Google Haritalar Platformu Kök CA Taşıma Hakkında SSS

Bu doküman aşağıdaki bölümleri içerir:

• Terminoloji
• Genel bilgiler
• Sorun giderme
• Güvenilir sertifikalarınızı yönetme
• Ek

Devam eden Google kök CA taşıma işlemi hakkında daha ayrıntılı bir genel bakış için Neler oluyor?

Terminoloji

Aşağıda, Google Analytics 4'te yer almanız gereken en önemli terimlerin aşina olmanız gerekir. Daha kapsamlı bilgi edinmek için lütfen Google Trust Services ile ilgili SSS.

SSL/TLS Sertifikası

Sertifika, şifreleme anahtarını bir kimliğe bağlar.

SSL/TLS sertifikaları, kimlik doğrulaması yapmak ve güvenli bağlantılar kurmak için kullanılır web sitelerine. Sertifikalar, tüzel kişiler tarafından verilir ve kriptografik olarak imzalanır olarak da bilinir.

Tarayıcılar, güvenliği tanımak için güvenilir Sertifika Yetkilileri tarafından verilen sertifikalara güvenir doğru sunucuya gönderildiğini ve bu bilgilerin doğru şifrelenebilir.

Güvenli Yuva Katmanı (SSL)

Güvenli Yuva Katmanı, verileri şifrelemek için kullanılan ve en yaygın şekilde dağıtılan protokoldür internet iletişimi alanında çalışır. SSL protokolü artık güvenli kabul edilmez ve kullanılmamalıdır.

Taşıma Katmanı Güvenliği (TLS)

Taşıma Katmanı Güvenliği, SSL'nin yerini alacak.

Sertifika Yetkilisi (CA)

Sertifika Yetkilisi, cihazlar için dijital pasaport bürosu gibidir kişiler. kriptografik olarak korunan dokümanlar (sertifikalar) bir tüzel kişinin (ör. web sitesi) iddia ettiği kişi olduğunu onaylamak

CA'lar, sertifika verilmeden önce sertifika isteğinde bulunan kişi veya tüzel kişi ya da tüzel kişi ile bağlantılıdır.

Sertifika Yetkilisi terimi, hem Google Güven Hizmetler'e ve sertifika yayan sistemlere.

Kök sertifika deposu

Kök sertifika deposunda, Uygulama Yazılımı Tedarikçisi’dir. Çoğu web tarayıcısı ve işletim sistemi, izin verir.

Bir kök sertifika deposuna eklenebilmesi için sertifika yetkilisinin Uygulama Yazılımı Tedarikçisi tarafından belirlenen katı gereksinimleri yerine getirmelidir.

Genellikle bu özellikler arasında, CA/Tarayıcı Forumu şartlarına tabidir.

Kök Sertifika Yetkilisi

Kök Sertifika Yetkilisi (veya daha doğru bir ifadeyle sertifikası), en iyi sertifika haline gelir.

Kök CA sertifikaları genellikle kendinden imzalıdır. Aşağıdakilerle ilişkilendirilmiş özel anahtarlar: yüksek güvenlikli tesislerde saklanır ve çevrimdışı yetkisiz erişime karşı korumalarını sağlamak için gereklidir.

Ara Sertifika Yetkilisi

Ara Sertifika Yetkilisi (veya daha doğrusu sertifikası), başka sertifikaları imzalamak için kullanılan bir sertifikadır.

Ara CA'lar, esasen online sertifika verilmesini sağlamak için kök CA sertifikasının çevrimdışı kalmasına izin verir.

Ara CA'lar, Bağımlı CA'lar olarak da bilinir.

Sertifikayı Veren Sertifika Yetkilisi

Sertifikayı Veren Sertifika Yetkilisi, veya daha doğru bir ifadeyle, sertifikası, bir sertifikanın en alt kısmında yer alan sertifikayı imzalamak için kullanılan sertifika oluşturuyoruz.

En alttaki bu sertifikaya genellikle abone sertifikası denir. son varlık sertifikası veya yaprak sertifikası. Bu dokümanda ayrıca, sunucu sertifikası terimi kullanılır.

Sertifika zinciri

Sertifikalar, sertifikayı veren ile bağlantılıdır (şifreleme olarak imzalanır). CEVAP bir yaprak sertifikadan oluştuğundan, bunu düzenleyen ve bir kök sertifika.

Çapraz imza

Uygulama Yazılımı Tedarikçileri'nin istemcilerin kök sertifikalarını güncellemeleri gerekir ürünleri tarafından güvenebilecekleri yeni CA sertifikaları ekleme. Yeni CA sertifikalarını içeren ürünlerin yaygın bir şekilde kullanılır.

Eski istemcilerle uyumluluğu artırmak için CA sertifikaları "çapraz işaretli" daha önce yerleşik bir sertifika yetkilisi tarafından yapılır. Bu yöntem etkili bir şekilde aynı kimlik (ad ve anahtar çifti) için ikinci CA sertifikası.

Kök sertifika depolarına eklenen CA'lara bağlı olarak istemciler güvendikleri bir köke kadar farklı bir sertifika zinciri oluşturabilirler.

Genel bilgiler

What is happening?

Büyük resim

Google, 2017'de kendi kökünü oluşturmak ve kullanmak için çok yıllık bir proje başlattı. sertifikaları, yani TLS internetinin temeli olan kriptografik imzalar .

İlk aşamadan sonra, Google Haritalar Platformu hizmetlerinin TLS güvenliği çok bilinen ve yaygın olarak güvenilen bir kök olan GS Root R2 tarafından garanti edilmiştir Google'ın, GMO GlobalSign'dan edindiği sertifika yetkilisi (CA) (GTS) kök CA'larımıza geçiş sürecini ele alacağız.

Pratikte tüm TLS istemcileri (ör. web tarayıcıları, akıllı telefonlar ve uygulamalar) sunucuları) bu kök sertifikaya güvenmiş ve dolayısıyla sırasında Google Haritalar Platformu sunucularıyla güvenli bir bağlantı birkaç önerimiz var.

Ancak bir CA, tasarım gereği geçerlilik bitiş tarihi olabilir. GS Root R2'nin süresi şu tarihte dolacak: 15 Aralık 2021'de Google kendi hizmetlerini yeni bir sertifika yetkilisine taşıyacak. Google'ın kendi kök CA'sı tarafından yayınlanan bir sertifikayı kullanan GTS Root R1 Cross GTS Root R1.

Modern işletim sistemlerinin ve TLS istemci kitaplıklarının büyük çoğunluğu GTS kök CA'lara zaten güveniyor. Bu sayede çoğu kuruluş için sorunsuz bir geçiş Google, eski sistemlerle GMO GlobalSign'dan çapraz imza satın aldı. GlobalSign Root CA - R1, şu anda en eski ve en güvenilir kök CA'lardan biridir kullanılabilir.

Bu nedenle, çoğu müşteri Google Haritalar Platformu müşterileri bu güvenilir kök CA'lardan birini (veya ikisini birden) tanımalı ve geçişin ikinci aşamasından hiçbir şekilde

Bu durum, satın alma sürecinin ilk aşamasında harekete geçen müşteriler için de geçerlidir. 2018'de bir geçiş yapmıştık. O sırada talimatlarımızı uyguladıklarını tüm sertifikaları yükleme güvenilir Google kök CA paketi.

Aşağıdakiler geçerliyse sistemlerinizi doğrulamanız gerekir:

• hizmetlerinizin standart dışı veya eski platformlarda çalışması ve/veya kendi kök sertifika deposu
• 2017-2018 yılları arasında, Google'ın bu yeni sisteme geçiş kök CA taşıma işlemi veya tüm sertifikaları güvenilir Google kök CA paketi

Yukarıdaki koşullar geçerliyse müşterilerinizin önerilen kök sertifikaların bulunduğundan emin olun. taşımanın bu aşamasında Google Haritalar Platformu'nun kullanımı.

