Adicionar a "Meus certificados" no Acesso às chaves? (Mac OS 10.10)


18

Eu tenho um arquivo de certificado como este:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Posso fazer com que ele apareça em "Certificados", indo em "Arquivo-> Importar itens" (é o "Elin").

insira a descrição da imagem aqui

No entanto, não posso adicioná-lo a "Meus certificados", que considero necessário para que ele apareça ao conectar-se a determinados sites:

insira a descrição da imagem aqui

Como faço para chegar lá? (Preciso transformá-lo em .p12, por exemplo, e, nesse caso, como?)


veja se isso é inútil para você: digicert.com/ssl-support/… também mostra para exportar cert em .p12. Se isso faz o que quiser, deixe-me saber e eu vou colocá-lo como uma resposta :)
David Golding

Obrigado @DavidGolding, mas estou procurando uma maneira de colocar minha chave básica em um formato .p12, que eu acho que é um pré-requisito para que ela seja usada em Meus Certificados / para autenticação de sites.
219 dani

Respostas:


36

Versão curta:
você não pode usá-lo como seu certificado, a menos que tenha a chave privada que forma um conjunto correspondente à chave pública que está no certificado. Vá até onde você deixou sua chave privada e importe-a para o porta-chaves, e o Keychain Access verá automaticamente que ele corresponde à chave pública desse certificado e começará a mostrar esse certificado na lista "Meus Certificados".

Versão longa:
certificados são documentos públicos que você pode distribuir livremente. Eles são apenas uma maneira de vincular sua identidade com segurança (ou seja, informações de identificação como seu nome completo, nome de usuário, endereço de e-mail etc.) à sua chave pública .

Como os certificados são publicamente distribuíveis, simplesmente ter uma cópia de um certificado não prova que você é a pessoa nomeada no certificado ou que a chave pública no certificado é realmente sua chave pública.

Para poder provar que um certificado é seu, você deve ter a chave privada que forma um conjunto correspondente à chave pública contida no certificado.

Se você tiver apenas um arquivo .p7b ou .cer ou .pem, é provável que ele contenha apenas um certificado, mas não a chave privada que o acompanha.

As chaves privadas devem ser mantidas completamente seguras e privadas e nunca entregues a mais ninguém. Quando armazenadas em disco, elas devem ser armazenadas em um arquivo criptografado que você precisa de uma senha para descriptografar. A maneira típica de armazenar com segurança um certificado, juntamente com a chave privada correspondente em um arquivo criptografado e protegido por senha, é um arquivo .p12 (PKCS # 12). Veja se você já possui um arquivo .p12 em algum lugar.

Se o Keychain Access exibir um certificado em seu chaveiro pessoal, mas não na lista "Meus certificados", significa que você importou apenas um certificado, mas não a chave privada que o acompanha, portanto, o OS X não pode dizer que é verdadeiramente "seu".

Você precisa descobrir onde sua chave privada estava armazenada quando você gerou seu par de chaves públicas / privadas pela primeira vez. Gerar um par de chaves é o primeiro passo para obter um certificado. Primeiro, um par de chaves é gerado e, em seguida, a chave pública, juntamente com suas informações de identidade, é colocada em uma Solicitação de Assinatura de Certificado (também conhecida como CSR, req) e enviada a uma Autoridade de Certificação (CA) para ser assinada. A CA deve verificar suas informações de identidade e sua chave pública e, se tudo der certo, eles assinam o CSR, criando um certificado. O certificado assinado é enviado de volta para você, e você deve correspondê-lo à chave privada que você gerou na primeira etapa, para usá-lo verdadeiramente.

Observe que o papel da CA não é nada de especial. Não precisa ser uma corporação como a Verisign. Todo sistema operacional de computador pessoal contém todo o software necessário para atuar como uma CA. O recurso Assistente de certificado do Keychain Access orienta você na configuração da CA para seu uso particular.

Se você não se lembra de gerar um par de chaves, provavelmente estava usando algum software que fazia isso automaticamente para você. Por exemplo, há uma tag HTML especial que os sites da CA podem usar em seus formulários da web de CSR que informa ao navegador para gerar automaticamente um par de chaves e enviar apenas a chave pública junto com o formulário da web. Quando você usa o Safari nesse formulário, a chave privada é armazenada no chaveiro do usuário da conta de usuário do OS X em que você está conectado. Quando você usa o IE no Windows nesse formulário, a chave privada é armazenada no equivalente do Windows (a Microsoft chama isso de "Armazenamento de Certificados" do usuário; "armazenamento" como em "contêiner de armazenamento" e não "loja de varejo" :-) .

Não sei dizer onde está sua chave privada, porque não sei qual software você usou para criá-la e, mesmo que soubesse, não saberia com certeza onde você disse ao software para salvar sua chave privada. Você provavelmente terá que investigar isso sozinho.

Se não conseguir encontrar sua chave privada, considere-a comprometida e revogue seu certificado (entre em contato com a CA para fazer isso) e comece novamente gerando um novo par de chaves, criando um novo CSR, tendo um A CA assina e emite um certificado, combina-o com a nova chave privada, etc. Isso é como perceber que está faltando uma cópia da chave da sua casa e optar por um serralheiro rekey todas as suas fechaduras para ser seguro.

tl; dr: Vá encontrar sua chave privada e importe-a para o chaveiro.


2
Excelente resposta; mas adicionarei duas notas: primeiro, por razões históricas, a extensão ".pfx" às vezes é usada para arquivos PKCS # 12 (consulte a Wikipedia ). Segundo, nas capturas de tela, há um triângulo de divulgação ao lado do certificado "com.apple.idmsa ..."; cliques que revelariam a chave privada correspondente que aparece em "Meus certificados" e permite que ela seja usada para autenticação.
Gordon Davisson

Como mover o arquivo de chave (que aparece depois de clicar no triângulo) de Keychain em um computador para um novo computador?
Pier

1
@Pier Bem-vindo ao SuperUser. Faça sua pergunta postando-a como sua própria pergunta, em vez de fazer um comentário.
Spiff
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.