1) 服务器证书可以通过certsvr.nsf创建,不一定要新建服务器。
——此数据库可以通过csrv50.ntf为模板创建
2) 服务器证书在生成出来后,是一个秘钥对,一个公钥一个私钥。
3) 服务器证书生成之后,根证书已经包含了大部分的国际认证的根证书。
——可以通过“View And Edit Rings”视图,点击按钮“select key ring to display”
4) 根证书可以是自己签发的,也可以是从其他途径获得过来的,这个是公开的。
5) 根证书可以手工合并到服务器证书,通过“Install Tusted Root Certificate into Key Ring”合并。
6) 服务器证书如果想得到CA的认可,必须要请求别人认证你,过程是:生成一个请求串,发给CA中心,CA中心签发。然后把CA中心请求的文件通过“intall Certificate to Key Ring”合并到服务器证书,这时,浏览器访问的时候,才认为你的服务器是合法的。
7) 自建CA根证书和官方的根证书区别:
i. 自建根证书:需要在服务器证书里面合并加入;在web端,也需要将根证书安装在受信任的目录中。
ii. 官方根证书,服务器端在生成服务器证书的时候就已经包含了;在web端,证书管理里面也有自带的常用的官方的CA证书,所以无需重复安装。
8)
1) 服务器证书和个人证书其实没什么关系。
2) 服务器证书是用来向浏览器证明自己的身份的。
3) 个人证书是用来访问服务器,给服务器证明身份,加密数据的。
4) Domino个人证书也是和服务器证书几乎一样的步骤生成的。
a) 通过申请,填写基本信息,生成一串请求文件;
b) Domino通过CA根证书进行签发。
c) 从Web客户端将已经签发好的个人证书,提取出来安装。
d) 另外domino还保存每个个人的证书信息,并将CA根证书加入到个人信息中。
1) 服务器证书kyr格式可以用ikeyman.exe打开。但是不能用IBM HTTP Server自带的,和Domino自带的Ikeyman。因为这个两个的版本太高了。要重新下载ikeyman.exe
2) 用ikeyman打开,可以导出为P12格式的。
3) P12格式的可以有XCA把公钥和私钥分开。
4) Ikeyman打开k12后,可以导入其他的pfx格式文件——但是我导入的时候都是出错的。
5) 证书个时间的转换:PEM、DER、CER、PFX、P12都是可以通过OpenSSL来转换的。
6) OpenSSL下载之后,到安装目录里面打开Openssl.exe,按照命令运行即可。