Ajouter à «Mes certificats» dans Keychain Access? (Mac OS 10.10)

18

J'ai un fichier de certificat comme celui-ci:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Je peux le faire apparaître sous "Certificats" en allant dans "Fichier-> importer des articles" (c'est "Elin").

entrez la description de l'image ici

Je ne peux cependant pas l'ajouter à "Mes certificats" qui je pense est nécessaire pour qu'il apparaisse lors de la connexion à certains sites:

entrez la description de l'image ici

Comment puis-je l'obtenir là-bas? (Dois-je le transformer en .p12 par exemple et dans ce cas comment?)

dani
la source
voyez si cela peut vous être utile : digicert.com/ssl-support/… montre également à exporter le certificat au .p12. Si cela fait ce que vous voulez, faites-le moi savoir et je le mettrai comme réponse :)
David Golding
Merci @DavidGolding mais je cherche un moyen d'obtenir ma clé de base dans un format .p12 qui, je pense, est une condition préalable à son utilisation sous Mes certificats / pour l'authentification du site Web.
dani

Réponses:

36

Version courte:
vous ne pouvez pas l'utiliser comme certificat, sauf si vous disposez de la clé privée qui forme un ensemble correspondant avec la clé publique qui se trouve dans le certificat. Allez trouver où vous avez laissé votre clé privée et importez-la dans le trousseau, et Keychain Access verra automatiquement qu'elle correspond à la clé publique de ce certificat et commencera à afficher ce certificat dans la liste "Mes certificats".

Version longue: les
certificats sont des documents publics que vous pouvez distribuer librement. Ils ne sont qu'un moyen de lier en toute sécurité votre identité (c'est-à-dire des informations d'identification comme votre nom complet, votre nom d'utilisateur, votre adresse e-mail, etc.) à votre clé publique .

Étant donné que les certificats sont publiquement distribuables, le simple fait d'avoir une copie d'un certificat n'est pas une preuve que vous êtes la personne nommée dans le certificat ou que la clé publique du certificat est vraiment votre clé publique.

Pour pouvoir prouver qu'un certificat est le vôtre, vous devez disposer de la clé privée qui forme un ensemble correspondant avec la clé publique contenue dans le certificat.

Si vous n'avez qu'un fichier .p7b ou .cer ou .pem, il contient probablement un certificat, mais pas la clé privée qui l'accompagne.

Les clés privées doivent être parfaitement sécurisées et privées et ne doivent jamais être remises à quiconque. Lorsqu'ils sont stockés sur disque, ils doivent être stockés dans un fichier crypté que vous avez besoin d'une phrase secrète pour décrypter. La manière typique de stocker en toute sécurité un certificat avec la clé privée correspondante dans un fichier crypté protégé par mot de passe est un fichier .p12 (PKCS # 12). Vérifiez si vous avez déjà un fichier .p12 quelque part.

Si Keychain Access affiche un certificat dans votre trousseau personnel, mais qu'il ne l'affiche pas dans la liste "Mes certificats", cela signifie que vous avez importé juste un certificat mais pas la clé privée qui l'accompagne, donc OS X ne peut pas le dire que c'est vraiment "le vôtre".

Vous devez rechercher l'emplacement de stockage de votre clé privée lors de la première génération de votre paire de clés publique / privée. La génération d'une paire de clés est la première étape vers l'obtention d'un certificat. Une paire de clés est d'abord générée, puis la clé publique, avec vos informations d'identité, est placée dans une demande de signature de certificat (aka CSR, req) et envoyée à une autorité de certification (CA) pour signature. L'autorité de certification est censée vérifier vos informations d'identité et votre clé publique, puis si tout est vérifié, elle signe le CSR, créant un certificat. Le certificat signé vous est renvoyé, et vous devez le faire correspondre avec la clé privée que vous avez générée lors de la première étape, afin de vraiment l'utiliser.

Notez que le rôle de CA n'a rien de terriblement spécial. Il n'est pas nécessaire que ce soit une société comme Verisign. Chaque système d'exploitation d'ordinateur personnel contient tous les logiciels nécessaires pour agir en tant qu'autorité de certification. La fonction Assistant de certificat de Keychain Access vous guidera même à travers la configuration de votre configuration CA pour votre propre usage privé.

Si vous ne vous souvenez pas avoir généré une paire de clés, vous utilisiez probablement un logiciel qui l'a fait automatiquement pour vous. Par exemple, il existe une balise HTML spéciale que les sites Web de l'autorité de certification peuvent utiliser sur leurs formulaires Web RSE qui indique à votre navigateur Web de générer automatiquement une paire de clés et de soumettre uniquement la clé publique avec le formulaire Web. Lorsque vous utilisez Safari sur un tel formulaire, la clé privée est stockée dans le trousseau utilisateur du compte utilisateur OS X auquel vous êtes connecté. Lorsque vous utilisez IE dans Windows sur un tel formulaire, la clé privée est stockée dans l'équivalent de Windows (Microsoft appelle cela le "magasin de certificats" de l'utilisateur; "magasin" comme dans "conteneur de stockage" et non "magasin de vente au détail" :-) .

Je ne peux pas vous dire où se trouve votre clé privée parce que je ne sais pas quel logiciel vous avez utilisé pour la créer, et même si je le savais, je ne saurais pas exactement où vous avez dit à ce logiciel de sauvegarder votre clé privée. Vous devrez probablement le faire vous-même.

Si vous ne trouvez pas votre clé privée, vous devrez peut-être la considérer comme compromise et révoquer votre certificat (vous devrez peut-être contacter votre autorité de certification pour le faire) et recommencer en générant une nouvelle paire de clés, en créant une nouvelle CSR, en ayant un L'autorité de certification le signe et délivre un certificat, l'associe à la nouvelle clé privée, etc. C'est un peu comme se rendre compte qu'il vous manque une copie de la clé de votre maison, et choisir d'avoir un serrurier pour retaper toutes vos serrures de porte juste pour fais attention.

tl; dr: allez chercher votre clé privée et importez-la dans le trousseau.

Spiff
la source
2
Excellente réponse; mais j'ajouterai deux notes: Premièrement, pour des raisons historiques, l'extension ".pfx" est parfois utilisée pour les fichiers PKCS # 12 (voir Wikipedia ). Deuxièmement, dans les captures d'écran, il y a un triangle de divulgation à côté du certificat "com.apple.idmsa ..."; un clic qui révélerait la clé privée correspondante qui la fera apparaître dans "Mes certificats" et lui permettra d'être utilisée pour l'authentification.
Gordon Davisson
Comment déplacer le fichier clé (qui apparaît après avoir cliqué sur le triangle) du trousseau d'un ordinateur vers un nouvel ordinateur?
Pier
1
@Pier Bienvenue sur SuperUser. Veuillez poser votre question en la publiant en tant que votre propre question, plutôt que de la poser dans un commentaire.
Spiff