回到过程概述
二世。创建客户端证书(CC)
生成客户端证书(CC)文件使用您的新证书颁发机构(CA)的关键。
使用以下命令创建文件的客户端证书[myClientCertificate] -CC.pem
使用你的新证书颁发机构的关键。在这里,取代(myClientCertificate)
用任何你想要的名字为客户机证书。我们建议保持cc
后缀来识别这个文件的客户端证书。一个例子可能是Opto22-CC.pem
。这个文件将被分发和安装在任何客户端操作系统或浏览器需要安全地连接与你groov史诗。这是唯一的文件,应该是分布式的。
请注意,你的证书颁发机构密钥文件-CA.key
——应该保持安全,从未分布,而你要创建的客户端证书-CC.pem
,并将分布。
系统将提示您输入的密码与您的CA密钥关联中创建一步我。接下来,您将被提示设置客户端证书的详细信息。这些细节将由任何人可以安装客户端证书,所以注意输入的信息。大多数这些字段可以留空,但三个有默认值,所以我们建议填完全。下面是一些例子:
国家名称(2字母代码)(非盟):我们
州或省名称(全名)[状态]:加州
地区名称(如城市)[]:泰梅库拉
组织名称(如公司)(互联网Widgits Pty Ltd):光电子的22
组织单元名称(例如,部分)[]:信息技术服务
常见的名字(例如服务器FQDN或你的名字)[]:光电子22 CA
电子邮件地址[]:developer@opto22.com
如果你在美国,你可以找到你的分别由两个字母组成的国家的名字代码wordlatlas.com。注意,如果您没有输入一个值为该字段将默认为澳大利亚国家代码“盟”。
的州或省的名字应该全部写出来,而不是缩写(例如“华盛顿”而不是“佤邦”)。如果你不输入一个值为该字段将默认为“状态”。
的组织名称应该是你公司或反映的将使用客户端证书。如果你不输入一个值为该字段将默认为“互联网Widgits企业有限公司”。
的组织单元可以是任何你喜欢的,例如你的部门名称或留空。
的普通的名字是认证机构的名称将出现在您的操作系统或浏览器的信任列表。我们建议使用证书颁发机构的名称你选择密钥文件。它更容易识别列表中的受信任的证书颁发机构在以后的步骤。
最后,电子邮件地址应该联系客户端证书的任何问题(例如,IT部门的电子邮件地址),或者只是留空。
在命令行中,键入以下,更换(myCertificateAuthority)
与您的CA(myClientCertificate)
选择您的客户机证书名称:
openssl点播x509 -节点关键myCertificateAuthority ca。关键-sha256治疗[myClientCertificate] -CC.pem 397天
三世。客户端证书添加到您的操作系统或浏览器的信任当局的列表
窗户
- 将证书添加到窗户可信根CA列表所有浏览器可以使用它:
- 打开开始菜单,输入
运行
桌面应用程序和启动“运行”。在弹出框中输入MMC
,启动Microsoft管理控制台(MMC)。 - 点击文件,然后添加/删除管理单元,会出现一个新的弹出。
- 选择证书管理单元,然后单击添加>添加它,这将打开一个弹出。
- 选择添加计算机帐户或个人用户帐户,这取决于谁有权访问机器。如果你添加计算机帐户的管理单元你会得到另一个屏幕,你需要确认你添加它本地计算机,而不是网络上另一台计算机。
点击完成。 - 点击好吧添加管理单元。
- 双击证书管理单元在控制台根证书列表。
- 右键单击文件夹标题受信任的根证书颁发机构在结果弹出,选择所有任务选项,然后单击进口,打开证书导入向导。
- 在这个向导中选择下一个然后点击继续浏览打开一个文件浏览器。现在导航到创建证书文件文件夹并选择你
[myClientCertificate] -CC.pem
文件。
做不选择[myCertificateAuthority] -CA.key
