SSL常见问题解答

基本问题

对VPX实例的HTTPS访问GUI失败。我如何获得访问权限

对GUI的HTTPS访问需要证书密钥对。在Citrix ADC设备上,证书密钥对会自动绑定到内部服务。在MPX或对有关设备上,默认密钥大小为1024字节,在VPX实例上,默认密钥大小为512字节。但是，现今的大多数浏览器都不接受小于 1024 字节的密钥。因此,通过HTTPS访问VPX配置实用程序将被阻止。

Citrix建议您安装至少1024个字节的证书密钥对,然后将其绑定到内部服务,以便对配置实用程序进行HTTPS访问。或者，将ns-server-certificate更新为 1024 个字节。您可以使用HTTP访问配置实用程序或CLI来安装证书。

如果我向MPX设备添加许可证,证书密钥对绑定将丢失。我该如何解决这个问题

如果MPX设备启动时不存在许可证,并且稍后添加许可证并重新启动设备,则可能会丢失证书绑定。重新安装证书并将其绑定到内部服务

Citrix建议您在启动设备之前安装适当的许可证。

为SSL交易设置安全渠道涉及哪些步骤

为SSL交易设置安全渠道涉及以下步骤:

1. 客户端向服务器发送安全通道的HTTPS请求。

2. 选择协议和密码后，服务器将其证书发送给客户端。

3. 客户端检查服务器证书的真实性。

4. 如果任何检查失败，客户端将显示相应的反馈。

5. 如果支票通过或者客户决定在检查失败的情况下继续，客户端将创建一个临时的一次性密钥。此密钥称为预主密钥，客户端使用服务器证书的公钥对此密钥进行加密。

6. 服务器在收到预主密钥后，使用服务器的私钥对其进行解密并生成会话密钥。客户端还从预主机密钥生成会话密钥。因此，客户端和服务器现在都有一个共同的会话密钥，用于加密和解密应用程序数据。

我明白SSL是一个CPU密集型过程。与SSL进程相关的CPU成本是多少

以下两个阶段与SSL过程相关联:

• 使用公钥和私钥技术进行初始握手和安全渠道设置。

• 使用对称密钥技术批量数据加密。

上述两个阶段都可能会影响服务器性能,并且出于以下原因,它们需要大量的CPU处理:

1. 最初的握手涉及公私密钥密码学,由于密钥大小(1024位,2048位,4096位),这是非常耗费CPU的密集型。

2. 数据的加密/解密也在计算上昂贵，这取决于必须加密或解密的数据量。

SSL配置的各种实体有哪些

SSL配置具有以下实体:

• 服务器证书
• 证书颁发机构(CA)证书
• 密码套件，它为以下任务指定协议：
  • 初始密钥交换
  • 服务器和客户端验证
  • 批量加密算法
  • 消息验证
• 客户端身份验证
• CRL
• SSL证书密钥生成工具，使您能够创建以下文件：
  • 证书请求
  • 自签名证书
  • RSA密钥
  • DH参数

我想使用Citrix ADC设备的SSL卸载功能。接收SSL证书的各种选项有哪些

必须先收到SSL证书,然后才能在Citrix ADC设备上配置SSL设置。您可以使用以下任意方法来接收SSL证书:

• 向授权证书颁发机构 （CA）请求证书。

• 使用现有的服务器证书。

• 在Citrix ADC设备上创建证书密钥对。

注意：此证书是由Citrix ADC设备生成的测试根ca签名的测试证书。浏览器不接受测试根ca签署的测试证书。浏览器抛出警告消息，指出无法对服务器的证书进行身份验证。

• 出于测试目的以外的任何目的,必须提供有效的CA证书和CA密钥才能对服务器证书进行签名。

SSL设置的最低要求是什么

配置SSL设置的最低要求如下:

• 获取证书和密钥。
• 创建负载平衡SSL虚拟服务器。
• 将HTTP或SSL服务绑定到SSL虚拟服务器。
• 将证书密钥对绑定到SSL虚拟服务器。

SSL的各个组件有什么限制

SSL组件有以下限制:

• SSL证书的位大小:4096。
• SSL证书的数量:取决于设备上的可用内存。
• 最多链接的中间CA SSL证书:每个链9个。
• CRL吊销:取决于设备上的可用内存。

