Aggiunta di un certificato SSL adding-an-ssl-certificate
Scopri come aggiungere un certificato SSL personalizzato con gli strumenti self-service di Cloud Manager.
Requisiti dei certificati certificate-requirements
Consulta la sezione Requisiti del certificato del documento Introduzione alla gestione dei certificati SSL per assicurarti che il certificato che desideri aggiungere sia supportato da AEM as a Cloud Service.
Aggiunta di un certificato adding-a-cert
Per aggiungere un certificato con Cloud Manager, segui la procedura riportata di seguito.
-
Accedi a Cloud Manager all’indirizzo my.cloudmanager.adobe.com e seleziona l’organizzazione appropriata.
-
Nella console I miei programmi, seleziona il programma.
-
Dalla pagina Panoramica, accedi alla schermata Ambienti.
-
Fai clic su Certificati SSL nel pannello di navigazione a sinistra. Nella schermata principale viene visualizzata una tabella con i dettagli di tutti i certificati SSL esistenti.
-
Fare clic su Aggiungi certificato SSL per aprire la finestra di dialogo Aggiungi certificato SSL.
- Inserisci un nome per il certificato nel campo Nome certificato.
- Il nome è unicamente a scopo informativo e può essere qualsiasi nome che ti aiuta a ricordare facilmente il certificato.
- Incolla il certificato, la chiave privata e la catena di certificati nei rispettivi campi. Tutti e tre i campi sono obbligatori.
- In alcuni casi, il certificato dell’utente finale può essere incluso nella catena e deve essere rimosso prima di incollare la catena nel campo.
-
Vengono visualizzati tutti gli eventuali errori rilevati.
- Prima di salvare il certificato è necessario risolvere tutti gli errori.
- Per ulteriori informazioni su come risolvere gli errori comuni, consulta la sezione Errori relativi ai certificati.
- Inserisci un nome per il certificato nel campo Nome certificato.
-
Per salvare il certificato, fai clic su Salva.
Una volta salvato, il certificato viene visualizzato come una nuova riga nella tabella.
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.
, è probabile che il certificato client sia stato incluso nella catena di certificati. Verifica che la catena non includa il certificato client e riprova.Errori relativi ai certificati certificate-errors
Se un certificato non è installato correttamente o non soddisfa i requisiti di Cloud Manager, possono verificarsi alcuni errori.
Criteri del certificato certificate-policy
Se visualizzi il seguente errore, controlla i criteri del certificato.
Certificate policy must conform with EV or OV, and not DV policy.
Normalmente i criteri del certificato sono identificati dai valori OID incorporati. Per visualizzare i criteri del certificato, genera il certificato come testo e ricerca i valori OID.
Puoi generare i dettagli del certificato come testo basandoti sull’esempio seguente come guida.
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
Il pattern OID nel testo definisce il tipo di criterio del certificato.
2.23.140.1.1
2.23.140.1.2.2
2.23.140.1.2.1
Conferma il criterio del certificato eseguendo il comando grep
per i pattern OID nel testo del certificato generato.
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
Ordine corretto dei certificati correct-certificate-order
Il motivo più comune alla base di una distribuzione dei certificati non riuscita è che i certificati intermedi o a catena non sono disposti nell’ordine corretto.
I file di certificato intermedi devono terminare con il certificato radice o con quello più vicino. Devono essere disposti in ordine decrescente, dal certificato main/server
alla radice.
È possibile determinare l’ordine dei file intermedi con il seguente comando.
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
Puoi verificare che la chiave privata e il certificato main/server
corrispondano con i seguenti comandi.
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
main/server
, ti viene richiesto di generarne una nuova generando un nuovo CSR e/o richiedendo un certificato aggiornato al fornitore SSL.Date di validità del certificato certificate-validity-dates
Cloud Manager richiede che il certificato SSL sia valido per almeno 90 giorni dalla data corrente. Verifica la validità della catena di certificati.