X.509 证书管理

使用此窗口可以创建、导入或重新使用 Server Administrator 的 Web 证书。

用户权限

选择 查看 管理
X.509 证书管理 管理员 管理员

X.509 证书管理

Web 证书确保远程系统的身份并确保与远程系统交换的信息无法由他人查看或更改。为了确保 Server Administrator 系统的安全,强烈建议您生成新的 X.509 证书、重新使用现有的 X.509 证书或通过证书机构 (CA) 导入根证书或证书链。

您可以申请证书以验证通过网络访问系统或系统连接的存储设备的用户权限。

X.509 证书选项菜单

生成新的证书 生成用于在运行 Server Administrator 的服务器和浏览器之间进行 SSL 通信的新自签名证书。
证书维护 使您可以生成证书签名请求 (CSR),其中包含所有的关于 CA 主机的证书信息以自动创建受信任的 SSL 网页证书。您可以通过该页面顶部指定的路径,或复制文本框中的整个文本并将其粘贴至 CA 提交表格这两种方式之一来检索必要的 CSR 文件。文本格式必须为 Base-64
导入根证书 证书颁发机构通常会颁发根证书文件(基于主机的域名)和证书链文件,该证书链文件在 CA、主机的根证书和网页服务器和远程用户的操作系统之间建立起信任。在较大的域内,该证书链文件可定义中间 CA。对于来自 OMSA 的第一个提示,请导入主机的根证书文件(通常是 .CER 文件类型)。然后,对于下一个提示,请提供 CA 颁发的 PKCS#7 证书链(通常是 .P7B 文件类型),该证书链建立起来自顶级 CA、通过任何操作系统信任的中间颁发机构,并随后最终链接至根证书的信任链条。
导入证书链 使您可通过受信任的 CA 导入证书响应(以 PKCS#7 格式)。

X.509 证书生成菜单:生成新的证书

别名 别名是在密钥库有证书的实体特定于密钥库的简短名称。用户可以为密钥库中的公用密钥和专用密钥分配任意别名。
密钥签名算法 显示支持的签名算法。从下拉列表中选择一种算法。
密钥生成算法 说明将用于生成证书的算法。常用的算法有 RSA 和 DSA。
密钥大小 密钥的加密强度。默认值为 2048。
有效期 证书有效的时间长度,以天表示。
常用名 (CN) 要保护的主机或域的确切名称,例如 xyzcompany.com
组织 (O) 完整的公司名称,与显示在公司证书或州/省/自治区/直辖市政府注册中的名称一样。
组织部门 (OU) 公司中申请证书的部门,例如电子商务部门
地点 (L) 组织注册或成立所在的城市或地点。
州/省/自治区/直辖市 (ST) 组织注册或成立所在的州或省/自治区/直辖市。请写出全称。
国家/地区 (C) 两个字母的国家/地区代码,例如 US 代表美国,UK 代表英国。

X.509 证书生成菜单:证书维护

证书 这是当前使用的 X.509 证书的名称。
选择适当的操作
  • 证书签名请求 (CSR):使用现有证书中的信息来生成证书请求。
  • 显示内容:显示证书的内容。此选项产生一个详细的报告,详细列出证书中的各个组件。
  • 以 BASE 64 编码格式导出证书:导出现有证书以供另一应用程序使用。

如果选择 CSR,Server Administrator 会生成 .csr 文件。Server Administrator 显示可以检索 .csr 文件的路径。

Server Administrator 还将提示您复制和保存证书的文本。

当您选择导出时,Server Administrator 使您可以以 .cer 文件下载证书,并将该文件保存到所选的目录。

X.509 自签证书内容

第一次创建证书时将收集以下字段的值:

别名 别名是在密钥库有证书的实体特定于密钥库的简短名称。用户可以为密钥库中的公用密钥和专用密钥分配任意别名。
Creation Date(创建日期) 现有证书最初创建的日期。
提供商 默认的证书提供商是 Sun Microsystems 安全保护提供商。Sun 有一个处理 X509 类型的证书的证书工厂。
证书链 具有根证书以及相关响应的完整证书。

链元素 1:

如果用户查看证书内容,在说明中发现链元素 1:但没有发现链元素 2:,则现有证书是自签证书。如果证书内容含有链元素 2:,则该证书有一个或多个 CA 与之关联。

类型 X.509
版本 X.509 的版本。
有效 Server Administrator 是否认为证书有效()。
接收者 向其颁发证书的实体名称。此实体称作证书的接收者。
颁发者 签发证书的证书机构名称。
生效起始日期 证书生效的第一天。
有效期终止日期 证书有效期的最后一天。
序列号 标识此证书的唯一编号。
公共密钥 证书的公共密钥,即属于证书所担保的接收者的密钥。
公共密钥算法 RSA 或 DSA。
密钥用法 密钥用法扩展,定义密钥的用途。可以将密钥用于数字签名、密钥协议、证书签名等等。密钥用法是 X.509 规范的扩展,不必出现在所有 X.509 证书中。
签名 证书机构的标识摘要,授予证书的有效性。
签名算法名称 用于生成签名的算法。
签名算法 OID 签名算法的对象 ID。
签名算法参数 用于生成签名的算法,使用 TBS 证书作为输入。
TBS 证书 实际证书的主体。它包含证书中的所有命名和密钥信息。在签署或验证证书时,TBS 证书用作签名算法的输入数据。
基本限制 X.509 证书可以包含确定证书接收者是否是证书机构 (CA) 的可选扩展。如果接收者是 CA,此扩展将会返回证书链中跟在此证书后的证书数。
接收者唯一 ID 标识证书申请者的字符串。
颁发者唯一 ID 标识证书颁发者的字符串。
MD5 指纹 数字签名算法,通过创建 128 位的消息摘要或指纹来验证数据的完整性。该指纹对于输入数据是唯一的,就像指纹仅属于一个独立的人一样。
SHA1 指纹 安全哈希算法,一种用于验证数据完整性的加密信息摘要算法,使得复制摘要或指纹“需要付出极大的计算代价”而不值得这样做。
已编码的证书 证书的内容(二进制格式)。

CA 根证书导入:导入根证书

您可以导入从 CA 接收到的根证书。请执行下列步骤:

  1. 选择您要导入的根证书并单击更新并继续
  2. 选择证书回复(PKCS #7 格式,来自 CA)并单击导入

证书导入:导入证书链

要导入从 CA 获得的证书链,请执行以下操作:

  1. 键入您要导入的证书文件的名称,或单击浏览以搜索该文件。
  2. 选择该文件,然后单击导入

要了解 Server Administrator 操作页面中其他按钮的解释,请参阅 Server Administrator Window Buttons(Server Administrator 窗口按钮)。