Citrix ADC设备上的端到端数据加密涉及哪些步骤

Citrix ADC设备上的服务器端加密过程涉及的步骤如下:

1. 客户端连接到安全站点的Citrix ADC设备上配置的SSL贵宾。

2. 收到安全请求后，设备会解密请求并应用第 4-7 层内容交换技术和负载平衡策略。然后,它为请求选择最佳可用的后端Web服务器。

3. Citrix ADC设备与所选服务器创建SSL会话。

4. 建立SSL会话后,设备会加密客户端请求并使用安全SSL会话将其发送到Web服务器。

5. 当设备收到来自服务器的加密响应时，它会解密并重新加密数据。然后,它使用客户端SSL会话将数据发送到客户端。

Citrix ADC设备的多路复用技术使设备能够重复使用与Web服务器建立的SSL会话。因此,设备避免了CPU密集型密钥交换(称为完全握手）。此过程减少了服务器上SSL会话的总数,并保持端到端的安全性。

证书和密钥

我可以将证书和密钥文件放在任何位置吗？有没有建议存储这些文件的位置

您可以将证书和密钥文件存储在Citrix ADC设备或本地计算机上。但是,Citrix建议您将证书和密钥文件存储在Citrix ADC设备的/ nsconfig / ssl目录中。/等目录存在于Citrix ADC设备的闪存中。此操作提供了可移植性，并有助于备份和恢复设备上的证书文件。

注意：确保证书和密钥文件存储在同一目录中。

Citrix ADC设备支持的证书密钥的最大大小是多少

运行9.0版之前的软件版本的Citrix ADC设备支持最大证书密钥大小为2048位.9.0及更高版本支持最大证书密钥大小为4096位。此限制适用于RSA证书。

MPX设备支持从512位到以下大小的证书:

• 虚拟服务器上的 4096 位服务器证书

• 服务上的 4096 位客户端证书

• 4096位CA证书(包括中间证书和根证书)

• 后端服务器上的 4096 位证书

• 4096 位客户端证书（如果在虚拟服务器上启用了客户端身份验证）

虚拟设备支持从 512 位到以下大小的证书：

• 虚拟服务器上的 4096 位服务器证书

• 服务上的 4096 位客户端证书

• 4096位CA证书(包括中间证书和根证书)

• 12.0 -56年。x版的后端服务器上的4096位证书。较旧版本支持 2048 位证书。

• 12.0 -56年。x版中的2048位客户端证书(如果虚拟服务器上启用了客户端身份验证)。

Citrix ADC设备支持的DH参数的最大大小是多少

Citrix ADC设备支持最多2048位的DH参数。

Citrix ADC设备支持的最大证书链长度是多少,也就是链中证书的最大数量

在发送服务器证书消息时,Citrix ADC设备最多可以在链中发送10个证书。最大长度的链包括服务器证书和九个中间CA证书。

Citrix ADC设备支持哪些证书和密钥格式

Citrix ADC设备支持以下证书和密钥格式:

• 隐私增强邮件(PEM)
• 区分编码规则(DER)

我可以在Citrix ADC设备上安装的证书和密钥的数量是否有限制

不。可安装的证书和密钥的数量仅受 Citrix ADC设备上的可用内存的限制。

我已将证书和密钥文件保存在本地计算机上。我想使用FTP协议将这些文件传输到Citrix ADC设备。将这些文件传输到Citrix ADC设备是否有任何首选模式

是。如果使用FTP协议,则必须使用二进制模式将证书和密钥文件传输到Citrix ADC设备。

注意：默认情况下,FTP处于禁用状态。Citrix 建议使用 SCP 协议传输证书和密钥文件。配置实用程序隐式使用 SCP 连接到设备。

证书和密钥的默认目录路径是什么

证书和密钥的默认目录路径是nsconfig / ssl。

添加证书和密钥对时，如果我没有指定证书和密钥文件的绝对路径，会发生什么情况

添加证书密钥对时，请指定证书和密钥文件的绝对路径。如果不指定,ADC设备将搜索这些文件的默认目录,然后尝试将它们加载到内核。默认目录是/ nsconfig / ssl。例如，如果设备的/ nsconfig / ssl目录中有cert1024。pem和rsa1024。pem文件,则以下两个命令都成功:

