【发布时间】:2016-04-27 13:30:53
【问题描述】:
从 datapower 导出多协议网关时,证书没有被导出。有没有办法从 Datapower 设备中提取证书?
【问题讨论】:
【发布时间】:2016-04-27 13:30:53
【问题描述】:
我一直认为 DataPower 不区分公钥(证书)和私钥是相当愚蠢的。确实没有很好的安全理由来禁止导出公共证书。
有一种解决方法。这比较麻烦,但它派上用场。假设您有一个名为 cert:///my-public.cer 的公共证书,您需要将其导出。
创建一个指向它的 DataPower Crypto Cert 对象,称为
CC-my-public。转到管理/杂项/加密工具并选择标签导出加密对象。
在Object Type中选择Certificate(这是唯一允许的选择),然后在Object Name中输入
CC-my-public和 输出文件 名称中的my-public-export.xml。点击导出加密对象按钮,然后确认。
现在临时文件系统中将有一个名为 temporary:///my-public-export.xml 的文件,它将包含一个 Base64 编码的证书副本。
【讨论】:
-
谢谢bjimba。我会试一试的。
是的,要执行此操作,您必须转到管理 > 杂项 > 加密工具,然后导航到导出加密对象选项卡。
在 Object Name 属性中,只需提供引用证书中证书的 Cerypto 证书对象的名称:您要导出。
在“输出文件名”属性中,指定任何名称,后跟 .xml(保持这种想法,我们仍在处理过程中)。
在Export Crypto Object中点击后,会在temporary:目录下放置一个具有指定文件名的新文件。
现在是时候使用技巧了…… 打开您喜欢的文本编辑器(XMLSpy、Notepad++、记事本、文本编辑等) 在新文本文件的第一行输入以下内容:
-----开始证书-----
打开在导出加密对象过程中创建的 .xml 文件 将元素 /crypto-export/certificate 下的内容复制到本地编辑器中的新文本文件中(以粗体显示):
<?xml version="1.0" encoding="utf-8"?>
<crypto-export version="1">
<certificate version="1">MIIEYjCCA0qgAwIBAg[...]IQOHO9nj6QowsSATEWDs==</certificate>
</crypto-export>
用内容完成新文本文件中的工作:
-----结束证书-----
最终的文件应该与此类似:
-----开始证书-----
MIEEYEBhMCVVMxCzAJBgNVBAgTAlRYMQ8wDQYDVQQHEwZBdXN0 jCCA0qgAwIBAgIISQOHO9nj6QowDQYJKoZIhvcNAQEFBQAwejE [...] aW4xEjAQBgNVBBAgIISQOHO9nj6QowDQYJKoZIhvcNAQEFBQAw ejELMAkGA1UW50ZWdyYXRpb24gVGVjaG5vbG9naWVzMRYwFAYD VQQDEw1zZ2EuYXZuZXWEWw==
-----结束证书-----
使用扩展名 .cer、.pem 等保存文件 完毕!您已经从 cert: 目录下的 DataPower 导出了一个证书。
在您问之前,是的,DataPower 仍然是安全的,并且无法按照此方法导出私钥。
【讨论】:
-
嘿,我尝试使用上述步骤从默认域导出证书,但是当我上传导出的证书时(通过添加开始和结束证书并更改为.cer),它无法打开在 datapower 框中,它会抛出错误,因为“它可能受密码保护/不包含证书”。
不,只能通过安全备份(已加密,因此您无论如何都无法读取)。
【讨论】:
您不能导出本地文件以外的文件。 如果你需要一些虚拟的东西,你总是可以通过在搜索中输入“加密工具”来创建自己的。唯一必填字段是“Common Name (CN)”,我想你知道其余的,它会在 cert: 中创建文件,扩展名为 -privkey.pem。
谢谢。
【讨论】: