【400分享】合成第三方CA证书信任链操作办法分享
  

悟空我在这 5314

本帖最后由 悟空我在这 于 2017-3-1 22:59 编辑

SSL VPN在使用第三方CA证书认证,常遇到SSL VPN设备外置CA导入了第三方CA证书,但是用户使用第三方CA颁发的用户数字证书登录认证失败。

通常看到可能会是这个报错信息:
未提交证书,请插入key或者导入文件证书,重新打开浏览器登录
1.png
一种常见原因:这里给大家分享常遇到的一种原因,就是导入的第三方CA证书不是完整的证书信任链,导致用户提交证书信息和设备上导入的CA证书校验失败。

解决办法也非常简单,只要把第三方CA证书合成完成的证书链并导入SSL VPN即可。
那么问题来了,小伙伴们知道如何来合成这个第三方CA证书吗?现在就给大家分享一下具体操作方法。

操作思路:
把CA根证书到用户证书颁发CA的各级证书,用notepad++或者UE工具打开,并从自根证书开始逐个进行复制粘贴,另存为cer或crt格式文件,这样就合成一张完整的证书链CA证书,再导入SSL VPN即可;

下面演示具体步骤:
双击cer或crt格式的CA证书,即可打开查看到证书的颁发者和颁发给信息,如下截图:

根证书:“颁发者”和“颁发给”信息完全相同,就是自己签发给自己的证书。
中级证书:“颁发者”和“颁发给”信息不一样,由上级CA签发,其中“颁发者”就是它的上级签发CA。

完整的证书信任链:就是具有完整的证书签发关系链,比如证书A由B签发,证书B由C签发,那么信任链就是A—B—C组成的信任关系。

2.png

用notepad++打开证书
3.png

打开后看到证书内容会是这样的:
4.png

然后从顶级根证书开始,首尾粘贴,如下图:
(从根证书到用户CA有多少级信任关系,就有多少个证书)
0000.png

然后把这个文件另存为保存,文件后缀继续保持为cer或crt即可。
6.png

最后,将这个合成的完整的证书信任链CA证书ca.cer导入到SSL VPN,如下图: 7.png

点击确定后即完成了外置CA(第三方CA)证书导入操作。

至此,完成了第三方CA证书信任链合并并导入SSL VPN设备的操作。

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
2人已打赏

技术服务专家_黄兵 发表于 2017-3-1 23:05
  
感谢分享,非常详细,经典作品!
qinpeng 发表于 2017-3-1 23:17
  
还有这一招啊 很强大
adds 发表于 2017-3-8 22:10
  
”把CA根证书到用户证书颁发CA的各级证书“,这句话怎么理解 ?
niushitang 发表于 2017-3-8 22:32
  
手动点赞
feeling 发表于 2017-3-8 22:55
  
学习了
0256 发表于 2017-3-9 09:17
  
厉害了
YTX 发表于 2017-3-12 11:45
  
谢谢分享
小huihui 发表于 2017-3-12 13:17
  
这就是合成证书链啊
哥丶珍藏版 发表于 2017-3-16 14:04
  
good