添加ssl certKey cert1 -cert cert1204。pem关键rsa1024。pem < !——NeedCopy >

add ssl certKey cert1 -cert /nsconfig/ssl/cert1204。pem关键/ nsconfig / ssl / rsa1024。pem < !——NeedCopy >

我已经配置了高可用性设置。我想在安装程序中实现SSL功能。在高可用性设置中，我必须如何处理证书和密钥文件

在高可用性设置中,必须将证书和密钥文件存储在主Citrix ADC设备和辅助Citrix ADC设备上。在主设备上添加SSL证书密钥对之前,两台设备上的证书和密钥文件的目录路径必须相同。

nCipher公司nShield®HSM

与nCipher公司nShield®HSM集成时,在将Citrix ADC设备添加到HA时,我们是否必须记住任何特定配置

在HA中的两个节点上配置相同的NCipHher设备。不同步HA中的nCipHher配置命令。有关nCipHER公司nShield®HSM的先决条件的信息,请参阅先决条件。

我们是否必须将这两个设备单独集成到nCipher公司nShield®HSM和RFS吗?我们是否需要在HA设置之前还是之后完成此操作

您可以在HA设置之前或之后完成集成。如果集成是在HA设置之后完成的,则在配置辅助节点之前在主节点上导入的密钥不会同步到辅助节点。因此,Citrix建议在HA设置之前进行NCipHER公司集成。

我们是否需要将密钥导入主要和辅助Citrix ADC设备中,还是将密钥从主节点同步到辅助节点

如果在形成公顷之前在两台设备上集成了nCipHher,则在集成过程中,这些密钥将自动从RFS同步。

鉴于HSM不在Citrix ADC设备上,而是在NCiPHER公司上,那么当节点出现故障并被替换时,密钥和证书会发生什么情况

如果节点出现故障,您可以通过在新节点上集成nciPher公司将密钥和证书同步到新节点。然后，运行以下命令：

Sync ha files SSL force ha Sync 

如果在集成nCipher公司的过程中同步了密钥,则会同步并添加证书。

密码

什么是空密码

没有加密的密码被称为空密码。例如,NULL-MD5是一种空密码器。

默认情况下是否为SSL VIP或SSL服务启用空密码

不。默认情况下,SSL VIP或SSL服务不启用空密码。

删除空密码的程序是什么

要从 SSL VIP中删除空密码，请运行以下命令：

bind ssl cipher  REM NULL 

要从SSL服务中删除空密码器,请运行以下命令:

bind ssl cipher  REM NULL -service 

Citrix ADC设备支持哪些密码别名

要列出设备支持的密码别名，请在命令提示符处键入：

sh密码< !——NeedCopy >

显示Citrix ADC设备的所有预定义密码的命令是什么

要显示 Citrix ADC设备的所有预定义密码，请在 CLI上键入：

Show SSL cipher 

显示Citrix ADC设备单个密码器详细信息的命令是什么

要显示Citrix ADC设备的单个密码的详细信息,请在CLI中键入:

show ssl cipher  

示例：

显示密码SSL3-RC4-SHA 1）密码名称：SSL3-RC4-SHA说明：SSLv3 Kx=RSA Au=RSA Enc=RC4（128）Mac=SHA1完成--需要复制-->

添加Citrix ADC设备的预定义密码有什么意义

添加Citrix ADC设备的预定义密码将导致空密码被添加到SSL VIP或SSL服务中。

是否可以在不将密码与Citrix ADC设备上的密码组解除绑定的情况下更改密码器的顺序

是。可以在不从自定义密码组中解开密码器绑定的情况下更改密码的顺序。但是，您无法更改内置密码组中的优先级。要更改绑定到SSL实体的密码的优先级,请首先将密码与虚拟服务器,服务或服务组解除绑定。

注意：如果绑定到SSL实体的密码组为空,则SSL握手将失败,因为没有协商密码。密码组必须至少包含一个密码器。

Citrix ADC设备是否支持ECDSA

以下Citrix ADC平台支持ECDSA。有关受支持的版本的详细信息，请参阅Citrix ADC设备上提供的密码中的表 1 和表 2。

• 具有N3芯片的Citrix ADC MPX和有关设备
• Citrix ADC MPX 5900/8900/15000/26000
• Citrix ADC SDX 8900/15000
• Citrix ADC VPX设备

Citrix ADC VPX设备是否在前端支持AES-GCM用户/ SHA2密码

是的,Citrix ADC VPX设备支持AES-GCM用户/ SHA2密码。有关受支持的内部版本的详细信息，请参阅Citrix ADC设备上提供的密码。

证书

客户端证书中的判别名称是否可用于用户会话的长度

是。在用户会话期间，您可以在后续请求中访问客户端证书的可分辨名称。也就是说,即使在SSL握手完成且浏览器不会再次发送证书之后。使用以下示例配置中详细说明的变量和分配：

示例：

add ns variable v2 -type "text(100)" add ns assign a1 -variable "$v2" -set "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('='，'/').VALUE("CN")" add rewrite action act1 insert_http_header subject "$v2" //示例:添加重写策略pol1 true a1添加重写策略pol2 true act1 bind重写全局pol1 1 next -type RES_DEFAULT bind重写全局pol2 2 next -type RES_DEFAULT set重写参数-undefAction RESET 

为什么我需要绑定服务器证书

绑定服务器证书是启用SSL配置以处理SSL事务的基本要求。

要将服务器证书绑定到SSL贵宾,请在CLI上键入:

bind ssl vserver  -certkeyName  

要将服务器证书绑定到SSL服务,请在CLI上键入:

bind ssl service  -certkeyName  

我可以将多少证书绑定到SSL VIP或SSL服务

在Citrix ADC VPX MPX /有关(N3)和MPX /有关14000 FIPS设备上,如果禁用SNI,则可以将两个证书绑定到SSL虚拟服务器或SSL服务。证书必须是RSA和ECDSA类型的各一个证书。如果启用SNI,则可以绑定多个类型为RSA或ECDSA的服务器证书。在Citrix ADC MPX (N2)或9700年MPX FIPS设备上,如果禁用SNI,则只能绑定一个RSA类型的证书。如果启用SNI,则只能绑定RSA类型的多个服务器证书。

如果我解除绑定或覆盖服务器证书会发生什么情况

解除绑定或覆盖服务器证书时，使用现有证书创建的所有连接和 SSL会话都将终止。覆盖现有证书时，将显示以下消息：

错误:警告:当前证书替换了以前的绑定。<！——NeedCopy >

如何在Citrix ADC设备上安装中间证书并链接到服务器证书

有关安装中间证书的信息，请参阅http://support.citrix.com/article/ctx114146上的文章。

当我尝试在Citrix ADC上安装证书时,为什么出现“资源已存在“错误

有关解决”资源已存在“错误的说明,请参阅http://support.citrix.com/article/CTX117284上的文章。

我想在Citrix ADC设备上创建服务器证书来测试和评估产品。创建服务器证书的过程是什么

执行以下步骤创建测试证书。

注意：使用此过程创建的证书不能用于对所有用户和浏览器进行身份验证。使用证书进行测试后，必须获得由授权的根证书颁发机构签名的服务器证书。

要创建自签名服务器证书：

1. 要创建根CA证书,请在CLI上键入:

   创建SSL rsakey /nsconfig/ SSL /test-ca。Key 1024 create SSL certreq /nsconfig/ SSL /test-ca. conf . confcsr密钥文件/ nsconfig / ssl /测试ca。key根据提示输入所需信息，然后输入以下命令:create ssl cert /nsconfig/ssl/test-ca. keycer / nsconfig / ssl /测试ca。csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca. cer关键< !——NeedCopy >

2. 执行以下过程创建服务器证书并使用刚创建的根CA证书对其进行签名

   1. 要创建请求和密钥,请在CLI上键入:

      创建SSL rsakey /nsconfig/ SSL /test-server。密钥1024 create SSL certreq /nsconfig/ SSL /test-server. properties . propertiescsr密钥文件/ nsconfig / ssl /测试服务器。关键< !——NeedCopy >

   2. 出现提示时输入所需信息。

   3. 要创建序列号文件,请在CLI中键入:

      Shell # echo '01' > /nsconfig/ssl/serial.txt # exit 

   4. 要创建由在步骤1中创建的根CA证书签名的服务器证书,请在CLI中键入:

      创建SSL证书/nsconfig/ SSL /test-server。cer / nsconfig / ssl /测试服务器。csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca. cercer凝固了的/ nsconfig / ssl /测试ca。nsconfig/ssl/serial.txt 

