证书的步骤如下:
使用安全的副本实用程序(如SCP)将证书复制到设备。
将证书(例如,CERT.P7B)转换为PEM格式:
openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem按照PKCS#12证书的答案中所述,按照步骤3到7。注意:在将转换后的PKCS#7证书加载到设备之前,请验证它是否包含私钥,完全如PKCS#12过程中的步骤3中所述。PKCS#7证书,特别是从IIS导出的证书通常不包含私钥。
当我使用bind cipher命令将密码绑定到虚拟服务器或服务时,我看到错误消息“command deprecated”。
将密码绑定到虚拟服务器或服务的命令发生了变化。
使用绑定SSL vserver 命令,绑定SSL加密到SSL虚拟服务器。
使用绑定ssl服务命令,绑定SSL密码到SSL服务。
注意:新密码和密码组被添加到现有列表中,但不被替换。
为什么我不能使用Add Cipher命令创建密码组并将CIPHER绑定到它?
“添加密码命令”功能已在版本10中更改。命令只会创建一个密码组。要将CIPERS添加到组,请使用bind cipher命令。
openssl.
如何使用OpenSSL在PEM和DER之间转换证书?
要使用OpenSSL,您必须安装了OpenSSL软件,并且能够从命令行运行OpenSSL。
X509证书和RSA密钥可以以几种不同的格式存储。
两种常见格式是:
- DER(主要用于Java和Macintosh平台的二进制格式)
- PEM(一种带有页眉和页脚信息的DER的base64表示,主要用于UNIX和Linux平台)。
除了根证书和任何中间证书之外,密钥和相应的证书也可以存储在单个PKCS#12(。P12, .PFX)文件。
程序
使用openssl.命令在格式之间转换如下:
要将证书从PEM转换为Der:
x509——输入。crt -inform PEM输出。crt -outform DER要将证书转换为PEM:
x509-in input.crt -inform der -out output.crt -outform pem <! - caltcopy - >要将PEM转换为Der:
RSA -IN INPUT.KEY-INFORM PEM -OUT OUTPUT.KEY -OUTFORF DER <! - CALLCOPY - >要将键转换为PEM:
rsa——输入。key -inform DER输出。key -outform PEM注意:如果您正在导入的密钥使用支持的对称密码进行加密,则会提示您输入密码短语。
注意:要将钥匙转换为或从过时网(Netscape Server)格式,请替换PEM或PER的替换。存储的密钥以弱的冗长的RC4对称密码加密,因此请求通行证短语。空白通行证是可以接受的。
系统限制
哪些是需要记住的重要数字?
创建证书请求:
- 请求文件名:最多63个字符
- 密钥文件名:不超过63个字符
- PEM密码(用于加密密钥):最大长度为31个字符
- 普通名称:不超过63个字符
- 城市:最多127个字符
- 组织名称:最多63个字符
- 州/省名称:不超过63个字符
- 电子邮件地址:最大39个字符
- 组织单位:最多63个字符
- 挑战密码:最多20个字符
- 公司名称:最多127个字符
创建证书:
- 证书文件名:不超过63个字符
- 证书请求文件名:最大63个字符
- 密钥文件名:不超过63个字符
- PEM密码:最大31个字符
- 有效期:最大3650天
- CA证书文件名:最多63个字符
- CA密钥文件名:不超过63个字符
- PEM密码:最大31个字符
- CA序列号文件:最多63个字符
创建并安装服务器测试证书:
- 证书文件名:最大长度为31个字符
- 完全限定域名:最多63个字符
- 创建Diffie-Hellman密钥:
- DH文件名(带路径):最多63个字符
- DH参数大小:最大2048位
导入PKCS12密钥:
- 输出文件名:最大63个字符
- PKCS12文件名:最多63个字符
- 导入密码:不超过31个字符
- PEM密码:最大31个字符
- 验证PEM Passphrase:最多31个字符
- 出口PKCS12
- PKCS12文件名:最多63个字符
- 证书文件名:不超过63个字符
- 密钥文件名:不超过63个字符
- 导出密码:最大31个字符
- PEM密码:最大31个字符
- CRL管理:
- CA证书文件名:最多63个字符
- CA密钥文件名:不超过63个字符
- CA密钥文件密码:最大长度为31个字符
- 索引文件名:最大63个字符
- 证书文件名:不超过63个字符
- 创建RSA密钥:
- 密钥文件名:不超过63个字符
- 密钥大小:最大4096位
- PEM密码:最大31个字符
- 验证密码:最大31个字符
- 更改高级SSL设置:
- CRL最大内存大小:最大1024mb
- 加密触发超时(10ms ticks):最大200
- 加密触发数据包计数:最多50个
- OCSP缓存大小:最大512 MB
- 安装证书:
- 证书密钥对名称:最大长度为31个字符
- 证书文件名:不超过63个字符
- 私钥文件名:最多63个字符
- 密码:最大31个字符
- 通知周期:最大100个
- 创建密码组:
- 密码组名:最大39个字符
- 创建CRL:
- CRL名称:最大长度为31个字符
- CRL文件:最大长度为63个字符
- URL:最大127个字符
- 基础DN:最多127个字符
- 绑定DN:最大127个字符
- 密码:最大31个字符
- 天:最高31
- 创建SSL策略:
- 名称:最多127个字符
- 创建SSL操作:
- 名称:最多127个字符
- 创建OCSP响应者:
- 名称:最多32个字符
- URL:最大128个字符
- 批处理:最大8
- 批处理延迟:最大10000
- 产生时间歪斜:最大86400
- 请求超时:Mainimum120000
- 创建虚拟服务器:
- 名称:最多127个字符
- 重定向URL:最大127个字符
- 客户超时:最多31536000秒
- 创建服务:
- 名称:最多127个字符
- 闲置超时(SEC):客户:最多31536000服务器:最多31536000
- 创建服务群体:
- 服务组名称:最大127个字符
- 服务器ID:最大4294967295
- 空闲超时(秒):Client:最大值31536000 Server:最大值31536000
- 创建监控:
- 名称:最多31个字符
- 创建服务器:
- 服务器名称:最大127个字符
- 域名:最多255个字符
- 解析重试:最大20939秒