Экспорт цепочки сертификатов доверенного клиентского ЦС для использования при проверке подлинности клиента

  • Статья

Для настройки взаимной с клиентом проверки подлинности или проверки подлинности клиента необходимо отправить в Шлюз приложений цепочку сертификатов доверенного клиентского ЦС. Если у вас несколько цепочек сертификатов, необходимо создать цепочки отдельно и отправить их в виде разных файлов на Шлюз приложений. Из этой статьи вы узнаете, как экспортировать цепочку сертификатов доверенного ЦС клиента, которую можно использовать в конфигурации проверки подлинности клиента в шлюзе.

Необходимые компоненты

Для создания цепочки сертификатов доверенного клиентского ЦС требуется имеющийся сертификат клиента.

Экспорт сертификата доверенного клиентского ЦС

Проверка подлинности клиента в Шлюзе приложений возможна только при наличии сертификата доверенного клиентского ЦС. В этом примере мы используем TLS/SSL-сертификат для сертификата клиента, экспортируйте его открытый ключ, а затем экспортируем сертификаты ЦС из открытого ключа, чтобы получить сертификаты доверенного клиентского ЦС. Затем мы сцепляем все сертификаты ЦС клиента в одну цепочку сертификатов доверенного клиента ЦС.

Чтобы экспортировать PEM- или CER-файл сертификата, выполните следующее:

Экспорт общедоступного сертификата

  1. Чтобы получить из сертификата CER-файл, откройте раздел Управление сертификатами пользователей. Найдите сертификат (обычно он находится в папке Certificates - текущий_пользователь\Personal\Certificates) и щелкните его правой кнопкой мыши. Щелкните Все задачи > Экспорт. Откроется мастера экспорта сертификатов. Если не удается найти сертификат в разделе <текущий_пользователь>\Personal\Certificates, возможно, вы случайно открыли "Certificates — Local Computer"вместо "Certificates— <текущий_пользователь>". Если вы хотите открыть диспетчер сертификатов в области текущего пользователя с помощью PowerShell, выполните команду certmgr в окне консоли.

    Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  2. В мастере нажмите кнопку Далее.

    Screenshot of export certificate.

  3. Выберите Нет, не экспортировать закрытый ключ и снова нажмите кнопку Далее.

    Screenshot of do not export the private key.

  4. На странице Формат экспортируемого файла выберите Файлы X.509 (.CER) в кодировке Base-64 и нажмите кнопку Далее.

    Screenshot of Base-64 encoded.

  5. На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файлавведите имя для файла сертификата. Затем щелкните Далее.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  6. Нажмите кнопку Готово , чтобы экспортировать сертификат.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  7. Сертификат успешно экспортирован.

    Screenshot shows the Certificate Export Wizard with a success message.

    Экспортированный сертификат выглядит примерно так:

    Screenshot shows a certificate symbol.

Экспорт сертификатов ЦС из общедоступного сертификата

Теперь, когда вы экспортировали общедоступный сертификат, вы экспортируете сертификаты ЦС из общедоступного сертификата. Если у вас только корневой ЦС, вам потребуется экспортировать только его сертификат. Однако если у вас есть 1+ промежуточных ЦС, необходимо экспортировать каждый из них.

  1. Экспортировав открытый ключ, откройте файл.

    Screenshot of Open authorization certificate.

    Screenshot of about certificate.

  2. Перейдите на вкладку "Путь сертификации", чтобы просмотреть сведения о центре сертификации.

    Screenshot of certificate details.

  3. Выберите корневой сертификат, а затем — Просмотр сертификата.

    Screenshot of certificate path.

    Вы должны увидеть сведения о корневом сертификате.

    Screenshot of certificate info.

  4. Перейдите на вкладку Сведения и нажмите кнопку Копировать в файл....

    Screenshot of copy root certificate.

  5. Итак, мы извлекли сведения о сертификате корневого ЦС из общедоступного сертификата. Вы увидите мастер экспорта сертификатов. Выполните шаги 2–7 из предыдущего раздела ("Экспорт общедоступного сертификата"), чтобы завершить работу с мастером экспорта сертификатов.

  6. После этого повторите шаги 2–6 из текущего раздела ("Экспорт сертификатов ЦС из общедоступного сертификата") для всех промежуточных ЦС, чтобы экспортировать сертификаты всех этих ЦС в формате X.509 (.CER) с кодировкой Base-64.

    Screenshot of intermediate certificate.

    Например, повторите шаги 2–6 из этого раздела для промежуточного ЦС MSIT CAZ2, чтобы извлечь его собственный сертификат.

Объединение сертификатов всех ЦС в один файл

  1. Выполните следующую команду над всеми извлеченными ранее сертификатами ЦС.

    Windows:

    type intermediateCA.cer rootCA.cer > combined.cer

    Linux:

    cat intermediateCA.cer rootCA.cer >> combined.cer

    Полученный объединенный сертификат должен выглядеть примерно так:

    Screenshot of combined certificate.

Следующие шаги

Теперь у вас есть цепочка сертификатов доверенного клиентского ЦС. Ее можно указать в параметрах проверки подлинности клиента в Шлюзе приложений, чтобы сделать возможной взаимную проверку подлинности с использованием шлюза. См. статьи "Настройка взаимной проверки подлинности в Шлюзе приложений с помощью портала (предварительная версия)" и "Настройка взаимной проверки подлинности с Шлюзом приложений с помощью PowerShell".