回到过程概述
ii。创建客户端证书(CC)
使用您的新证书授权(CA)密钥生成客户端证书(CC)文件。
使用以下命令创建客户端证书文件[myclientcertificate] -cc.pem使用您的新证书授权权限。在这里,更换[myclientcertificate]带有您想要的客户证书的名字。我们建议保持-cc后缀以识别该文件为客户端证书。一个例子可能是opto22-cc.pem。此文件将分配给并安装在任何需要安全连接的客户端操作系统或浏览器中凹槽史诗。这是唯一应该分发的文件。
请注意,您的证书授权密钥文件应为-ca.key- 应该保持安全并且永远不会分配,而您要创建的客户证书是-cc.pem,并将分发。
将提示您输入与创建的CA密钥关联的密码第一步。接下来,提示您设置客户证书的详细信息。安装客户端证书的任何人都可以查看这些详细信息,因此请注意输入的信息。这些字段中的大多数可以留为空白,但是三个字段具有默认值,因此我们建议将它们完全填充。这里有些例子:
国家名称(2个字母代码)[AU]:我们
状态或省名(全名)[某个州]:加利福尼亚
局部名称(例如,城市)[]:Temecula
组织名称(例如,公司)[Internet Widgits Pty Ltd]:Opto 22
组织单位名称(例如,部分)[]:IT服务
通用名称(例如服务器FQDN或您的名称)[]:Opto 22 Ca
电子邮件地址 []:开发人员@opto22.com
如果您在美国外,您可以找到2个字母国家的名字代码打开wordlatlas.com。请注意,如果您不输入此字段的值,则将默认为澳大利亚国家代码“ AU”。
这州或省名称应该完全写出,而不是缩写(例如“华盛顿”而不是“ WA”)。如果您不输入此字段的值,则默认为“某个状态”。
这机构名称应该是您的公司或反映客户证书将在何处使用。如果您不输入此字段的值,则默认为“ Internet Widgits Pty Ltd”。
这组织单位可以是您喜欢的任何东西 - 例如您的部门名称或仅留空。
这通用名称是证书授权的名称,因为它将出现在您的操作系统或浏览器的可信赖列表中。我们建议使用您选择的名称作为证书授权密钥文件。在以后的步骤中,在受信任的证书局列表中识别它会更容易。
最后,电子邮件地址应该是客户证书(例如,IT部门的电子邮件地址)的任何问题的联系人,或者只是空白。
在命令行,键入以下内容,替换[mycertificateauthority]与您的CA一起[myclientcertificate]带有客户证书的选择名称:
OPENSSL REQ -X509 -NEW -NODES -KEY [mycertificateAuthority] -ca.key -sha256 -days 397 -out [myclientcertificate] -cc.pemiii。将客户端证书添加到您的操作系统或浏览器的可信权列表
跳到视窗,,,,铬合金,,,,Firefox, 或者苹果系统。
视窗
- 将证书添加到视窗值得信赖的根CA列表,因此所有浏览器都可以使用它:
- 打开开始菜单,输入
跑步并启动“运行”桌面应用程序。在弹出类型中MMC并启动Microsoft Management Console(MMC)。 - 点击文件, 然后添加/删除快照,将出现一个新的弹出窗口。
- 选择证书快照,然后单击添加>添加它,这将带来另一个弹出窗口。
- 选择将其添加到计算机帐户或单个用户帐户,具体取决于谁可以访问机器。如果要添加计算机帐户的快照,您将获得另一个屏幕,您需要确认您正在为此添加它本地计算机,不是网络上的另一台计算机。
点击结束。 - 点击好的添加快照。
- 双击证书在控制台根下进行快照以查看证书列表。
- 右键单击标题为“可信赖的根认证机构在由此产生的弹出窗口中,选择所有任务选项,然后单击进口,这将打开证书进口向导。
- 在这个巫师中选择下一个继续然后点击浏览打开文件浏览器。现在导航到创建证书文件的文件夹,然后选择您的
[myclientcertificate] -cc.pem文件。
