Zu "Meine Zertifikate" in Keychain Access hinzufügen? (Mac OS 10.10)

32519
dani

Ich habe eine Zertifikatsdatei wie diese:

-----BEGIN CERTIFICATE----- MIIHCDCCBPC .... 

Ich kann es unter "Zertifikate" anzeigen lassen, indem Sie "Datei-> Artikel importieren" (es ist das "Elin" -Element) auswählen.

Zu

Ich kann es jedoch nicht zu "Meine Zertifikate" hinzufügen, was meiner Meinung nach notwendig ist, damit es beim Herstellen einer Verbindung zu bestimmten Websites angezeigt wird:

Zu

Wie komme ich da hin? (Muss ich es zum Beispiel in .p12 umwandeln, und in diesem Fall wie?)

14
Prüfen Sie, ob dies für Sie von Nutzen ist: https://ddicd.com/support/p12-import-export-mac-mavericks-server.htm zeigt auch an, dass Sie cert bei .p12 exportieren. Wenn das tut was du willst lass es mich wissen und ich werde es als Antwort stellen :) David Golding vor 9 Jahren 0
Vielen Dank @DavidGolding, aber ich suche nach einem Weg, um meinen Basisschlüssel in ein .p12-Format zu bringen, was meiner Meinung nach eine Voraussetzung dafür ist, dass er unter Meine Zertifikate / für die Website-Authentifizierung verwendet werden kann. dani vor 9 Jahren 0

1 Antwort auf die Frage

30
Spiff

Kurzversion:
Sie können es nicht als Ihr Zertifikat verwenden, es sei denn, Sie verfügen über den privaten Schlüssel, der einen übereinstimmenden Satz mit dem im Zertifikat enthaltenen öffentlichen Schlüssel bildet. Suchen Sie nach der Stelle, an der Sie Ihren privaten Schlüssel hinterlegt haben, und importieren Sie diesen in den Schlüsselbund. Keychain Access erkennt automatisch, dass er mit dem öffentlichen Schlüssel in diesem Zertifikat übereinstimmt, und zeigt dieses Zertifikat in der Liste "Meine Zertifikate" an.

Langversion:
Zertifikate sind öffentliche Dokumente, die Sie frei verteilen können. Sie sind nur eine Möglichkeit, Ihre Identität (dh Informationen wie Ihren vollständigen Namen, Benutzernamen, E-Mail-Adresse usw.) sicher mit Ihrem öffentlichen Schlüssel zu verknüpfen .

Da Zertifikate öffentlich vertriebsfähig sind, ist das Vorhandensein einer Kopie eines Zertifikats kein Beweis dafür, dass Sie die im Zertifikat genannte Person sind oder dass der öffentliche Schlüssel im Zertifikat wirklich Ihr öffentlicher Schlüssel ist.

Um nachweisen zu können, dass ein Zertifikat Ihnen gehört, müssen Sie über den privaten Schlüssel verfügen, der einen übereinstimmenden Satz mit dem im Zertifikat enthaltenen öffentlichen Schlüssel bildet .

Wenn Sie nur eine .p7b-, .cer- oder .pem-Datei haben, enthält diese höchstwahrscheinlich nur ein Zertifikat, nicht jedoch den dazugehörigen privaten Schlüssel.

Private Schlüssel müssen absolut sicher und privat aufbewahrt werden und dürfen niemals an Dritte weitergegeben werden. Wenn sie auf der Festplatte gespeichert werden, sollten sie in einer verschlüsselten Datei gespeichert werden, die zum Entschlüsseln eine Passphrase benötigt. Ein typisches Verfahren zum sicheren Speichern eines Zertifikats zusammen mit dem übereinstimmenden privaten Schlüssel in einer verschlüsselten, kennwortgeschützten Datei ist eine .p12-Datei (PKCS # 12). Prüfen Sie, ob Sie bereits eine P12-Datei haben.

Wenn Keychain Access ein Zertifikat in Ihrem persönlichen Schlüsselbund anzeigt, es jedoch nicht in der Liste "Meine Zertifikate" angezeigt wird, bedeutet dies, dass Sie nur ein Zertifikat importiert haben, nicht aber den dazugehörigen privaten Schlüssel. Daher kann OS X dies nicht feststellen dass es wirklich "deins" ist.

