Digicert公司在2017全资收购了Symantec旗下所有SSL证书业务和品牌,所以目前该公司除了拥有Digicert SSL证书品牌外,还有Symantec SSL证书,Geotrust SSL证书多个原Symantec证书品牌。合并后的新Digicert,在全球企业级证书服务中目前处于绝对领先地位。 因此,这三个品牌的证书文件类型是相同的。下面就统一为大家介绍一下这三款证书形书以及在安装前需要做的一些准备工作。
一、一个完整的证书包含以下三(四)部分:
1、初级证书(也称作crt证书/证书文件),是由邮件形式发送,在整封邮件末尾部分,格式为:
—–BEGIN CERTIFICATE—–
[Encoded Certificate]
—–END CERTIFICATE—–
如图所示:
2、中间证书(也叫ca证书),这个有的是邮件下发,放在邮件的初级证书前,格式相同(如下图):
注:如果邮件中没有中间证书,用户可以自己到官网下载,下载地址会在该邮件中提及(如下图),用户根据地址下载即可。
中间证书可从下方链接进行下载,注意选好自己证书的版本(不清楚版本可联系Bishend工作人员):https://knowledge.digicert.com/generalinformation/INFO4033.html
3、Key文件(私钥),由Bisend工作人员提供。
4.root证书(根证书),这个文件一般不需要,但是也可以同中间证书一起下载使用。https://www.websecurity.symantec.com/content/dam/websitesecurity/support/digicert/geotrust/root/DigiCertGlobalRootCA.pem
(root证书都是一样的,也可以用此链接下载)
二、是否需要合并证书/转化证书格式?
1、当配置nginx或apache服务器时,需要将中间证书和初级证书合并成一个,再加上单独使用的key文件再进行安装。
合并方法:
打开文本编辑器(txt),将初级证书和中间证书按照【初级证书代码】→【中间证书代码】的顺序复制到文本中,保存为crt文件。(根证书在合并时可以不放,也可以放在除了第一顺序的任何其他顺序)
2、当配置IIS或Tomcat服务器时,需要其他格式的证书,例如JKS,则不用合并证书,而是转换证书。
证书格式转换方法:
方法一:用户可以使用OPENSSL工具在命令行下进行转换(具体命令网上可以查询);
- crt转pfx(pkcs12):
openssl pkcs12 -export -out domain.pfx -inkey domain.key -in domain.crt -certfile ca_bundle.crt
- crt转jks:网上搜索可以查到。
方法二:用户除了可使用命令行作为工具转化;也可用以下转换工具: https://www.racent.com/cert-convert
如图所示 ,根据提示上传相应文件,即可转换。(原格式选择PEM)
密码请自行设置,之后导入证书时会用到。
*最后:证书安装好以后可以进行检测是否安装正常,邮件中会有地址,根据地址内容进行操作即可:
