X.509 证书管理

使用此窗口可以创建、导入或重新使用 Server Administrator 的 Web 证书。

用户权限

选择 查看 管理
X.509 证书管理 管理员 管理员

X.509 证书管理

Web 证书确保远程系统的身份并确保与远程系统交换的信息无法由他人查看或更改。为了确保 Server Administrator 系统的安全,强烈建议您生成新的 X.509 证书、重新使用现有的 X.509 证书或通过证书机构 (CA) 导入根证书或证书链。

您可以申请证书以验证通过网络访问系统或系统连接的存储设备的用户权限。

X.509 证书选项菜单

生成新的证书 使用此证书生成工具以创建访问 Server Administrator 的证书。重新启动后,如果新证书不处于活动状态,可还原以前的证书。执行还原以前的证书部分中详细介绍的步骤。
证书维护 选择您的公司拥有的现有证书,并使用此证书控制对 Server Administrator 的访问。
导入根证书 使用户能够导入根证书,以及导入从可信证书机构接收的证书响应(PKCS#7 格式)。一些可信赖的证书机构有 Verisign、Thawte 和 Entrust。
导入证书链 使用户能够从可信证书机构导入证书响应(PKCS#7 格式)。一些可信赖的证书机构有 Verisign、Thawte 和 Entrust。

X.509 证书生成菜单:生成新的证书

别名 别名是在密钥库有证书的实体特定于密钥库的简短名称。用户可以为密钥库中的公用密钥和专用密钥分配任意别名。
密钥签名算法 显示支持的签名算法。从下拉列表中选择一种算法。
密钥生成算法 说明将用于生成证书的算法。常用的算法有 RSA 和 DSA。
密钥大小 密钥的加密强度。默认值为 2048。
有效期 证书有效的时间长度,以天表示。
常用名 (CN) 要保护的主机或域的确切名称,例如 xyzcompany.com
组织 (O) 完整的公司名称,与显示在公司证书或州/省/自治区/直辖市政府注册中的名称一样。
组织部门 (OU) 公司中申请证书的部门,例如电子商务部门
地点 (L) 组织注册或成立所在的城市或地点。
州/省/自治区/直辖市 (ST) 组织注册或成立所在的州或省/自治区/直辖市。请写出全称。
国家/地区 (C) 两个字母的国家/地区代码,例如 US 代表美国,UK 代表英国。

还原以前的证书

要还原以前的证书,请执行以下步骤:

  1. 停止 Web Server。请参阅停止、启动或重新启动 Web Server 部分。
  2. 对于支持的 Windows 操作系统:
    • 删除文件 <installed directory>\Dell\SysMgt\apache-tomcat\conf\keystore.db
    • 将文件 <installed directory>\Dell\SysMgt\apache-tomcat\conf\keystore.db.bak 重命名为 keystore.db
    对于支持的 Linux 操作系统:

    对于 32 位操作系统

    • 删除 /opt/dell/srvadmin/lib/openmanage/apache-tomcat/conf 中的 keystore.db 文件
    • /opt/dell/srvadmin/lib/openmanage/apache-tomcat/conf 中的 keystore.db.bak 文件重命名为 keystore.db

    对于 64 位操作系统

    • 删除 opt/dell/srvadmin/lib64/openmanage/apache-tomcat/conf 中的 keystore.db 文件
    • /opt/dell/srvadmin/lib64/openmanage/apache-tomcat/conf 中的 keystore.db.bak 文件重命名为 keystore.db

  3. 停止 Web Server。请参阅停止、启动或重新启动 Web Server 部分。

X.509 证书生成菜单:证书维护

证书 这是当前使用的 X.509 证书的名称。
选择适当的操作
  • 证书签名请求 (CSR):使用现有证书中的信息来生成证书请求。
  • 显示内容:显示证书的内容。此选项产生一个详细的报告,详细列出证书中的各个组件。
  • 以 BASE 64 编码格式导出证书:导出现有证书以供另一应用程序使用。

如果选择 CSR,Server Administrator 会生成 .csr 文件。Server Administrator 显示可以检索 .csr 文件的路径。

Server Administrator 还将提示您复制和保存证书的文本。

当您选择导出时,Server Administrator 使您可以以 .cer 文件下载证书,并将该文件保存到所选的目录。

X.509 自签证书内容

第一次创建证书时将收集以下字段的值:

别名 别名是在密钥库有证书的实体特定于密钥库的简短名称。用户可以为密钥库中的公用密钥和专用密钥分配任意别名。
创建日期 现有证书最初创建的日期。
提供商 默认的证书提供商是 Sun Microsystems 安全保护提供商。Sun 有一个处理 X509 类型的证书的证书工厂。
证书链 具有根证书以及相关响应的完整证书。

链元素 1:

如果用户查看证书内容,在说明中发现链元素 1:但没有发现链元素 2:,则现有证书是自签证书。如果证书内容含有链元素 2:,则该证书有一个或多个 CA 与之关联。

类型 X.509
版本 X.509 的版本。
有效 Server Administrator 是否认为证书有效()。
接收者 向其颁发证书的实体名称。此实体称作证书的接收者。
颁发者 签发证书的证书机构名称。
生效起始日期 证书生效的第一天。
有效期终止日期 证书有效期的最后一天。
序列号 标识此证书的唯一编号。
公共密钥 证书的公共密钥,即属于证书所担保的接收者的密钥。
公共密钥算法 RSA 或 DSA。
密钥用法 密钥用法扩展,定义密钥的用途。可以将密钥用于数字签名、密钥协议、证书签名等等。密钥用法是 X.509 规范的扩展,不必出现在所有 X.509 证书中。
签名 证书机构的标识摘要,授予证书的有效性。
签名算法名称 用于生成签名的算法。
签名算法 OID 签名算法的对象 ID。
签名算法参数 用于生成签名的算法,使用 TBS 证书作为输入。
TBS 证书 实际证书的主体。它包含证书中的所有命名和密钥信息。在签署或验证证书时,TBS 证书用作签名算法的输入数据。
基本限制 X.509 证书可以包含确定证书接收者是否是证书机构 (CA) 的可选扩展。如果接收者是 CA,此扩展将会返回证书链中跟在此证书后的证书数。
接收者唯一 ID 标识证书申请者的字符串。
颁发者唯一 ID 标识证书颁发者的字符串。
MD5 指纹 数字签名算法,通过创建 128 位的消息摘要或指纹来验证数据的完整性。该指纹对于输入数据是唯一的,就像指纹仅属于一个独立的人一样。
SHA1 指纹 安全哈希算法,一种用于验证数据完整性的加密信息摘要算法,使得复制摘要或指纹“需要付出极大的计算代价”而不值得这样做。
已编码的证书 证书的内容(二进制格式)。

CA 根证书导入:导入根证书

您可以导入从 CA 接收到的根证书。请执行下列步骤:

  1. 选择您要导入的根证书并单击更新并继续
  2. 选择证书回复(PKCS #7 格式,来自 CA)并单击导入

证书导入:导入证书链

要导入从 CA 获得的证书链,请执行以下操作:

  1. 键入您要导入的证书文件的名称,或单击浏览以搜索该文件。
  2. 选择该文件,然后单击导入

要了解 Server Administrator 操作页面中其他按钮的解释,请参阅 Server Administrator Window Buttons(Server Administrator 窗口按钮)。