Diğer teknik ayrıntılar için aşağıya bakın. Genel talimatlar için lütfen Kök sertifika depom için güncelleme gerekip gerekmediğini doğrulama bölümüne bakın.

Ayrıca kök sertifikalarınızı şurada tutmaya devam etmenizi öneririz: hizmetlerinizi gelecekte kullanıma karşı korumak için yukarıda seçilen kök CA paketiyle senkronize edin kök CA değişiklikleridir. Ancak bunlar önceden duyurulacaktır. Bölümleri göster Bu taşıma aşamasıyla ilgili güncellemeleri nasıl alabilirim? ve İlerideki taşıma işlemleri hakkında nasıl önceden bildirim alabilirim? ziyaret edin.

Teknik özet

15 Mart 2021'de Google Güvenlik Blogu, Google Haritalar Platformu'nun 2018'in başından beri kullandığı kök CA olan GS Root R2 15 Aralık 2021 tarihinde sona erecektir. Bu nedenle Google, bu yıl içinde yeni yayınlanan bir CA GTS Root R1 Cross'a geçin. Bu, hizmetlerimizin kademeli olarak bu yeni CA tarafından yayınlanan TLS yaprak sertifikalarına geçiş yapacaktır.

Modern TLS istemcilerinin ve sistemlerinin neredeyse tamamı GTS Root R1 sertifikasına sahip olmanız veya sertifikayı normal yazılım güncellemeleri aracılığıyla almanız gerekir. ve GlobalSign Root CA - R1 ise daha eski eski sistemlerde kullanılabilir.

Ancak en azından aşağıdaki iki noktanın da geçerli olması durumunda sistemlerinizi doğrulamalısınız. uygulayın:

• hizmetlerinizin standart olmayan veya eski platformlarda çalışması ve/veya kendi kök sertifika deposu
• 2017-2018 yılları arasında, Google'ın bu yeni sisteme geçiş kök CA taşıma işlemi veya tüm sertifikaları güvenilir Google kök CA paketi

Kök sertifika depomun güncellenmesi gerektiğini doğrulama bölümünde genel bilgiler verilmiştir tavsiye edilir.

Soruyu göster Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize etmeliyim? inceleyebilirsiniz.

Bu taşıma aşamasıyla ilgili güncellemeleri nasıl alabilirim?

186840968 numaralı herkese açık soruna yıldız ekleyin güncellemelerine göz atın. Bu SSS ayrıca taşıma süreci boyunca İlginizi çekebilecek konularla karşılaşırsınız.

Gelecekteki taşıma işlemleri hakkında nasıl önceden bildirim alabilirim?

Şunu izlemenizi öneririz: Google Güvenlik Blogu Aynı zamanda herkese açık talimatların ardından ürüne özel dokümanları en kısa sürede güncelleyin. duyuracağım.

Lütfen Google Haritalar Platformu Bildirimleri: daha fazla sayıda müşteriyi etkilemesidir.

Birden çok Google hizmeti kullanıyoruz. Kök CA taşıma işlemi hepsini etkiler mi?

Evet, kök CA taşıma işlemi tüm Google hizmetlerinde ve API'lerde gerçekleşir. bu süre hizmete göre değişebilir. Ancak, kök dizin Google Haritalar Platformu istemci uygulamalarınız tarafından kullanılan sertifika mağazaları listelenen tüm CA'ları, güvenilir Google root CA paketi kullanıyorsanız devam eden taşıma işleminden etkilenmemelidir ve bu senkronizasyonu sizi gelecekte yapılacak kök CA değişikliklerine karşı da korur.

Soruları göster Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize etmeliyim? ve Hangi tür uygulamaların bozulma riski var? göz atın.

Aşağıdaki Kök sertifika mağazamın güncellenmesi gerektiğini doğrulama bölümünde ayrıca şunlar da sağlanmaktadır: genel talimatları inceleyin.

Kök sertifika depom için güncelleme gerekip gerekmediğini doğrulama

Uygulama ortamınızı aşağıda listelenen test uç noktalarıyla karşılaştırarak test edin:

• Sunucunuza TLS bağlantısı GTS Root R1 Çapraz test uç noktası, GS Root R2'nin süresinin dolmasından etkilenmeyecektir.
• Sunucunuza TLS bağlantısı GTS Root R1 test uç noktası, uygulamanız büyük olasılıkla, geçerlilik süresinin sona ermesinden 2028'de GTS Root R1 Cross ve GlobalSign Root CA - R1.

Aşağıdaki durumlarda sisteminiz genellikle bu kök CA değişikliğiyle uyumlu olur:

• hizmetiniz ana akım bir işletim sistemiyle çalışıyorsa ve hem işletim sistemini hem de hizmetinizin yama uygulanmış olarak kullandığı kitaplıkları muhafaza etti ve kendi kök sertifika deponuzun bakımını yapmıyorsanız veya:
• önceki önerilerimizi uyguladınız ve güvenilir Google kök CA paketi

Muhtemelen etkilenen müşteriler sertifikaları Google Play'den güvenilir Google kök CA paketi ile hizmet kesintilerini önler.

Soruyu göster Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize etmeliyim? inceleyebilirsiniz.

Kök sertifika depomuzu doğrulamak için kullanabileceğim basit bir araç var mı?

curl ve openssl adlı iki komut satırı aracını yararlı bulabilirsiniz: soruşturmaya başladım. Her ikisi de çoğu platformda kullanılabilir ve çok sayıda seçenekleriniz vardır.

curl ile ilgili talimatlar için Kıvırma bölümüne bakın bölümüne göz atın.

Aşağıda gösterilen openssl komutları 1.1.1 veya sonraki sürümler içindir. 1.1.1'den önceki sürümler desteklenmemektedir. Önceki bir sürümü kullanıyorsanız sürümünü yükseltmeniz veya bu komutları sürümünüz için gerektiği şekilde değiştirmeniz gerekir. Talimatlar için openssl alma hakkında daha fazla bilgi için aşağıdaki OpenSSL'yi Edinme bölümüne bakın.

Bölüm bölümünde başka yararlı araçlar da bulabilirsiniz: İhtiyacım olan araçları nereden edinebilirim? başlıklı bölümü aşağıda bulabilirsiniz.

Somut test talimatları için lütfen şu bölüme bakın: Kök sertifika depom için güncelleme gerekip gerekmediğini doğrulama.

Varsayılan kök sertifika deponuzu test etme

curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demo.pki.goog/; \
openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

Güvenilir Google kök CA paketini doğrulama

İndirin: güvenilir Google kök CA paketi kullanıyorsanız ve şu adımları uygulayın:

curl -vvI --cacert roots.pem https://maps.googleapis.com; \
openssl s_client -CAfile roots.pem -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

Google kök CA taşıma işlemi nasıl ve ne zaman devam edecek?

1. İlk aşama (GS Root R2'ye geçiş), Ocak 2017'de duyurduğumuz 2017'nin sonlarında başladı ve 2018'in ilk yarısında tamamlandı.
2. İkinci aşama (GTS Root R1 Cross'a geçiş) 2021'in Mart ayında duyuruldu. GS Root R2'nin kullanılabilmesi için önümüzdeki aylarda, 15 Aralık 2021.

İlerideki nihai taşıma aşamalarının programları çok önceden duyurulacaktır sona erme ihtimalini de artırır.