   5. 要创建Citrix ADC证书密钥对(保存SSL握手和批量加密的服务器证书信息的内存中对象),请在CLI上键入:

      添加SSL certkey test-certkey -cert /nsconfig/ SSL /test-server。cer关键/ nsconfig / ssl /测试服务器。关键< !——NeedCopy >

   6. 要将证书密钥对绑定到SSL虚拟服务器,请在CLI上键入:

      bind ssl vserver  -certkeyName  

我收到了安装了NetScaler软件版本9.0的Citrix ADC设备。我注意到设备上有额外的许可证文件。从NetScaler软件9.0版开始,许可策略有什么变化吗

是。从Citrix NetScaler软件版本9.0开始,设备可能没有单个许可证文件。许可证文件的数量取决于Citrix ADC软件发行版。例如，如果您安装了高级版，则可能需要额外的许可证文件才能实现各种功能的全部功能。但是，如果您安装了高级版，则设备只有一个许可证文件。

如何从互联网信息服务(IIS)导出证书

有很多方法，但是通过使用以下方法导出适当的网站证书和私钥。必须在实际的IIS服务器上执行此过程。

1. 打开互联网信息服务(IIS)管理器管理工具。

2. 展开网站节点并找到要通过Citrix ADC设备提供服务的支持SSL的网站。

3. 右键单击此网站然后单击属性。

4. 单击目录安全选项卡，然后在窗口的安全通信部分中，选择查看证书框。

5. 单击详细信息选项卡，然后单击复制到文件。

6. 在欢迎使用证书导出向导页面上，单击下一步。

7. 选择是，导出私钥，然后单击下一步。

   注意：必须导出私钥才能进行SSL卸载才能在Citrix ADC上工作。

8. 确保选中了“个人信息交换pkcs # 12”单选按钮,然后只选中“如果可能的话将所有证书包括在认证路径中“复选框。单击下一步。

9. 输入密码然后单击”下一步”。

10. 输入文件名和位置,然后单击”下一步”。为文件赋予.PFX的扩展名。

11. 单击完成。

如何转换pkcs# 12证书并将其安装在Citrix ADC上

1. 将导出的.PFX证书文件移动到可以将其复制到Citrix ADC设备的位置。也就是说,适用于允许SSH访问Citrix ADC设备管理界面的计算机。使用SCP之类的安全复制实用程序将证书复制到设备。

2. 访问BSD层并将证书(例如Cert.pfx)转换为.PEM格式:

   root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM 

3. 要确保转换后的证书采用正确的x509格式,请验证以下命令不产生错误:

   root@ns# openssl x509 -in cert.PEM -text 

4. 验证证书文件是否包含私钥。首先发出以下命令：

   root@ns# cat cert.PEM验证输出文件是否包含RSA PRIVATE KEY部分。-----BEGIN RSA PRIVATE KEY----- Mkm^s9KMs9023pz/s…-----结束rsa私钥----- 

   以下是RSA私钥部分的另一个示例:

   包属性1.3.6.1.4.1.311.17.2:<没有值> localKeyID: 01 00 00 00微软CSP名称:微软RSA SChannel加密提供者friendlyName: 4 b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e - 6183 4 - d45 - 886 - e - 6 - e067297b38f关键属性X509v3关键用法:10——开始RSA私钥Proc-Type: 4,加密DEK-Info:43岁的DES-EDE3-CBC e7aca5f4423968 pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ + Rg…(更多随机字符)v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh 5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg== -----END RSA PRIVATE KEY----- 

   以下是服务器证书部分：

   包属性localKeyID: 01 00 00 00 friendlyName: AG证书主题=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother asiapasia /OU=Support/CN= davemomother .food。lan issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK…(更多随机字符)5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/ MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog= -----END CERTIFICATE----- 

   以下是中级CA证书部分:

    subject=/DC=lan/DC=food/CN=hotdog issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8…(更多随机字符)Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/ iosgnhup5w6ddi9pqqffadk = -----END CERTIFICATE----- 

   根据导出证书的认证路径,可能会跟随其他中间CA证书。

5. 在文本编辑器中打开.PEM文件

6. 找到.PEM文件的第一行和以下行的第一个实例,然后复制这两行以及它们之间的所有行:

   -----END CERTIFICATE-----注意:请确保复制的最后一行是. pem文件中的第一行-----END CERTIFICATE-----。<！——NeedCopy >

7. 将复制的行粘贴到新文件中。将新文件称为直观的东西,例如cert-key.pem。此证书密钥对适用于托管HTTPS服务的服务器。此文件必须同时包含前面的示例中标记为RSA私钥的部分和标记为服务器信誉的部分。

   注意：证书密钥对文件包含私钥，必须保持安全。

8. 找到以开始CEND CEND——开头并以端CEND CEND——结尾的任何后续部分,然后将每个此类部分复制到单独的新文

   这些部分对应于已包含在认证路径中的受信任CA的证书。必须将这些部分复制并粘贴到这些证书的新单个文件中。例如,必须将前面示例的中间CA证书部分复制并粘贴到新文件中)。

   对于原始文件中的多个中间CA证书,请按文件中显示的顺序为每个中间CA证书创建文件。跟踪（使用适当的文件名）证书的出现顺序，因为它们必须在后面的步骤中以正确的顺序链接在一起。

9. 将证书密钥文件(cert-key.pem)和任何其他CA证书文件复制到Citrix ADC设备上的/ nsconfig / ssl目录中。

10. 退出BSD外壳并访问Citrix ADC提示符。

11. 按照”在设备上安装证书密钥文件”中的步骤,在设备上传后安装密钥/证书。

如何转换PKCS # 7证书并将其安装在Citrix ADC设备上

您可以使用OpenSSL将PKCS # 7证书转换为Citrix ADC设备可识别的格式。该过程与PKCS # 12证书的过程相同,只是您使用不同的参数调用OpenSSL。转换PKCS # 7证书的步骤如下:

1. 使用安全复制实用程序(例如SCP)将证书复制到设备。

2. 将证书(例如,cert.P7B)转换为PEM格式:

   openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem 

3. 按照pkcs# 12证书答案中所述的步骤3到7进行操作。注意:在将转换后的PKCS # 7证书加载到设备之前,请验证证书是否包含私钥,完全如pkcs# 12过程的步骤3所述。PKCS # 7证书,特别是从IIS导出的证书,通常不包含私钥。

当我使用绑定密码命令将密码器绑定到虚拟服务器或服务时,我会看到错误消息”命令已弃用。”

将密码绑定到虚拟服务器或服务的命令已更改。

使用绑定SSL vserver -ciphername 命令将SSL密码绑定到SSL虚拟服务器。

使用绑定ssl服务 -ciphername 命令将SSL密码绑定到SSL服务。

注意：新的密码和密码组将添加到现有列表中，而不是替换。

为什么我不能创建一个密码组并使用添加密码命令将密码绑定到它

在版本10中,添加密码命令功能已更改。该命令只创建一个密码组。要向组中添加密码,请使用绑定密码命令。

OpenSSL

如何使用OpenSSL在PEM和DER之间转换证书

要使用OpenSSL,你必须有OpenSSL软件的正常安装程序,并能够从命令行运行OpenSSL。

x509证书和RSA密钥可以以多种不同的格式存储。

两种常见的格式是：

• DER(主要由Java和Macintosh平台使用的二进制格式)
• PEM(带有页眉和页脚信息的DER base64表示形式,主要由UNIX和Linux平台使用)。

除了根证书和任何中间证书外,密钥和相应的证书也可以存储在单个PKCS # 12(。P12, .PFX)文件中。

过程

使用OpenSSL命令在格式之间进行转换，如下所示：

1. 要将证书从PEM转换为DER:

   x509——输入。crt -inform PEM输出。crt -outform DER 

2. 要将证书从 德转换为 PEM：

   x509——输入。通知DER输出。crt -outform PEM 

3. 要将密钥从PEM转换为DER:

   rsa——输入。key -inform PEM输出。key -outform DER 

4. 要将密钥从DER转换为PEM:

   rsa-in input.key-INFORT DER-out output.key-OUFORM PEM<--需要复制-->

   注意：如果您要导入的密钥是使用支持的对称密码加密的，系统会提示您输入密码短语。

   注意：要将密钥转换为过时的净(网景服务器)格式或从中转换密钥,请根据需要将净替换PEM或火线。存储的密钥使用弱的无盐RC4对称密码进行加密,因此请求密码短语。空白的密码短语是可以接受的。

