Megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncának exportálása ügyfélhitelesítéshez
Az ügyféllel vagy az ügyfél-hitelesítéssel való kölcsönös hitelesítés konfigurálásához az Application Gateway megköveteli egy megbízható ügyfél ca-tanúsítványlánc feltöltését az átjáróba. Ha több tanúsítványlánccal rendelkezik, külön kell létrehoznia a láncokat, és különböző fájlokként kell feltöltenie őket az Application Gatewayen. Ebből a cikkből megtudhatja, hogyan exportálhat egy megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncot, amelyet az átjáró ügyfélhitelesítési konfigurációjában használhat.
Előfeltételek
A megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncának létrehozásához meglévő ügyféltanúsítvány szükséges.
Megbízható ügyfél hitelesítésszolgáltatói tanúsítványának exportálása
Megbízható ügyfél-hitelesítésszolgáltatói tanúsítvány szükséges az ügyfél-hitelesítés engedélyezéséhez az Application Gatewayen. Ebben a példában egy TLS/SSL-tanúsítványt használunk az ügyféltanúsítványhoz, exportáljuk a nyilvános kulcsot, majd exportáljuk a hitelesítésszolgáltatói tanúsítványokat a nyilvános kulcsból a megbízható ügyfél hitelesítésszolgáltatói tanúsítványainak lekéréséhez. Ezután összefűzzük az összes ügyfél-hitelesítésszolgáltatói tanúsítványt egy megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncba.
Az alábbi lépések segítenek a tanúsítvány .pem vagy .cer fájljának exportálásában:
Nyilvános tanúsítvány exportálása
A .cer fájl tanúsítványból történő beszerzéséhez nyissa meg a Felhasználói tanúsítványok kezelése elemet. Keresse meg a tanúsítványt általában a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen, és kattintson a jobb gombbal. Kattintson a Minden feladat, majd az Exportálás elemre. Megnyílik a Tanúsítványexportáló varázsló. Ha nem találja a tanúsítványt az Aktuális felhasználó\Személyes\Tanúsítványok területen, előfordulhat, hogy véletlenül megnyitotta a "Tanúsítványok – Helyi számítógép" lehetőséget a "Tanúsítványok – Aktuális felhasználó" helyett. Ha a PowerShell használatával szeretné megnyitni a Tanúsítványkezelőt az aktuális felhasználói hatókörben, írja be a tanúsítványkezelőt a konzolablakba.
A varázslóban kattintson a Tovább gombra.
Válassza a Nem, nem akarom exportálni a titkos kulcsomat lehetőséget, majd kattintson a Tovább gombra.
Az Exportfájlformátum lapon válassza a Base-64 kódolású X.509 (.CER) lehetőséget, majd kattintson a Tovább gombra.
Az exportálandó fájlhoz keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.
Kattintson a Befejezés gombra a tanúsítvány exportálásához.
A tanúsítvány exportálása sikeresen megtörtént.
Az exportált tanúsítvány a következőhöz hasonlóan néz ki:
Ca-tanúsítvány(ok) exportálása a nyilvános tanúsítványból
Most, hogy exportálta a nyilvános tanúsítványt, exportálja a hitelesítésszolgáltatói tanúsítvány(oka)t a nyilvános tanúsítványból. Ha csak legfelső szintű hitelesítésszolgáltatóval rendelkezik, csak ezt a tanúsítványt kell exportálnia. Ha azonban 1+ köztes hitelesítésszolgáltatóval rendelkezik, ezeket is exportálnia kell.
A nyilvános kulcs exportálása után nyissa meg a fájlt.
A hitelesítésszolgáltató megtekintéséhez válassza a Minősítési útvonal lapot.
Válassza ki a főtanúsítványt, és kattintson a Tanúsítvány megtekintése elemre.
Meg kell jelennie a főtanúsítvány részleteinek.
Válassza a Részletek lapot, és kattintson a Másolás fájlba...
Ezen a ponton kinyerte a fő hitelesítésszolgáltatói tanúsítvány részleteit a nyilvános tanúsítványból. Megjelenik a Tanúsítványexportáló varázsló. Kövesse az előző szakasz (nyilvános tanúsítvány exportálása) 2–7. lépését a Tanúsítványexportáló varázsló befejezéséhez.
Most ismételje meg az aktuális szakasz 2–6. lépését (ca-tanúsítvány(ok) exportálása a nyilvános tanúsítványból az összes köztes hitelesítésszolgáltató esetében az X.509() base-64 kódolású hitelesítésszolgáltatói tanúsítványok exportálásához. CER) formátum.
Megismételné például a 2–6. lépést az MSIT CAZ2 köztes hitelesítésszolgáltató ezen szakaszából, hogy saját tanúsítványként kinyerje azt.
Az összes hitelesítésszolgáltatói tanúsítvány összefűzése egy fájlba
Futtassa a következő parancsot a korábban kinyert összes hitelesítésszolgáltatói tanúsítvánnyal.
Windows:
type intermediateCA.cer rootCA.cer > combined.cer
Linux:
cat intermediateCA.cer rootCA.cer >> combined.cer
Az eredményként kapott kombinált tanúsítványnak a következőhöz hasonlóan kell kinéznie:
Következő lépések
Most már rendelkezik a megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncával. Ezt hozzáadhatja az Application Gateway ügyfélhitelesítési konfigurációjához, hogy lehetővé tegye az átjáróval való kölcsönös hitelesítést. Lásd: kölcsönös hitelesítés konfigurálása az Application Gateway és a Portal használatával, vagy kölcsönös hitelesítés konfigurálása az Application Gateway és a PowerShell használatával.