Ancak, doğrulama yapmaya devam ederseniz uygulamalarınızı kök sertifikalarınız, aynı dizindeki kök CA'ların bulunduğu listeyle senkronize güvenilir Google kök CA paketi.

Soruyu da göster Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize etmeliyim? inceleyebilirsiniz.

Her Google hizmeti için genel kullanıma sunma planı

1. Aşamalı sunum, tek bir veri merkezinde başlar.
2. Global hale gelene kadar kademeli olarak daha fazla veri merkezine geçiş yardımcı olabilir.
3. Herhangi bir aşamada ciddi sorunlar tespit edilirse testler geri alınabilir. geçici olarak da sürdürebilir.
4. Önceki yinelemelerden gelen girdilere göre diğer Google hizmetleri tüm Google hizmetleri kademeli olarak yeni sertifikalar yer alıyor.

Kim, ne zaman ve nerede etkilenecek?

Giderek artan sayıda Google Haritalar Platformu geliştiricisi almaya başlayacaksınız. yeni sertifikaları da alabilirsiniz. Değişiklikler istemci istekleri web'deki sunuculara iletildiğinden ve veri merkezlerine erişim sağlar.

Bu durumdan kimin, ne zaman ve nerede etkileneceğini önceden kesin olarak söyleyemeyiz. tüm müşterilerimizin hizmetlerini zaten doğrulamalarını ve geleceğe hazır hale getirmelerini öneriyoruz çok önceden hazırlanmanıza yardımcı olur.

Ek bilgi için Kök sertifika depomun güncellenmesi gerektiğini doğrulama bölümüne bakın rehberlik eder.

Dikkat edilecek noktalar

Gerekli kök sertifikayla yapılandırılmamış istemciler, Google Haritalar Platformu'na TLS bağlantısını doğrulayabilmeleri. Burada durumunda, istemciler genellikle sertifika doğrulamasının sertifika doğrulamasına başarısız oldu.

TLS yapılandırmasına bağlı olarak, istemciler (varsa) TLS yapılandırmalarına devam edebilir Google Haritalar Platformu isteğinde bulunabilir veya isteği gönderin.

TLS istemcisinin Google Haritalar Platformu ile iletişim kurabilmesi için minimum gereksinimler nelerdir?

Google Haritalar Platformu sertifikaları, DNS Konusu Alternatif Adlarını kullanır (SAN'ler), yani kullanıcı istemcinin sertifika işlemesi, adın en solunda yer alan etiket olarak tek bir joker karakter (ör. *.googleapis.com).

Diğer şartlar için lütfen TLS istemcisinin Google ile iletişim kurması için önerilen gereksinimler nelerdir? GTS SSS sayfasına göz atın.

Ne tür uygulamaların bozulma riski var?

Uygulama, geliştiricinin uyguladığı herhangi bir kısıtlama olmadan sistem kök sertifika deposunu kullanır

Google Haritalar Platformu web hizmeti uygulamaları

Yaygın bir işletim sistemi (ör. Ubuntu, Red Hat, Windows 10 veya Server 2019, OS X) yüklü olduğu varsayılır. Varsayılan değer, Kök sertifika deposu, GTS Root R1 sertifikasını zaten içermelidir.

Artık güncelleme almayan eski bir işletim sistemi sürümü kullanıyorsanız, GTS Root R1 sertifikasına sahip olmayabilir. Ancak kök sertifikalarınız mağaza girişiniz büyük olasılıkla GlobalSign Root CA - R1 kök CA'lara dayanıyor.

Doğrudan Google Haritalar Platformu web hizmetlerini arayan mobil uygulamalar için son kullanıcı cihazından, soru kurallarına Mobil uygulamalar bozulma riskiyle karşı karşıya mı? geçerlidir.

İstemci tarafı Google Haritalar Platformu uygulamaları

Maps JavaScript API uygulamaları genellikle Sertifikalar ve sertifikalar bulunur. Bölümü inceleyin JavaScript uygulamalarının bozulma riski var mı? inceleyebilirsiniz.

Android için Haritalar SDK'larından herhangi birini kullanan yerel mobil uygulamalarda iOS için Haritalar SDK'sı, Android için Yerler SDK'sı veya iOS için Yerler SDK'sını kullanıyorsanız aynı kurallar Google Maps Platform web hizmetleri.

Soruyu göster Mobil uygulamalar bozulma riskiyle karşı karşıya mı? inceleyebilirsiniz.

Uygulama kendi sertifika paketini kullanır veya sertifika sabitleme gibi gelişmiş güvenlik özelliklerini kullanır

Sertifika paketinizi kendiniz güncellediğinizden emin olmanız gerekir. Konuşulduğu gibi soru-cevap Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize etmeliyim?, Sertifika Dizini'ndeki tüm sertifikaları güvenilir Google kök CA paketi oluşturmanız önerilir.

Google alanları için sertifikaları veya ortak anahtarları sabitliyorsanız olursa, sertifikaları ve ortak anahtarları Güvenilir varlıkların listesi.

Sertifika veya ortak anahtar sabitleme hakkında daha fazla bilgi için Daha fazla bilgiye mi ihtiyacınız var? sorusu altında listelenen harici kaynaklara göz atın.

Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize etmeliyim?

Şuradaki kök CA'ların seçilmiş listesi: güvenilir Google kök CA paketi Google hizmetleri tarafından kullanılabilecek tüm CA'ları içerir. öngörülebilir bir gelecek projedir.

Bu nedenle, sisteminizi geleceğe hazırlamak isterseniz kök sertifika deponuzun tüm sertifikaları içerdiğini doğrulamanız gerekir ve bu ikisini uyumlu bir şekilde tutmayı alışkanlık haline getirin.

Bu, özellikle hizmetleriniz bakımsız bir işlem üzerinde çalışıyorsa önemlidir. başka nedenlerden dolayı işletim sisteminizi koruyamıyorsanız ya da yama uygulanmış kitaplıklar varsa veya kendi kök sertifika deponuzu kullanabilirsiniz.

Soruyu göster İleride yapılacak taşıma işlemleri hakkında nasıl önceden bildirim alabilirim? başlıklı makalemize göz atın. Düzenli olarak kök sertifika deponuzu seçilen listeyle uyumlu tutarak hizmetlerinizi, CA değişikliklerinden dolayı gelecekte yaşanabilecek hizmet kesintilerine karşı korumak, ve hizmetlerinizi her iki sözleşmenin de süresi bitene kadar GTS Root R1 Cross ve GlobalSign Root CA - R1.

Ayrıca lütfen şu soruya bakın: Google hizmetlerine bağlanan bir ürün geliştiriyorum. Hangi CA sertifikalarına güvenmem gerekiyor? Daha fazla öneri için GTS SSS sayfasına bakın.

Neden herhangi bir yaprak veya ara CA sertifikası yüklemeliyim?

Bunu yaparsanız yeni bir veya ara CA'ları değiştirebilirsiniz. Bunlardan herhangi biri ve önceden bildirimde bulunmaksızın, her bir sunucu için eşit şekilde geçerlidir. maps.googleapis.com tarafından sunulanlar gibi sertifikaların yanı sıra (ör. GTS Root R1 Cross) arayın.

Hizmetlerinizi buna karşı korumak için yalnızca root yüklemeniz gerekir. Yeşil Ofis’in güvenilir Google kök CA paketi ve güvenilir olduğunu doğrulamak için yalnızca kök sertifikaya güvenmek bir sertifika zincirinin tamamını oluşturabilir.

Tüm modern TLS kitaplığı uygulamaları, otomatik olarak doğrulanabilir söz konusu güven zincirlerini devre dışı bırakabilirsiniz.

JavaScript uygulamalarının bozulma riski var mı?

GTS kök sertifikaları zaten yerleşik ve çoğu modern kuruluş tarafından iyi bir şekilde yerleştirilmiş ve güvenilirdir ve GMO GlobalSign'dan alınan çapraz işaret, sorunsuz bir taşımayı sürdürmenize olanak tanır. Bu, tüm reklam satırlarının resmi olarak desteklenen tarayıcılar Google Haritalar JavaScript API'si için mevcuttur.

Her modern tarayıcı, son kullanıcıların güvendiği sertifikaları gösterir. Asıl konum her bir işletme için farklı olsa da kullanıyorsanız, sertifikaların listesi Ayarlar.

Mobil uygulamalar bozulma riskiyle karşı karşıya mı?

Android ve Apple iOS cihazlar, cihazdan düzenli olarak güncelleme almaya devam ediyor. geleceğe hazır olmaları beklenir. En eski Android telefon modelleri en azından GlobalSign Root CA - R1 sertifikasını içerir. Bununla birlikte, Güvenilir sertifikaların listesi mobil cihaz üreticisi, cihaz modeli ve e-posta adresi gibi Android sürümü.

Ancak GTS Root R1 dahil GTS kök CA'ları için destek sunulmaya devam edebilir. 10'dan önceki Android sürümlerinde sınırlıdır.

Apple, iOS cihazlar için en yeni iOS kullanan cihazlar için güvenilir kök CA'ların bir listesini tutar. sürümüne yükleyin. Ancak iOS 5 ve sonraki sürümlerin tümü GlobalSign Root CA - R1.

GTS Root R1 dahil GTS kök CA'ları, iOS sürümünden itibaren destekleniyor 12.1.3.

Soruyu göster Cep telefonumda güvenilir kök sertifikaları nasıl kontrol edebilirim? inceleyebilirsiniz.

Tarayıcım veya işletim sistemim, Google Trust Services kök sertifikalarını ne zaman içerecek?

Google son yıllarda tüm büyük üçüncü taraflarla kapsamlı şekilde çalışmıştır Yaygın olarak kullanılan ve güvenilir kök sertifika paketlerini koruyabilirsiniz. Örnek olarak şunlar verilebilir: Apple ve Microsoft gibi işletim sistemi üreticilerinin yanı sıra Android ve ChromeOS ekiplerine sahip olmalısınız; tarayıcı geliştiricilerin (ör. Mozilla, Apple) Microsoft'un yanı sıra Google'ın kendi Chrome ekibi; donanım üreticileri, örneğin telefonlar, set üstü kutular, TV'ler, oyun konsolları, yazıcılar.

Bu nedenle, büyük olasılıkla şu anda bakımı yapılan herhangi bir sistem, GTS Root R1 ve hatta eski hizmetler dahil olmak üzere Google'ın yeni GTS Kök CA'larını destekler. sistemlerinin GlobalSign Root CA - R1 etiketini destekleme olasılığı yüksektir. Google'ın verdiği sertifikaların çapraz imzalanması için kullanılacağından emin olun.

Ancak üçüncü taraf sertifikalarının dahil edilme zaman çizelgeleri büyük ölçüde size yardımcı olabileceği için, sunabileceğimiz en iyi genel tavsiye, Mevcut sistem güncellemelerini düzenli olarak uygulama.

Mozilla'nın CA Sertifika Programı (ör. Mozilla'nın CA Certificate Program) kendi içeriklerini belgele sertifika dahil etme zaman çizelgelerini inceleyin.

Sorun giderme

İhtiyaç duyduğum araçları nereden edinebilirim?

Kıvırma

İşletim sistemi dağıtımınız curl sağlamıyorsa indirebilirsiniz https://curl.haxx.se/ adresinde bulabilirsiniz. Aşağıdaki yöntemlerden birini uygulayabilirsiniz kaynağı indirin ve aracı kendiniz derleyin veya önceden derlenmiş bir varsayabilirsiniz.

OpenSSL'yi alma

OS dağıtımınız openssl sağlamıyorsa indirebilirsiniz https://www.openssl.org/ adresinden alınan kaynak aracı derleyin. 3. tarafların oluşturduğu ikili programların bir listesini şu adreste bulabilirsiniz: https://www.openssl.org/community/binaries.html. Ancak bu derlemelerin hiçbiri Google tarafından .

Wireshark, Tshark veya Tcpdump'ı alma

Çoğu Linux dağıtımı wireshark hizmetini sunarken, kullandığı komut satırı aracı tshark ve tcpdump gibi diğer işletim sistemleri için ilk ikisinin önceden derlenmiş sürümleri https://www.wireshark.org adresinde bulabilirsiniz.

Tcpdump ve LibPCAP'nin kaynak kodunu şu adreste bulabilirsiniz: https://www.tcpdump.org.

Bu yararlı araçlarla ilgili belgeleri Wireshark Kullanıcı Kılavuzu, Tshark man sayfasında ve Tcpdump man sayfasında tıklayın.

Java keytool'u alma

keytool komut satırı aracı her Java ile birlikte gönderilmelidir. Geliştirme Kiti (JDK) veya Java Çalışma Zamanı Ortamı (JRE) sürümü. Bunları yükle to get keytool. Ancak, keytool kullanmak pek olası değildir uygulamanız oluşturulmadığı sürece kök sertifika doğrulaması için gereklidir. yardımcı oluyorum.

Üretim kesintisinde yapılması gerekenler

İlk olarak yapmanız gereken, gerekli kök dosyayı yüklemektir. Yeşil Ofis’in güvenilir Google kök CA paketi uygulamanızın kullandığı kök sertifikaları depolayacaktır.

1. Yerel ayarlarınızı yeni sürüme geçirmek için sistem yöneticilerinizle birlikte kök sertifikaları deposunda.
2. Sisteminiz için geçerli olan işaretçiler için bu SSS'yi inceleyin.
3. Platforma veya sisteme özgü daha fazla yardıma ihtiyacınız olursa sistem sağlayıcınız tarafından sunulan teknik destek kanalları hakkında daha fazla bilgi edinin.
4. Genel yardım için aşağıdaki adımları uygulayarak destek ekibimizle iletişime geçin: bölüm Google Haritalar Platformu Destek Ekibi ile iletişime geçme. Not: Platforma özgü sorunlarda destek sağlayabilmek için elimizden gelenin en iyisini yapmanız gerekir .
5. 186840968 numaralı herkese açık soruna yıldız ekleyin Taşımayla ilgili diğer güncellemeleri.

Google Haritalar Platformu destek ekibiyle iletişime geçme

İlk sorun giderme

Bölümü inceleyin Kök sertifika depom için güncelleme gerekip gerekmediğini doğrulama sayfasına göz atın.

Bölüm Güvenilir sertifikalarınızı yönetmek kök içe veya dışa aktarmanız gerekiyorsa değerli bilgiler ekleyebilirsiniz.

Sorun çözülmediyse ve Google Haritalar Platformu ile iletişime geçmeye karar verirseniz destek, şu bilgileri sağlamaya hazır:

1. Etkilenen sunucularınız nerede bulunuyor?
2. Hizmetiniz hangi Google IP adreslerini arıyor?
3. Hangi API'ler bu sorundan etkileniyor?
4. Sorun tam olarak ne zaman başladı?

5. Aşağıdaki komutların çıktıları:

   curl -vvI https://maps.googleapis.com; \
   openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
   curl -vvI https://good.gtsr1.demo.pki.goog/; \
   openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
   curl -vvI https://good.gtsr1x.demo.pki.goog/; \
   openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;
   

Gerekli araçları kullanma talimatları için şu soruya bakın: İhtiyacım olan araçları nereden edinebilirim?

Destek yazışması oluşturma

Lütfen Destek kaydı oluşturma altında Google Haritalar Platformu Desteği ve Kaynakları.

Destek kaydı oluştururken, bölümde listelenen verilere ek olarak İlk sorun giderme bilgileri, lütfen aşağıdaki bilgileri de sağlayın: takip etmek için:

• Herkese açık IP adresleriniz nedir?
• DNS sunucunuzun herkese açık IP adresi nedir?
• Mümkünse, başarısız TLS'nin tcpdump veya Wireshark paket yakalaması https://maps.googleapis.com/ için PCAP biçiminde pazarlık yapılır. olmadan tüm paketi yakalamak için yeterince büyük anlık görüntü uzunluğu kısaltılır (ör. tcpdump ürününün eski sürümlerinde -s0 kullanılarak).
• Mümkünse hizmetinizden tam TLS bağlantısını gösteren alıntılar günlüğe kaydedilir tercihen tam sunucu sertifikası zinciri bilgileriyle birlikte bir hata oluşmasını sağlayın.

Gerekli araçları kullanma talimatları için şu soruya bakın: İhtiyacım olan araçları nereden edinebilirim?

186840968 numaralı herkese açık sorunda yayınlanıyor

Herkese açık bir sorun hakkında yorum yayınlarken 186840968, lütfen bölümde listelenen bilgileri İlk sorun giderme.

DNS'imin herkese açık adresini nasıl belirleyebilirim?

Linux'ta aşağıdaki komutu çalıştırabilirsiniz:

dig -t txt o-o.myaddr.l.google.com

Windows’da nslookup’ı etkileşimli mod:

C:\> nslookup -
set type=TXT
o-o.myaddr.l.google.com

Curl çıkışını yorumlama

curl öğesini -vvI flag'leriyle çalıştırmak çok faydalıdır ekleyebilirsiniz. Aşağıda, çıkışı yorumlamaya ilişkin birkaç talimat verilmiştir:

• "*" ile başlayan satırlar TLS'den çıkış görüntüle inceleme ve bağlantı sonlandırma bilgilerini içerir.
• ">" ile başlayan satırlar giden HTTP isteğini görüntüler curl gönderiyor.
• "<" ile başlayan satırlar aldığı HTTP yanıtını görüntüle sunucu üzerinde çalışır.
• Protokol HTTPS ise ">" varlığı veya "<" çizgiler a TLS el sıkışması başarılı.

Kullanılan TLS kitaplığı ve kök sertifika paketi

curl, -vvI flag'leriyle çalıştırıldığında burada gösterildiği gibi, tam çıkış sisteme göre değişiklik gösterebilir.

NSS'ye bağlı curl ile bir Red Hat Linux makinesinden çıkış şu satırları içerebilir:

* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none

Bir Ubuntu veya Debian Linux makinesinden gelen çıkış şu satırları içerebilir:

* successfully set certificate verify locations:
* CAfile: none
  CApath: /etc/ssl/certs

Google kök sertifikası PEM dosyasını kullanarak Ubuntu veya Debian Linux makinesinden çıkış --cacert işareti kullanıldığında şu satırları içerebilir:

* successfully set certificate verify locations:
* CAfile: /home/<user>/Downloads/roots.pem
  CApath: /etc/ssl/certs

Kullanıcı aracısı

Giden istekler, kullanıcı aracısı başlığını içerir. Bu başlık, curl ve sisteminiz hakkında bilgiler.

Red Hat Linux makinesinden bir örnek:

> HEAD / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh1/1.4.2
> Host: maps.googleapis.com
> Accept: */*
>

Başarısız TLS el sıkışması

Bu kod örneğindekiler gibi satırlar, bağlantının güvenilir olmayan bir sunucu sertifikası nedeniyle TLS el sıkışması sırasında sonlandırıldı. İlgili içeriği oluşturmak için kullanılan > veya < ile başlayan hata ayıklama çıkışı olmaması da bağlantı denemesinin güçlü göstergeleri:

*** SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0**

Başarılı TLS el sıkışması

Başarılı bir TLS el sıkışması, benzer görünümlü çizgilerin varlığıyla gösterilir. kod örneğindekilere bakalım. Şifrelenmiş dosyalar için kullanılan şifreleme paketi bağlantısı ve kabul edilen sunucunun bilgileri listelenmelidir sertifikası. Ayrıca, > veya <, yük HTTP trafiğinin başarıyla iletildiğini gösterir TLS şifrelemeli bağlantı üzerinden:

*   Trying 108.177.15.95:443...
* Connected to maps.googleapis.com (108.177.15.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Mountain View; O=Google LLC; CN=upload.video.google.com
*  start date: Mar 23 08:24:47 2021 GMT
*  expire date: Jun 15 08:24:46 2021 GMT
*  subjectAltName: host "maps.googleapis.com" matched cert's "*.googleapis.com"
*  issuer: C=US; O=Google Trust Services; CN=GTS CA 1O1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55c4acf0c560)
> HEAD / HTTP/2
> Host: maps.googleapis.com
> user-agent: curl/7.74.0
> accept: */*
>
> HTTP/2 302
…

Alınan sunucu sertifikalarını insanlar tarafından okunabilecek şekilde yazdırma

Çıkışın PEM biçimli olduğu varsayılırsa (ör. çıktısı da openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null, şu adımları uygulayarak sunulan sertifikayı yazdırabilirsiniz:

• Üstbilgi ve altbilgi dahil, Base 64 olarak kodlanmış sertifikanın tamamını kopyalayın:

  -----BEGIN CERTIFICATE-----
  …
  -----END CERTIFICATE-----
  

• Daha sonra şunları yapın:

  openssl x509 -inform pem -noout -text
  ````
  

• Daha sonra, kopyalama arabelleğinizin içeriğini terminale yapıştırın.

• Return tuşuna basın.

Örneğin giriş ve çıkış için şu bölüme bakın: PEM sertifikalarını insanlar tarafından okunabilecek şekilde yazdırma.

Çapraz imzalı Google sertifikaları OpenSSL'de nasıl görünür?

…
---
Certificate chain
 0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog
   i:C = US, O = Google Trust Services LLC, CN = GTS Y1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
 1 s:C = US, O = Google Trust Services LLC, CN = GTS Y1
   i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog

issuer=C = US, O = Google Trust Services LLC, CN = GTS Y1

---
…

Güvenilir sertifikalarınızı yönetme

Cep telefonumda güvenilir kök sertifikaları nasıl kontrol edebilirim?

Android güvenilir sertifikaları

Soru altında belirtildiği gibi Mobil uygulamalar bozulma riskiyle karşı karşıya mı?, Android 4.0 sürümünden itibaren mobil cihaz kullanıcılarının güvenilir sertifikaları Ayarlar bölümünde bulabilirsiniz. Bu tabloda, bir dizi Ayarlar menü yolu:

Android sürümü	Menü yolu
1, x, 2, x, 3,x	Yok
4, x, 5, x, 6, x 7,x	Ayarlar > Güvenlik > Güvenilir kimlik bilgileri
8, x, 9	Ayarlar > Güvenlik ve Konum > Şifreleme ve credentials > Güvenilir kimlik bilgileri
10+	Ayarlar > Güvenlik > Gelişmiş > Şifreleme ve credentials > Güvenilir kimlik bilgileri

Bu tabloda en kritik kökün olası kullanılabilirliği gösterilmektedir sertifika sayısı (Şu anda kullanılabilir Android cihazlar kullanılarak yapılan manuel doğrulamaya dayalı olarak) Sanal Cihaz (AVD) sistem görüntüleri; AOSP ca sertifikaları kapsamında yer alıyor. Sistem görüntülerinin artık kullanılamadığı Git deposu sürüm geçmişi:

Android sürümü	GTS Kök R1	GlobalSign Kök CA - R1	GlobalSign Root R2 (15 Aralık 2021'e kadar geçerli)
2,3, 3,2, 4,x, 5,x, 6,x, 7,x, 8,x, 9
10+

Android sistem kök sertifika deposu genellikle güncellenemez. . Ancak çoğu Android'de sürümleri, hâlâ yaygın olarak kullanılmakta olan mevcut güvenilir kök kümesi yıllar boyunca kesintisiz hizmet sunacağını ve mevcut cihazların çoğunun etkin kullanım ömrünün ötesine geçmez.

Android, 7.0 sürümünden itibaren uygulama geliştiricilere güvenli bir güvenilir sertifikaları ekleme yöntemidir. kabul edersiniz. Bu, sertifikalar uygulama ile paket hâline getirildiğinde ve konusunda açıklandığı gibi özel bir ağ güvenliği yapılandırması oluşturmak Güvenlik ve Önlemler İçin Android En İyi Uygulamaları Gizlilik Ağ Güvenliği Yapılandırması eğitim dokümanıdır.

Ancak, üçüncü taraf uygulama geliştiricileri, Google Ads'in kendi özelliklerini gelen trafiğin ağ güvenliği yapılandırmasıdır. Google Play Hizmetleri APK'sı, bu tür çalışmalar muhtemelen yalnızca kısmi bir çözüm sağlayacaktır.

Eski eski cihazlarda yalnızca son kullanıcıya uygulanan bir kurumsal grup politikası ile yüklenmiş, kullanıcı tarafından eklenen kullanıcı cihazı tarafından veya son kullanıcının kendisi tarafından yapılır.

iOS Güven Mağazası

Apple, varsayılan güvenilir kök sertifika grubunu doğrudan göstermese de bağlantısı varsa şirket, güvenilir kök CA setlerinin bağlantılarına sahiptir. Apple Destek makalelerindeki iOS 5 ve sonraki sürümler:

• iOS 12.1.3, macOS 10.14.3, watchOS 5.1.3 ve tvOS 12.1.2'deki kullanılabilir güvenilir kök sertifikalarının listesi
• iOS 5 ve iOS 6: Kullanılabilir güvenilir kök sertifikaların listesi.

Ancak iOS cihazda yüklü olan ek sertifikalar Ayarlar > Genel > Profil. Ek yer yoksa Profil menü öğesi gösterilmeyebilir.

Bu tabloda en önemli kök sertifikaların kullanılabilirliği gösterilmektedir (yukarıdaki kaynaklara göre):

iOS sürümü	GTS Kök R1	GlobalSign Kök CA - R1	GlobalSign Root R2 (15 Aralık 2021'e kadar geçerli)
5, 6, 7, 8, 9, 10, 11, 12,0
12.1.3+

Sistem kök sertifikalarım nerede saklanıyor ve bunu nasıl güncelleyebilirim?

Varsayılan kök sertifika deposunun konumu, işletim sistemine göre değişir ve SSL/TLS kitaplığını kullandı. Ancak çoğu Linux dağıtımında varsayılan kök aşağıdaki yollardan birinin altında bulunabilir:

• /usr/local/share/ca-certificates: Debian, Ubuntu, eski RHEL ve CentOS sürümleri
• /etc/pki/ca-trust/source/anchors ve /usr/share/pki/ca-trust-source: Fedora, yeni RHEL ve CentOS sürümleri
• /var/lib/ca-certificates: OpenSUSE

Diğer sertifika yolları şunları içerebilir:

• /etc/ssl/certs: Debian, Ubuntu
• /etc/pki/tls/certs: RHEL, CentOS

Bu dizinlerdeki sertifikalardan bazıları muhtemelen dosyalara sembolik bağlantılardır diğer dizinlerde de olması gerekir.

OpenSSL kök sertifika deposu

OpenSSL kullanan uygulamalarda şunları yapabilirsiniz: Varsayılan da dahil olmak üzere yüklü bileşenlerinin yapılandırılmış konumunu kontrol edin kök sertifikaları şu komutu kullanarak depolar:

openssl version -d

Komut, üst düzeye karşılık gelen OPENSSLDIR çıktısını verir. dizini ve yapılandırmalarını şurada bulabilirsiniz:

OPENSSLDIR: "/usr/lib/ssl"

Kök sertifika deposu, certs alt dizininde bulunur.

ls -l /usr/lib/ssl/certs

lrwxrwxrwx 1 root root 14 Apr 21  2020 /usr/lib/ssl/certs -> /etc/ssl/certs

ls -l /etc/ssl/certs

…
-rw-r--r-- 1 root root 214904 Apr 15 17:01  ca-certificates.crt
…
lrwxrwxrwx 1 root root     50 Apr 15 16:57  GTS_Root_R1.pem -> /usr/share/ca-certificates/mozilla/GTS_Root_R1.crt
…

OpenSSL, üst düzey bölümü kontrol edin. Sistem kök sertifikalarım nerede depolanıyor ve bunu nasıl güncelleyebilirim? kontrol edin.

openssl ile ilgili talimatlar için şu bölüme bakın: OpenSSL'yi edinme.

Java kök sertifikaları deposu

Java uygulamaları, Linux'ta kendi kök sertifika deposunu kullanabilir sistemleri genellikle /etc/pki/java/cacerts veya Java keytool ile yönetilebilen /usr/share/ca-certificates-java komut satırı aracından öğrenebilirsiniz.

Tek bir sertifikayı Java sertifika deponuza aktarmak için şu komutu kullanın:

keytool -import -trustcacerts -file cert.pem -alias alias -keystore certs.jks

cert.pem dosyasını, her birine karşılık gelen sertifika dosyasıyla benzersiz ama anlamlı bir sertifikaya sahip alias adlı önerilen kök sertifika takma adı ve certs.jks bahsedeceğim.

Daha fazla bilgi için aşağıdaki Oracle ve Stack Overflow belgelerine bakın: makaleler:

• Java Platform, Standart Sürüm Araçları Referansı: keytool
• Varsayılan Java yüklemesinin cacert'lerinin konumu nasıl alınır?
• Kendinden imzalı bir sertifikayı varsayılan olarak tüm Java uygulamaları tarafından kullanılabilen Java anahtar deposuna düzgün şekilde nasıl içe aktarırım?

Mozilla NSS kök sertifika deposu

Mozilla NSS kullanan uygulamalar varsayılan olarak, Google Etiket Yöneticisi'ni kullanarak /etc/pki/nssdb altında veya kullanıcıya özel bir varsayılan mağazanın altında ${HOME}/.pki/nssdb.

NSS veritabanınızı güncellemek için certutil aracını kullanın.

Tek bir sertifika dosyasını NSS veritabanınıza aktarmak için şu komutu kullanın:

certutil -A -t "C,," -i cert.pem -n cert-name -d certdir

cert.pem dosyasını, her birine karşılık gelen sertifika dosyasıyla önerilen kök sertifika (anlamlı bir sertifikaya sahip cert-name) takma adı ve certdir bahsedeceğim.

Daha fazla bilgi için lütfen NSS Araçları sertifikası kullanma talimatlarının yanı sıra işletim sistemi dokümanlarınızı da inceleyebilirsiniz.

Microsoft .NET kök sertifikaları deposu

Windows .NET geliştiricileri en azından aşağıdaki Microsoft makalelerini bulabilir yararlı olabilir:

• Sertifikalarla çalışma
• Güvenilir Kök Sertifikaları Yönetme

Sertifika dosya biçimleri

PEM dosyası nedir?

Gizlilik Açısından Geliştirilmiş Posta (PEM) kriptografik verilerin depolanması ve gönderilmesi için fiili standart bir metin dosyası biçimidir resmi bir davranış standardı olarak düzenlenmiştir. RFC 7468.

Dosya biçiminin kendisi okunabilir olsa da Base64 kodlanmış ikili sertifikayla ilgili olmayan bilgiler içerir. Ancak PEM spesifikasyonu, yayan açıklama metni metin kodlamalı sertifika gövdesinden önce veya sonra gelir; birçok araç Bu özelliği kullanarak, en alakalı verilere ait açık metin bir unsurlarına sahip değiliz.

Tüm sertifikanın kodunu aşağıdaki gibi açmak için openssl gibi araçlar da kullanılabilir: bir arada olması gerekir. Bölümü inceleyin PEM sertifikalarını insanlar tarafından okunabilecek şekilde yazdırma konulu videomuzu izleyin.

".crt" nedir? dosyası var mı?

Sertifikaların PEM biçiminde dışa aktarılmasına olanak tanıyan araçlar sıklıkla ".crt" dosya uzantısı değerini ekleyin.

DER dosyası nedir?

Ayırt Edici Kodlama Kuralları (DER) kodlama sertifikaları için standartlaştırılmış bir ikili program biçimidir. PEM'deki sertifikalar dosyaları genellikle Base64 olarak kodlanmış DER sertifikaları.

".cer" nedir? dosyası var mı?

".cer" ile dışa aktarılmış bir dosya sonek PEM kodlu bir sertifika içerebilir, daha çok ikili, genellikle DER kodlamalı bir sertifikadır. Ölçüt kural, ".cer" dosyaları genellikle yalnızca tek bir sertifika içerir.

Sistemim roots.pem'deki tüm sertifikaları içe aktarmayı reddediyor

Bazı sistemler, ör. Java keytool, şuradan yalnızca bir sertifikayı içe aktarabilir: PEM dosyası (birkaç tane olsa bile) Soruyu göster roots.pem'den sertifikaları tek tek nasıl çıkarabilirim? dosyanın ilk olarak nasıl bölünebileceğini görebilirsiniz.

roots.pem'den sertifikaları tek tek nasıl çıkarabilirim?

Aşağıdakini kullanarak roots.pem ürününü bileşen sertifikalarına bölebilirsiniz basit bash komut dosyası:

csplit -z -f roots.pem. roots.pem '/-----END CERTIFICATE-----/+1' '{*}' &>/dev/null && \
for f in roots.pem.*; \
  do mv "${f}" $(openssl x509 -in "${f}" -noout -issuer_hash).pem; \
done

Bu işlemin sonucunda, listelenenlere benzer çok sayıda bağımsız PEM dosyası oluşturulur buradan inceleyebilirsiniz:

ls -l *.pem

-rw-r----- 1 <user> <group>  2217 Apr 28 11:04 02265526.pem
-rw-r----- 1 <user> <group>  1722 Apr 28 11:04 062cdee6.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 0a775a30.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 1001acf7.pem
-rw-r----- 1 <user> <group>  1796 Apr 28 11:04 106f3e4d.pem
-rw-r----- 1 <user> <group>  1315 Apr 28 11:04 1d3472b9.pem
-rw-r----- 1 <user> <group>  1919 Apr 28 11:04 244b5494.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 2b349938.pem
-rw-r----- 1 <user> <group>  1651 Apr 28 11:04 2c543cd1.pem
-rw-r----- 1 <user> <group>  1858 Apr 28 11:04 3513523f.pem
-rw-r----- 1 <user> <group>  2000 Apr 28 11:04 40547a79.pem
-rw-r----- 1 <user> <group>  1862 Apr 28 11:04 4a6481c9.pem
-rw-r----- 1 <user> <group>  1927 Apr 28 11:04 4bfab552.pem
-rw-r----- 1 <user> <group>  1745 Apr 28 11:04 5ad8a5d6.pem
-rw-r----- 1 <user> <group>  1813 Apr 28 11:04 607986c7.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 626dceaf.pem
-rw-r----- 1 <user> <group>  1738 Apr 28 11:04 653b494a.pem
-rw-r----- 1 <user> <group>  2294 Apr 28 11:04 6b99d060.pem
-rw-r----- 1 <user> <group>  2510 Apr 28 11:04 75d1b2ed.pem
-rw-r----- 1 <user> <group>  1788 Apr 28 11:04 76cb8f92.pem
-rw-r----- 1 <user> <group>  1383 Apr 28 11:04 7f3d5d1d.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 93bc0acc.pem
-rw-r----- 1 <user> <group>  1220 Apr 28 11:04 9c8dfbd4.pem
-rw-r----- 1 <user> <group>  1838 Apr 28 11:04 9d04f354.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 a3418fda.pem
-rw-r----- 1 <user> <group>  2194 Apr 28 11:04 aee5f10d.pem
-rw-r----- 1 <user> <group>  1249 Apr 28 11:04 b0e59380.pem
-rw-r----- 1 <user> <group>  1882 Apr 28 11:04 b1159c4c.pem
-rw-r----- 1 <user> <group>  2346 Apr 28 11:04 b727005e.pem
-rw-r----- 1 <user> <group>  1940 Apr 28 11:04 cbf06781.pem
-rw-r----- 1 <user> <group>  2609 Apr 28 11:04 d6325660.pem
-rw-r----- 1 <user> <group>  2474 Apr 28 11:04 dc4d6a89.pem
-rw-r----- 1 <user> <group>  1358 Apr 28 11:04 dd8e9d41.pem
-rw-r----- 1 <user> <group>  1972 Apr 28 11:04 ee64a828.pem
-rw-r----- 1 <user> <group>  1462 Apr 28 11:04 eed8c118.pem
-rw-r----- 1 <user> <group>  1944 Apr 28 11:04 f081611a.pem
-rw-r----- 1 <user> <group>  1488 Apr 28 11:04 f30dd6ad.pem
-rw-r----- 1 <user> <group>  1975 Apr 28 11:04 f387163d.pem
-rw-r----- 1 <user> <group>  2632 Apr 28 11:04 fc5a8f99.pem
-rw-r----- 1 <user> <group> 72865 Apr 20 12:44 roots.pem

Ardından 02265526.pem gibi ayrı PEM dosyaları içe aktarılabilir ya da başka bir dosya biçimine dönüştürülerek yeni uygulamanızın kabul eder.

Bir PEM dosyası ile sistemim tarafından desteklenen bir biçim arasında dönüştürme

OpenSSL araç seti komut satırı aracı openssl, dosyaları yaygın olarak kullanılan tüm sertifikalar arasında dönüştürmek için kullanılabilir dosya biçimleridir. PEM dosyasından en sık kullanılan dosyaya dönüştürme talimatları sertifika dosya biçimleri aşağıda listelenmiştir.

Mevcut seçeneklerin tam listesi için resmi OpenSSL Komut Satırı Yardımcı Programları dokümanları.

openssl ile ilgili talimatlar için şu bölüme bakın: OpenSSL'yi edinme.

Bir PEM dosyasını DER biçimine nasıl dönüştürebilirim?

openssl kullanarak aşağıdaki komutu çalıştırarak bir dosyayı PEM'den dönüştürebilirsiniz Alıcı: DER:

openssl x509 -in roots.pem -outform der -out roots.der

Bir PEM dosyasını PKCS #7'ye nasıl dönüştürebilirim?

openssl kullanarak aşağıdaki komutu çalıştırarak bir dosyayı PEM'den dönüştürebilirsiniz PKCS #7'ye ekleyin:

openssl crl2pkcs7 -nocrl -certfile roots.pem -out roots.p7b

Bir PEM dosyasını PKCS #12'ye (PFX) nasıl dönüştürebilirim?