;相反,改变上述文件过滤器开放按钮来显示所有文件(* . *)。现在选择你的[myClientCertificate] -CC.pem
文件,然后点击开放。 - 点击开放然后加载文件下一个继续在向导中。
- 选项”在接下来的所有证书存储“你*必须地方的证书受信任的根证书颁发机构或者它不会工作。点击下一个然后完成添加证书。
- 现在是一个很好的时间来确认你的客户端证书是进口的。选择受信任的根证书颁发机构再一次,然后证书,并寻找一个条目选择普通的名字。双击该文件,并选择Details选项卡。您应该看到所有您在客户端证书创建的条目。
- 在这之后你可以关闭MMC,注意不需要退出时保存控制台配置。
- 在这一点上,如果你使用火狐,你需要告诉它,当局在这个系统可以信任列表。如果你还没有现在打开Firefox。
在火狐搜索栏,导航:配置
然后搜索security.enterprise_roots.enabled
。右键单击该属性和切换真正的。
- 在这一点上,如果你使用火狐,你需要告诉它,当局在这个系统可以信任列表。如果你还没有现在打开Firefox。
- 关闭你的浏览器(s)完全。他们必须没有任何背景扩展或流程,请注意,您可能需要使用任务管理器结束浏览器任务之前完全将承认新的客户端证书。
- 打开开始菜单,输入
铬
- 添加证书铬受信任的CA的列表,如果你只使用铬:
- 选择
…
在右上角的设置。下先进的打开菜单项管理证书。 - 在受信任的根证书颁发机构选项卡选择进口。
- 将浏览器设置为显示所有文件类型,导航到客户端证书(
[myClientCertificate] -CC.pem
文件,而不是[myCertificateAuthority] -CA.key
文件),并打开该文件。 - 确保它的进入受信任的根证书颁发机构商店。
- 重启浏览器完全。他们必须没有任何背景扩展或流程,您可能需要结束任务完全更新。
- 选择
火狐
- 添加证书火狐受信任的CA的列表,如果你只使用Firefox:
- 选择三个水平线的汉堡图标右上角的浏览器并打开选项菜单。
- 切换到隐私和安全选项卡。
- 滚动到底部和选择查看证书。
- 下当局选项卡选择进口导航到客户端证书(
[myClientCertificate] -CC.pem
文件,而不是[myCertificateAuthority] -CA.key
文件)并打开文件,确保你允许这个证书识别网站。 - 重启浏览器完全。他们必须没有任何背景扩展或流程,您可能需要结束任务完全更新。
Mac OS
- 将证书添加到Mac OS受信任的CA列表,这样您就可以从Mac安全访问:
- 选择放大镜图标在右上角打开焦点搜索。
- 搜索和发布“钥匙链访问”。
- 点击文件,然后进口物品将打开一个文件浏览器。
- 单击选项按钮设置目的地钥匙链:是
系统
,然后打开你的客户端证书([myClientCertificate] -CC.pem
文件)。 - 输入MacOS系统密码完成导入。
- 接下来,找到你的证书系统钥匙链选项卡。
- 右键单击并选择您的客户端证书得到信息。
- 在弹出窗口中选择相信>并设置的选项当使用这个证书的来
永远的信任
,关闭该弹出并再次进入你的iOS用户密码。 - 重启浏览器完全。他们必须没有任何背景扩展或流程,您可能需要强制退出并重新启动应用程序以使其更新。
- 在这一点上,如果你使用火狐,你需要告诉它,当局在这个系统可以信任列表。如果你还没有现在打开Firefox。
在火狐搜索栏,导航:配置
然后搜索security.enterprise_roots.enabled
。右键单击该属性和切换真正的。您可能需要重新启动系统,以便使这些更改生效。
- 在这一点上,如果你使用火狐,你需要告诉它,当局在这个系统可以信任列表。如果你还没有现在打开Firefox。
下一个步骤
继续签署一份证书签名请求(CSR)为一个单独的史诗(步骤IV-VII)或回到过程概述
或者去史诗开发概述回家