系统限制

要记住的重要数字是什么

1. 创建证书请求：

   • 请求文件名：最多 63 个字符
   • 密钥文件名：最多 63 个字符
   • PEM密码短语(对于加密密钥):最多31个字符
   • 通用名称：最多 63 个字符
   • 城市：最多 127 个字符
   • 组织名称：最多 63 个字符
   • 州/省名称：最多 63 个字符
   • 电子邮件地址：最多 39 个字符
   • 组织单位：最多 63 个字符
   • 挑战密码：最多 20 个字符
   • 公司名称：最多 127 个字符

2. 创建证书：

   • 证书文件名：最多 63 个字符
   • 证书请求文件名：最多 63 个字符
   • 密钥文件名：最多 63 个字符
   • PEM密码短语:最多31个字符
   • 有效期：最长 3650 天
   • CA证书文件名:最多63个字符
   • CA密钥文件名:最多63个字符
   • PEM密码短语:最多31个字符
   • CA序列号文件:最多63个字符

3. 创建并安装服务器测试证书：

   • 证书文件名：最多 31 个字符
   • 完全限定域名：最多 63 个字符
4. 创建diffie - hellman (DH)密钥:
   • DH文件名(带路径):最多63个字符
   • DH参数大小:最大2048位

5. 导入PKCS12密钥:

   • 输出文件名：最多 63 个字符
   • PKCS12文件名:最多63个字符
   • 导入密码：最多 31 个字符
   • PEM密码短语:最多31个字符
   • 验证PEM密码短语:最多31个字符
6. 导出PKCS12
   • PKCS12文件名:最多63个字符
   • 证书文件名：最多 63 个字符
   • 密钥文件名：最多 63 个字符
   • 导出密码：最多 31 个字符
   • PEM密码短语:最多31个字符
7. CRL管理:
   • CA证书文件名:最多63个字符
   • CA密钥文件名:最多63个字符
   • CA密钥文件密码:最多31个字符
   • 索引文件名：最多 63 个字符
   • 证书文件名：最多 63 个字符
8. 创建RSA密钥:
   • 密钥文件名：最多 63 个字符
   • 密钥大小：最大 4096 位
   • PEM密码短语:最多31个字符
   • 验证密码短语：最多 31 个字符
9. 更改高级SSL设置:
   • 最大CRL内存大小:最大1024 MB
   • 加密触发器超时（10 毫秒刻度）：最多 200 个
   • 加密触发数据包计数：最多 50
   • OCSP缓存大小:最大512 MB
10. 安装证书：
    • 证书密钥对名称：最多 31 个字符
    • 证书文件名：最多 63 个字符
    • 私钥文件名：最多 63 个字符
    • 密码：最多 31 个字符
    • 通知期限：最多 100
11. 创建密码组：
    • 密码组名称：最多 39 个字符
12. 创建CRL:
    • CRL名称:最多31个字符
    • CRL文件:最多63个字符
    • URL:最多127个字符
    • 基本DN:最多127个字符
    • 绑定DN:最多127个字符
    • 密码：最多 31 个字符
    • 天数：最多 31
13. 创建SSL策略:
    • 名称：最多 127 个字符
14. 创建SSL操作:
    • 名称：最多 127 个字符
15. 创建OCSP响应程序:
    • 名称：最多 32 个字符
    • URL:最多128个字符
    • 批处理深度：最大 8
    • 批处理延迟：最大 10000
    • 按时生产的倾斜：最大 86400
    • 请求超时：最长 120000
16. 创建虚拟服务器：
    • 名称：最多 127 个字符
    • 重定向URL:最多127个字符
    • 客户端超时：最长 31536000 秒
17. 创建服务：
    • 名称：最多 127 个字符
    • 空闲超时（秒）： 客户端：最大 31536000 服务器：最大 31536000
18. 创建服务组：
    • 服务组名称：最多 127 个字符
    • 服务器ID:最大4294967295
    • 空闲超时（秒）： 客户端：最大值 31536000 服务器：最大 31536000
19. 创建监控器：
    • 名称：最多 31 个字符
20. 创建服务器：
    • 服务器名称：最多 127 个字符
    • 域名：最多 255 个字符
    • 解决重试：最长 20939 秒