Sie müssen herausfinden, wo Ihr privater Schlüssel gespeichert wurde, als Sie Ihr öffentliches / privates Schlüsselpaar zuerst generiert haben. Das Erstellen eines Schlüsselpaares ist der erste Schritt zum Erhalt eines Zertifikats. Zuerst wird ein Schlüsselpaar generiert, dann wird der öffentliche Schlüssel zusammen mit Ihren Identitätsinformationen in eine Zertifikatsignierungsanforderung (auch als CSR, Req bezeichnet) eingegeben und zur Signatur an eine Zertifizierungsstelle gesendet. Die Zertifizierungsstelle soll Ihre Identitätsinformationen und Ihren öffentlichen Schlüssel überprüfen, und wenn alles ausgecheckt ist, signiert sie die CSR und erstellt ein Zertifikat. Das signierte Zertifikat wird an Sie zurückgesendet, und Sie müssen es mit dem privaten Schlüssel abgleichen, den Sie im ersten Schritt erstellt haben, um es wirklich verwenden zu können.

Beachten Sie, dass die Rolle von CA nichts Besonderes ist. Es muss nicht irgendein Unternehmen wie Verisign sein. Jedes PC-Betriebssystem enthält die gesamte erforderliche Software, um als Zertifizierungsstelle zu fungieren. Die Zertifikatsassistent-Funktion von Keychain Access führt Sie sogar durch das Einrichten der CA-Einrichtung für Ihren privaten Gebrauch.

Wenn Sie sich nicht erinnern, ein Schlüsselpaar erstellt zu haben, haben Sie wahrscheinlich eine Software verwendet, die dies automatisch für Sie erledigte. Es gibt beispielsweise ein spezielles HTML-Tag, das von CA-Websites in ihren CSR-Webformularen verwendet werden kann. Dieses weist Ihren Webbrowser an, automatisch ein Schlüsselpaar zu generieren und nur den öffentlichen Schlüssel zusammen mit dem Webformular zu übermitteln. Wenn Sie Safari in einem solchen Formular verwenden, wird der private Schlüssel im Benutzerschlüsselbund des OS X-Benutzerkontos gespeichert, in dem Sie angemeldet sind. Wenn Sie den IE in einem solchen Formular in Windows verwenden, wird der private Schlüssel in der entsprechenden Windows-Version gespeichert (Microsoft nennt dies den "Certificate Store" des Benutzers; "store" als "Speichercontainer" und nicht "Ladengeschäft") :-) .

Ich kann Ihnen nicht sagen, wo sich Ihr privater Schlüssel befindet, weil ich nicht weiß, mit welcher Software Sie ihn erstellt haben, und selbst wenn ich das wüsste, würde ich nicht sicher wissen, wo Sie dieser Software gesagt haben, um Ihren privaten Schlüssel zu speichern. Sie müssen das wahrscheinlich selbst ausspionieren.

Wenn Sie Ihren privaten Schlüssel nicht finden können, müssen Sie ihn möglicherweise als gefährdet betrachten und Ihr Zertifikat widerrufen (möglicherweise müssen Sie sich dazu mit Ihrer Zertifizierungsstelle in Verbindung setzen), indem Sie ein neues Schlüsselpaar erstellen und eine neue CSR erstellen CA unterschreiben und ein Zertifikat ausstellen, mit dem neuen privaten Schlüssel abgleichen usw. Dies ist so, als ob Sie feststellen, dass Sie eine Kopie Ihres Hausschlüssels verpassen und sich dafür entscheiden, dass ein Schlosser alle Ihre Türschlösser rekeyt sicher sein.

tl; dr: Suchen Sie Ihren privaten Schlüssel und importieren Sie ihn in den Schlüsselbund.

Ausgezeichnete Antwort; Ich füge jedoch zwei Anmerkungen hinzu: Erstens wird die Erweiterung ".pfx" aus historischen Gründen manchmal für PKCS # 12-Dateien verwendet (siehe [Wikipedia] (https://en.wikipedia.org/wiki/PKCS_12)). Zweitens gibt es in den Screenshots ein Dreieck neben dem Zertifikat "com.apple.idmsa ...". Wenn Sie auf dieses Symbol klicken, wird der entsprechende private Schlüssel angezeigt, der dazu führt, dass er unter "Meine Zertifikate" angezeigt wird und zur Authentifizierung verwendet werden kann. Gordon Davisson vor 9 Jahren 1
Wie kann ich die Schlüsseldatei (die nach dem Klicken auf das Dreieck angezeigt wird) von Keychain auf einem Computer auf einen neuen Computer verschieben? Pier vor 7 Jahren 0
@Pier Willkommen bei SuperUser. Bitte stellen Sie Ihre Frage, indem Sie sie als Ihren eigenen Beitrag posten und nicht in einem Kommentar. Spiff vor 7 Jahren 0