做不是选择[mycertificateauthority] -ca.key;相反,更改上方的文件过滤器打开显示的按钮全部文件 (*。*)。现在选择您的[myclientcertificate] -cc.pem文件,然后单击打开。 - 点击打开加载文件然后下一个继续前进。
- 对于“将所有证书放在下面的商店中“ 你*必须将证书放在可信赖的根认证机构否则它将行不通。点击下一个进而结束添加证书。
- 现在是确认您的客户证书已导入的好时机。选择值得信赖的根证书授权机构再说一次证书,并寻找带有您选择的通用名称的条目。双击此文件,然后选择“详细信息”选项卡。您应该查看客户证书创建期间所做的所有条目。
- 此后,您可以关闭MMC,请注意,退出时无需保存控制台配置。
- 在这一点上,如果您使用Firefox,则需要告诉它,可以信任此系统列表中的当局。如果您尚未打开Firefox。
在Firefox搜索栏中,导航到关于:config然后搜索security.enterprise_roots.enabled。右键单击此属性并将其切换到真的。
- 在这一点上,如果您使用Firefox,则需要告诉它,可以信任此系统列表中的当局。如果您尚未打开Firefox。
- 关闭您的浏览器(S)完全地。他们必须没有任何背景扩展或流程,请注意,您可能需要使用任务管理器来完全终止浏览器任务,然后才能确认新的客户端证书。
- 打开开始菜单,输入
铬合金
- 将证书添加到铬合金如果您专门使用Chrome,则值得信赖的CA列表:
- 选择
...在右上角以进入您的设置。在下面先进的打开菜单项到管理证书。 - 在可信赖的根认证机构选项卡选择进口。
- 设置资源管理器以显示所有文件类型,导航到客户端证书(
[myclientcertificate] -cc.pem文件,而不是[mycertificateauthority] -ca.key文件)并打开文件。 - 确保它进入可信赖的根认证机构店铺。
- 重新启动您的浏览器完全地。他们必须没有任何背景扩展或流程,您可能需要完全终止任务以使其更新。
- 选择
Firefox
- 将证书添加到Firefox如果您专门使用Firefox,则值得信赖的CA列表:
- 在浏览器的右上角中选择带有三个水平线的汉堡图标,然后打开选项菜单。
- 切换到隐私和安全标签。
- 滚动到底部并选择查看证书。
- 在下面当局选项卡选择进口,导航到客户端证书(
[myclientcertificate] -cc.pem文件,而不是[mycertificateauthority] -ca.key文件)并打开文件,请确保您允许此证书标识网站。 - 重新启动您的浏览器完全地。他们必须没有任何背景扩展或流程,您可能需要完全终止任务以使其更新。
苹果系统
- 将证书添加到苹果系统受信任的CA列表,因此您可以从Mac中获得安全访问:
- 选择右上角的放大镜图标以打开热点搜索。
- 搜索并启动“钥匙扣访问”。
- 点击文件, 然后导入项目带来打开文件浏览器。
- 点击选项首先按钮并设置目标键链:成为
系统,然后打开客户证书([myclientcertificate] -cc.pem文件)。 - 输入您的MacOS系统密码以完成导入。
- 接下来,在系统钥匙扣选项卡。
- 右键单击您的客户证书,然后选择获取信息。
- 在弹出窗口中选择信任>并设置选项“使用此证书时”到
永远信任,关闭此弹出窗口,然后再次输入您的iOS用户密码。 - 重新启动您的浏览器完全地。他们必须没有任何背景扩展或流程,您可能需要强制戒烟并重新启动应用程序以使其更新。
- 在这一点上,如果您使用Firefox,则需要告诉它,可以信任此系统列表中的当局。如果您尚未打开Firefox。
在Firefox搜索栏中,导航到关于:config然后搜索security.enterprise_roots.enabled。右键单击此属性并将其切换到真的。您可能需要重新启动系统才能生效。
- 在这一点上,如果您使用Firefox,则需要告诉它,可以信任此系统列表中的当局。如果您尚未打开Firefox。
下一步
继续签署单个Epic的证书签名请求(CSR)(步骤IV-VII)或回到过程概述