Agregar a "Mis certificados" en Acceso a llaveros? (Mac OS 10.10)


18

Tengo un archivo de certificado como este:

-----BEGIN CERTIFICATE-----
MIIHCDCCBPC ....

Puedo hacer que aparezca en "Certificados" yendo a "Archivo-> importar elementos" (es el "Elin").

ingrese la descripción de la imagen aquí

Sin embargo, no puedo agregarlo a "Mis certificados", que creo que es necesario que aparezca cuando me conecte a ciertos sitios web:

ingrese la descripción de la imagen aquí

¿Cómo lo consigo allí? (¿Necesito convertirlo en .p12 por ejemplo y en ese caso cómo?)


vea si esto no es de utilidad para usted: digicert.com/ssl-support/… también muestra para exportar cert en .p12. Si eso hace lo que quieres, házmelo saber y lo pondré como respuesta :)
David Golding

Gracias @DavidGolding, pero estoy buscando una manera de obtener mi clave básica en un formato .p12, que creo que es un requisito previo para que se use en Mis certificados / para la autenticación del sitio web.
dani

Respuestas:


36

Versión corta:
no puede usarlo como su certificado a menos que tenga la clave privada que forma un conjunto coincidente con la clave pública que está en el certificado. Busque dónde dejó su clave privada e impórtela en el llavero, y Keychain Access verá automáticamente que coincide con la clave pública en ese certificado y comience a mostrar ese certificado en la lista "Mis certificados".

Versión larga: los
certificados son documentos públicos que puede distribuir libremente. Son solo una forma de vincular de forma segura su identidad (es decir, información de identificación como su nombre completo, nombre de usuario, dirección de correo electrónico, etc.) a su clave pública .

Dado que los certificados se pueden distribuir públicamente, el simple hecho de tener una copia de un certificado no es prueba de que usted es la persona nombrada en el certificado o que la clave pública en el certificado es realmente su clave pública.

Para poder probar que un certificado es suyo, debe tener la clave privada que forma un conjunto coincidente con la clave pública contenida en el certificado.

Si solo tiene un archivo .p7b o .cer o .pem, lo más probable es que solo contenga un certificado, pero no la clave privada que lo acompaña.

Las claves privadas deben mantenerse completamente seguras y privadas y nunca deben entregarse a nadie más. Cuando se almacenan en el disco, deben almacenarse en un archivo cifrado en el que necesita una frase de contraseña para descifrar. La forma típica de almacenar de forma segura un certificado junto con la clave privada correspondiente en un archivo cifrado y protegido con contraseña es un archivo .p12 (PKCS # 12). Vea si ya tiene un archivo .p12 en alguna parte.

Si Keychain Access muestra un certificado en su llavero personal, pero no lo muestra en la lista "Mis certificados", significa que importó solo un certificado pero no la clave privada que lo acompaña, por lo que OS X no puede saberlo que es realmente "tuyo".

Debe buscar dónde se almacenó su clave privada cuando generó por primera vez su par de claves pública / privada. Generar un par de claves es el primer paso para obtener un certificado. Primero se genera un par de claves, luego la clave pública, junto con su información de identidad, se coloca en una Solicitud de firma de certificado (también conocida como CSR, req) y se envía a una Autoridad de certificación (CA) para que la firme. Se supone que la CA debe verificar su información de identidad y su clave pública, y luego, si todo se verifica, firman el CSR y crean un certificado. El certificado firmado se le devuelve, y debe volver a compararlo con la clave privada que generó en el primer paso, para poder usarlo realmente.

Tenga en cuenta que el papel de CA no es nada terriblemente especial. No tiene que ser una corporación como Verisign. Cada sistema operativo de computadora personal contiene todo el software necesario para actuar como CA. La función de asistente de certificado de Keychain Access incluso lo guiará a través de la configuración de su configuración de CA para su propio uso privado.

Si no recuerda haber generado un par de claves, probablemente estaba utilizando algún software que lo hizo automáticamente por usted. Por ejemplo, hay una etiqueta HTML especial que los sitios web de CA pueden usar en sus formularios web CSR que le dice a su navegador web que genere automáticamente un par de claves y envíe solo la clave pública junto con el formulario web. Cuando utiliza Safari en un formulario de este tipo, la clave privada se almacena en el llavero del usuario para la cuenta de usuario de OS X en la que ha iniciado sesión. Cuando usa IE en Windows en un formulario de este tipo, la clave privada se almacena en el equivalente de Windows (Microsoft llama a esto "Almacén de certificados" del usuario; "almacenar" como en "contenedor de almacenamiento" no "tienda minorista" :-) .

No puedo decirte dónde está tu clave privada porque no sé qué software usaste para crearla, e incluso si lo supiera, no sabría con seguridad dónde le dijiste a ese software que guardara tu clave privada. Probablemente tengas que investigar eso tú mismo.

Si no puede encontrar su clave privada, es posible que deba considerarla comprometida y revocar su certificado (es posible que deba comunicarse con su CA para hacerlo) y comenzar de nuevo generando un nuevo par de claves, creando un nuevo CSR, teniendo un CA lo firma y emite un certificado, lo empareja con la nueva clave privada, etc. Esto es como darse cuenta de que le falta una copia de la llave de su casa, y elegir que un cerrajero vuelva a colocar todas las cerraduras de las puertas solo para cuidate.

tl; dr: busca tu clave privada e impórtala en el llavero.


2
Excelente respuesta; pero agregaré dos notas: Primero, por razones históricas, la extensión ".pfx" a veces se usa para archivos PKCS # 12 (ver Wikipedia ). Segundo, en las capturas de pantalla hay un triángulo de revelación al lado del certificado "com.apple.idmsa ..."; hacer clic en eso revelaría la clave privada correspondiente que hace que aparezca en "Mis certificados" y permite que se use para la autenticación.
Gordon Davisson

¿Cómo puedo mover el archivo de clave (que aparece después de hacer clic en el triángulo) de Keychain en una computadora a una nueva computadora?
Pier

1
@Pier Bienvenido a SuperUser. Haga su pregunta publicándola como su propia publicación de Pregunta, en lugar de hacerla en un comentario.
Spiff
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.