Este tutorial describe 4 formas diferentes (A, B, C, D) de importar su propio certificado final para usar en el repositorio del servidor web, según el formato de su certificado. La parte E describe la importación de la respuesta de CA. No existe una descripción común para todos los formatos diferentes, ya que cada uno puede requerir acciones adicionales específicas, así que elija la opción a continuación que se ajuste a sus necesidades según el formato de origen de su certificado.
A: Convertir certificado SSL de formato *.pfx/*.p12 a cert.jks
1. Inicie una nueva instancia de Portecle > AdminTool GUI > Security > SSL Certificate Toolkit
2. Coloque *your_key*.pfx (o *your_key*.p12) en Portecle > (escriba su contraseña si es necesario)
3. Menú superior > Herramientas > Cambiar tipo de almacén de claves > JKS (distingue entre mayúsculas y minúsculas)
4. Menú superior > Herramientas > Cambiar tipo de almacén de claves > JKS (paso innecesario, pero hágalo de todos modos)
5. Con el botón DERECHO del mouse, haga clic en la entrada de clave privada > Establecer contraseña: secret
ADVERTENCIA: SI UTILIZA EN ESTE PASO UNA CONTRASEÑA QUE NO SEA secret, ¡FALLARÁ!
6. Menú superior > Herramientas > Establecer contraseña de almacén de claves: secret
ADVERTENCIA: SI UTILIZA EN ESTE PASO UNA CONTRASEÑA QUE NO SEA secret, ¡FALLARÁ!
7. Menú superior > Archivo > Guardar almacén de claves como > cert.jks
8. Localice el antiguo *\Clients\webserver\cert.jks y reemplácelo por el nuevo cert.jks
9. Reinicie el servidor HTML5 en la GUI de AdminTool para que el cambio sea efectivo
PD: tenga en cuenta que, si utilizó otras contraseñas que no sean "secret" en los pasos 5 y 6, el SSL fallará con la contraseña incorrecta, ya que "secret" es la única contraseña aceptada de manera predeterminada.
B: Convierta e importe el certificado SSL desde el formato *.key.
Si la autoridad de firma proporcionó la clave privada en formato *domain_private*.key/*domain_cert*.crt/*CA*.crt, entonces necesitará OpenSSL para convertir al formato *.pfx. Primero debe descargar los binarios de OpenSSL
https://wiki.openssl.org/index.php/Binaries o http://gnuwin32.sourceforge.net/packages/openssl.htm
1. Ejecute openssl.exe pkcs12 -export -out your_key.pfx -inkey *domain_private*.key -in *domain_cert*.crt -certfile *CA*.crt
Escriba como contraseña para exportar, por ejemplo: secret
2. Después de obtener your_key.pfx continúe con A: Convertir certificado SSL del formato *.pfx/*.p12 a cert.jks (en la parte superior de esta página).
PD: Puede que usted le dé un nombre diferente a *domain_private*.key/*domain_cert*.crt/*CA*.crt, pero deberían ser básicamente similares.
C: Convertir e importar certificado SSL desde otros formatos importables de Windows.
Si la autoridad de firma proporcionó *.pfx/*.cer u otros formatos de archivo que no contienen la ruta de confianza, entonces, como resultado, la clave en cert.jks no es confiable.
La entrada de clave privada debe contener la ruta de confianza completa, por ejemplo, si cert.jks se terminó y contiene la clave privada y el certificado necesarios, entonces verá los detalles de dicha clave privada en Portecle: Certificados 1 de 2, o 1 de 3, o 1 de 4, etc., ¡ese es el estado final que necesitamos!
Como en el ejemplo a continuación Certificados 1 de 2
1. En primer lugar, importe todos los certificados (normalmente en formato *.cer/*.crt) que obtenga de la autoridad en el almacén de claves de Windows
Para ello, haga clic en cada archivo y presione Instalar certificado
2. Importe la clave privada (normalmente en formato *.pfx/*.p12) haciendo clic en ella
Cuando importe la clave privada, asegúrese de marcar las casillas de verificación "Marcar esta clave como exportable" e "Incluir todas las propiedades extendidas"
3. Inicie certmgr.msc
4. Abra - Personal > Certificados
5. Haga clic derecho en su clave privada recién importada > Todas las tareas > Exportar
6. Elija > "Sí, exportar la clave privada"
7. (Muy importante) Marque las casillas de verificación "Incluir todos los certificados en la ruta de certificación si es posible" y "Exportar todas las propiedades extendidas"
En este paso, Windows incluye automáticamente los certificados en la ruta de confianza
8. Después de guardar la clave en your_key.pfx, continúe con A: Convertir el certificado SSL del formato *.pfx/*.p12 a cert.jks (en la parte superior de esta página).
