Zu "Meine Zertifikate" im Schlüsselbund hinzufügen? (Mac OS 10.10)


18

Ich habe eine Zertifikatsdatei wie diese:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Ich kann es unter "Zertifikate" anzeigen lassen, indem ich zu "Datei-> Objekte importieren" gehe (es ist das "Elin").

Bildbeschreibung hier eingeben

Ich kann es jedoch nicht zu "Meine Zertifikate" hinzufügen, was meiner Meinung nach erforderlich ist, damit es beim Herstellen einer Verbindung zu bestimmten Websites angezeigt wird:

Bildbeschreibung hier eingeben

Wie komme ich dort hin? (Muss ich es zum Beispiel in .p12 umwandeln und in diesem Fall wie?)


Sehen Sie nach, ob dies für Sie von Nutzen ist: digicert.com/ssl-support/… zeigt auch an, ob das Zertifikat unter .p12 exportiert werden soll. Wenn das tut, was Sie wollen, lassen Sie es mich wissen und ich werde es als Antwort setzen :)
David Golding

Vielen Dank an @DavidGolding, aber ich suche nach einer Möglichkeit, meinen Basisschlüssel in ein .p12-Format zu bringen, das meiner Meinung nach eine Voraussetzung für die Verwendung unter Meine Zertifikate / für die Website-Authentifizierung ist.
Dani

Antworten:


36

Kurzversion:
Sie können es nicht als Zertifikat verwenden, es sei denn, Sie haben den privaten Schlüssel, der einen übereinstimmenden Satz mit dem öffentlichen Schlüssel im Zertifikat bildet. Suchen Sie nach der Stelle, an der Sie Ihren privaten Schlüssel hinterlassen haben, und importieren Sie diesen in den Schlüsselbund. Der Schlüsselbund-Zugriff erkennt automatisch, dass er mit dem öffentlichen Schlüssel in diesem Zertifikat übereinstimmt, und zeigt dieses Zertifikat in der Liste "Meine Zertifikate" an.

Langfassung:
Zertifikate sind öffentliche Dokumente, die Sie frei verteilen können. Sie sind nur eine Möglichkeit, Ihre Identität (dh Informationen wie Ihren vollständigen Namen, Benutzernamen, E-Mail-Adresse usw.) sicher mit Ihrem öffentlichen Schlüssel zu verknüpfen .

Da Zertifikate öffentlich verbreitet werden können, ist das einfache Vorhandensein einer Kopie eines Zertifikats kein Beweis dafür, dass Sie die im Zertifikat genannte Person sind oder dass der öffentliche Schlüssel im Zertifikat wirklich Ihr öffentlicher Schlüssel ist.

Um nachweisen zu können, dass ein Zertifikat Ihnen gehört, müssen Sie den privaten Schlüssel haben, der einen übereinstimmenden Satz mit dem im Zertifikat enthaltenen öffentlichen Schlüssel bildet .

Wenn Sie nur eine .p7b-, .cer- oder .pem-Datei haben, enthält diese höchstwahrscheinlich nur ein Zertifikat, nicht jedoch den dazugehörigen privaten Schlüssel.

Private Schlüssel müssen absolut sicher und privat aufbewahrt werden und dürfen nicht an Dritte weitergegeben werden. Wenn sie auf der Festplatte gespeichert sind, sollten sie in einer verschlüsselten Datei gespeichert sein, für deren Entschlüsselung Sie eine Passphrase benötigen. Die typische Methode zum sicheren Speichern eines Zertifikats zusammen mit dem zugehörigen privaten Schlüssel in einer verschlüsselten, kennwortgeschützten Datei ist eine .p12-Datei (PKCS # 12). Überprüfen Sie, ob Sie bereits irgendwo eine .p12-Datei haben.

Wenn in Keychain Access ein Zertifikat in Ihrem persönlichen Schlüsselbund angezeigt wird, es jedoch nicht in der Liste "Meine Zertifikate" angezeigt wird, bedeutet dies, dass Sie nur ein Zertifikat importiert haben, jedoch nicht den dazugehörigen privaten Schlüssel, sodass OS X dies nicht feststellen kann dass es wirklich "dein" ist.