D: Cómo exportar un certificado SSL desde IIS
https://support.tsplus.net/solution/articles/44000038484-how-to-export-ssl-https-certificate-from-iis-
E: Cómo importar la respuesta de la CA en cert.jks
Si la autoridad de certificación le proporcionó la respuesta de la CA después de enviar la solicitud de firma, puede tener dificultades para importar dicha respuesta de la CA, por lo que estas preguntas frecuentes abordan esta cuestión. En primer lugar, nunca elimine ni vuelva a crear la clave privada para la que ha creado su solicitud de CA, ¡van juntas! Y antes de continuar, asegúrese de que cert.jks contenga la clave privada para la que ha creado la solicitud de CA y luego ha recibido su respuesta de CA. Si su clave privada aún no está presente dentro de cert.jks, impórtela primero mediante Portecle > Herramientas > Importar par de claves.
1. Importe todos los certificados raíz e intermedios que obtuvo de la CA en cert.jks (contraseña predeterminada: secreta), por lo general son 2 o 3 certificados, pero podrían ser más. Debe importar los certificados a cert.jks uno por uno con Portecle > Herramientas > Importar certificado de confianza. Si esta acción le solicita la contraseña predeterminada del almacén de certificados de Java, utilice changeit, pero por lo general nunca se solicita ya que se asume que es la contraseña predeterminada changeit, pero en el peor de los casos intente esa contraseña de todos modos. En caso de que haya cambiado alguna vez la contraseña del almacén de certificados de Java manualmente, utilice su nueva contraseña establecida en su lugar. Recuerde que el certificado y la clave privada son dos entidades diferentes, los certificados generalmente tienen la extensión *.cer/*.crt.
Este paso es necesario porque cuando importe la respuesta de CA con Portecle, intentará crear la ruta de certificación y, si falta al menos un certificado raíz/intermedio necesario en el almacén de claves de cert.jks, la importación fallará con un error. A veces, CA no envía todos los certificados raíz/intermedios asumiendo que están instalados en Windows de manera predeterminada. En tal caso, debe exportar los certificados raíz/intermedios desde la tienda de Windows (como por ejemplo con certmgr.msc) y luego importarlos a cert.jks. Pero la parte más difícil puede ser reconocer cuál certificado pertenece a la ruta de certificación, ya que no siempre es posible distinguirlos solo por nombre, o solicitar/descargar estos certificados raíz/intermedios directamente desde la página de inicio de CA antes de comenzar con la importación de la respuesta de CA.
2. En Portecle > Haga clic derecho en su clave privada > Importar archivo de respuesta de CA (PERO NO CERTIFICADO RAÍZ O INTERMEDIO). Puede requerir contraseña, así que escriba la contraseña que utilizó originalmente. Si algo salió mal, ¡verifique todos los certificados intermedios! Si tiene éxito, ahora la entrada de clave privada debe contener la ruta de confianza completa, como por ejemplo si cert.jks se terminó y contiene la clave privada y los certificados necesarios, entonces verá los detalles de dicha clave privada en Portecle: Certificados 1 de 2, o 1 de 3, o 1 de 4, etc., ¡ese es el estado final que necesitamos! Como en el ejemplo a continuación Certificados 1 de 2
3. Haga clic derecho en la clave privada recién firmada > Exportar > Clave privada y certificados (PKCS#12) > secreto (como la contraseña asumida, o use la original) > y guarde en el archivo *your_key*.p12
4. Después de guardar la clave privada en *your_key*.p12 continúe con A: Convertir el certificado SSL del formato *.pfx/*.p12 a cert.jks (en la parte superior de esta página). Los pasos 3 y 4 de esta parte E: de las Preguntas frecuentes no son pasos explícitamente necesarios, pero el objetivo por el que continuar con la parte A de las Preguntas frecuentes es crear un nuevo archivo cert.jks limpio sin entradas innecesarias en su interior y sin la presencia de pocas claves privadas en el mismo almacén de claves (cert.jks) y, muy importante, con la contraseña predeterminada que es "secret", de lo contrario, el almacén de claves no será aceptado.