Sie müssen herausfinden, wo Ihr privater Schlüssel gespeichert war, als Sie das erste Mal Ihr öffentliches / privates Schlüsselpaar generiert haben. Das Generieren eines Schlüsselpaares ist der erste Schritt, um ein Zertifikat zu erhalten. Zuerst wird ein Schlüsselpaar generiert, dann wird der öffentliche Schlüssel zusammen mit Ihren Identitätsinformationen in eine Zertifikatsignierungsanforderung (auch bekannt als CSR, req) eingegeben und zur Signierung an eine Zertifizierungsstelle (CA) gesendet. Die Zertifizierungsstelle soll Ihre Identitätsinformationen und Ihren öffentlichen Schlüssel überprüfen. Wenn alles ausgecheckt wird, signiert sie die CSR und erstellt ein Zertifikat. Das signierte Zertifikat wird an Sie zurückgesendet, und Sie müssen es mit dem privaten Schlüssel abgleichen, den Sie im ersten Schritt generiert haben, um es wirklich zu verwenden.

Beachten Sie, dass die Rolle der Zertifizierungsstelle nichts Besonderes ist. Es muss kein Unternehmen wie Verisign sein. Jedes PC-Betriebssystem enthält die gesamte Software, die als Zertifizierungsstelle fungiert. Die Certificate Assistant-Funktion von Keychain Access führt Sie sogar durch die Einrichtung Ihres CA-Setups für den privaten Gebrauch.

Wenn Sie sich nicht erinnern, ein Schlüsselpaar generiert zu haben, haben Sie wahrscheinlich eine Software verwendet, die dies automatisch für Sie erledigt hat. Zum Beispiel gibt es ein spezielles HTML-Tag, das CA-Websites in ihren CSR-Webformularen verwenden können, das Ihren Webbrowser anweist, automatisch ein Schlüsselpaar zu generieren und nur den öffentlichen Schlüssel zusammen mit dem Webformular zu übermitteln. Wenn Sie Safari in einem solchen Formular verwenden, wird der private Schlüssel im Benutzerschlüsselbund für das OS X-Benutzerkonto gespeichert, bei dem Sie angemeldet sind. Wenn Sie in einem solchen Formular den IE in Windows verwenden, wird der private Schlüssel in der entsprechenden Windows-Version gespeichert (Microsoft nennt dies den "Zertifikatspeicher" des Benutzers; "Speicher" als "Speichercontainer", nicht als "Einzelhandelsgeschäft" :-). .

Ich kann Ihnen nicht sagen, wo sich Ihr privater Schlüssel befindet, da ich nicht weiß, mit welcher Software Sie ihn erstellt haben, und selbst wenn ich das wüsste, würde ich nicht genau wissen, wo Sie diese Software angewiesen haben, Ihren privaten Schlüssel zu speichern. Sie werden das wahrscheinlich selbst herausfinden müssen.

Wenn Sie Ihren privaten Schlüssel nicht finden können, müssen Sie ihn möglicherweise als kompromittiert betrachten und Ihr Zertifikat widerrufen (Sie müssen sich dazu möglicherweise an Ihre Zertifizierungsstelle wenden). Beginnen Sie erneut, indem Sie ein neues Schlüsselpaar erstellen, eine neue CSR erstellen und ein CA signieren und ein Zertifikat ausstellen, es mit dem neuen privaten Schlüssel abgleichen usw. Dies ist ungefähr so, als würde man feststellen, dass eine Kopie des Hausschlüssels fehlt, und sich dafür entscheiden, dass ein Schlosser alle Ihre Türschlösser nur umschlüsselt sicher sein.

tl; dr: Suchen Sie Ihren privaten Schlüssel und importieren Sie ihn in den Schlüsselbund.


2
Hervorragende Antwort; Ich möchte jedoch zwei Anmerkungen hinzufügen: Erstens wird aus historischen Gründen die Erweiterung ".pfx" manchmal für PKCS # 12-Dateien verwendet (siehe Wikipedia ). Zweitens befindet sich in den Screenshots ein Dreiecksymbol neben dem Zertifikat "com.apple.idmsa ...". Wenn Sie darauf klicken, wird der entsprechende private Schlüssel angezeigt, der unter "Meine Zertifikate" angezeigt wird und zur Authentifizierung verwendet werden kann.
Gordon Davisson

Wie kann ich die Schlüsseldatei (die nach dem Klicken auf das Dreieck angezeigt wird) vom Schlüsselbund auf einem Computer auf einen neuen Computer verschieben?
Pier

1
@Pier Willkommen bei SuperUser. Bitte stellen Sie Ihre Frage, indem Sie sie als Ihren eigenen Beitrag veröffentlichen, anstatt einen Kommentar abzugeben.
Spiff
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.