openssl kullanarak aşağıdaki komutu çalıştırarak bir dosyayı PEM'den dönüştürebilirsiniz PKCS #12'ye ekleyin:

openssl pkcs12 -export -info -in roots.pem -out roots.p12 -nokeys

PKCS #12 arşivi oluştururken bir dosya şifresi sağlamanız gerekir. Marka şifreyi hemen içe aktarmazsanız, şifrenizi güvenli bir yerde saklayın PKCS #12 dosyasını sisteminize yükleyin.

Kök sertifika deponuzdaki sertifikaları listeleme, yazdırma ve dışa aktarma

Java Anahtar Mağazası'ndaki bir sertifikayı PEM dosyası olarak nasıl dışa aktarırım?

keytool kullanarak tüm reklam öğelerini listelemek için sertifika deponuzdaki sertifikalar ile birlikte, bu mağazadaki dışa aktar:

keytool -v -list -keystore certs.jks

certs.jks dosyasını bahsedeceğim. Bu komut, aynı zamanda her sertifikanın takma adını da ihtiyacınız olacak.

Tek bir sertifikayı PEM biçiminde dışa aktarmak için aşağıdaki komutu verin:

keytool -exportcert -rfc -keystore certs.jks -alias alias > alias.pem

certs.jks dosyasını ve ona karşılık gelen bir alias ve alias.pem sağlayın bir sertifika seçin.

Daha fazla bilgi için lütfen Java Platform, Standard Edition Tools Reference: keytool (Java Platformu, Standart Sürüm Araçları Referansı: keytool) kılavuzuna bakın.

NSS kök sertifikalarındaki sertifikaları PEM dosyası olarak nasıl dışa aktarırım?

certutil kullanarak tüm reklam öğelerini listelemek için sertifika deponuzdaki sertifikalar, kullanabileceğiniz takma adla dışa aktarmak için:

certutil -L -d certdir

certdir öğesini bahsedeceğim. Bu komut, her sertifikanın takma adını da gösterecektir. Bu takma ad, ihtiyacınız olacak.

Tek bir sertifikayı PEM biçiminde dışa aktarmak için aşağıdaki komutu verin:

certutil -L -n cert-name -a -d certdir > cert.pem

certdir öğesini ve ona karşılık gelen bir cert-name ve cert.pem sağlayın bir sertifika seçin.

Daha fazla bilgi için lütfen NSS Araçları sertifikası kullanma talimatlarının yanı sıra işletim sistemi dokümanlarınızı da inceleyebilirsiniz.

PEM sertifikalarını insanlar tarafından okunabilecek şekilde yazdırma

Aşağıdaki örneklerde, GTS_Root_R1.pem dosyasına sahip olduğunuzu varsayıyoruz. şu içerikte bulunuyorsunuz:

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

OpenSSL kullanarak sertifika dosyalarını yazdırma

Komut verme

openssl x509 -in GTS_Root_R1.pem -text

şuna benzer bir sonuç vermelidir:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
        Signature Algorithm: sha384WithRSAEncryption
        Issuer: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Validity
            Not Before: Jun 22 00:00:00 2016 GMT
            Not After : Jun 22 00:00:00 2036 GMT
        Subject: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    …
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                E4:AF:2B:26:71:1A:2B:48:27:85:2F:52:66:2C:EF:F0:89:13:71:3E
    Signature Algorithm: sha384WithRSAEncryption
        …

openssl ile ilgili talimatlar için şu bölüme bakın: OpenSSL'yi edinme.

Java keytool kullanarak sertifikaları yazdırma

Aşağıdaki komutu verme

keytool -printcert -file GTS_Root_R1.pem

şuna benzer bir sonuç vermelidir:

Owner: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Issuer: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Serial number: 6e47a9c54b470c0dec33d089b91cf4e1
Valid from: Wed Jun 22 02:00:00 CEST 2016 until: Sun Jun 22 02:00:00 CEST 2036
Certificate fingerprints:
   SHA1: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
   SHA256: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#2: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E4 AF 2B 26 71 1A 2B 48   27 85 2F 52 66 2C EF F0  ..+&q.+H'./Rf,..
0010: 89 13 71 3E                                        ..q>
]
]

keytool ile ilgili talimatlar için şu bölüme bakın: Java keytool'u alma.

Kök sertifika depoma hangi sertifikaların yüklü olduğunu nasıl görebilirim?

Bu, işletim sistemine ve SSL/TLS kitaplığına göre değişir. Ancak ekibinizin Sertifikaların kök sertifikalar arasında içe/dışa aktarılmasına olanak tanır yüklü sertifikaları listelemek için de bir seçenek sunar.

Ayrıca, güvenilir kök sertifikaları PEM'e başarıyla dışa aktardıysanız ya da kök sertifika depolarınız zaten depolanmış PEM dosyaları içeriyorsa, dosyaları, düz metin dosyası biçiminde olduğundan herhangi bir metin düzenleyicide açmayı deneyebilir.

PEM dosyası, düzgün şekilde etiketlenmiş olabilir ve sertifika yetkilisinden (örneğin, güvenilir Google kök CA paketi):

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1"
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

Dosya yalnızca sertifika bölümünü de içerebilir. Böyle durumlarda dosya, örneğin GTS_Root_R1.pem sertifikanın hangi CA'ya ait olduğunu açıklayın. Sertifika dizesi -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- jeton her CA için benzersiz olması garanti edilir.

Ancak, yukarıdaki araçlara sahip olmasanız bile, güvenilir Google root CA paketi düzgün şekilde etiketlendiğinden, paket dönüştürücüden kök CA'ları güvenilir bir şekilde eşleştirebilirsiniz. kök sertifika depolarınızdakiler arasından Issuer tarihine kadar veya bu iki sertifikayla PEM dosyası sertifika dizeleri.

Web tarayıcıları kendi kök sertifika depolarını ya da varsayılan sertifika depolarını işletme tarafından sağlanır. Ancak tüm modern tarayıcılarda güvenilir kök CA'ları yönetmeli veya en azından görüntülemelidir. Soruyu göster JavaScript uygulamalarının bozulma riski var mı? inceleyebilirsiniz.

Cep telefonlarına özgü talimatlar için Cep telefonumda güvenilir kök sertifikaları nasıl kontrol edebilirim?.

Ek

Daha fazla bilgiye mi ihtiyacınız var?

Her zaman öncelikle işletim sisteminizin belgelerine, uygulama programlama dil(ler)inizin dokümanları ve uygulamanızın kullandığı harici kitaplıklar varsa.

Bu SSS dahil diğer bilgi kaynakları güncel olmayabilir veya Aksi takdirde hatalı olduğundan ve yetkili olarak kabul edilmemelidir. Ancak, birçok yararlı bilgiye ulaşabilirsiniz. Stack Exchange Soru-Cevap toplulukları: bazı siteler de vardır. Linux ve diğer cihazlarda AdamW ve onayla (blog) gibi kaynakları da kullanabilirsiniz.

Ayrıca lütfen Google Trust Services ile ilgili SSS.

Sertifika sabitleme gibi ileri seviye konular hakkında daha fazla bilgi için Open Web Application Security Project (Open Web Application Security Project, OWASP) adlı Sertifika ve Ortak Anahtar Sabitleme 'nı inceleyin. makale ve Sabitleme Hakkında Yardımcı Kısa Bilgiler bilgilendirici olması gerekir. Android'e özgü talimatlar için lütfen Güvenlik ve Önlemler İçin Android En İyi Uygulamaları Gizlilik HTTPS ve SSL ile güvenlik eğitim dokümanıdır. Sertifika ve ortak anahtar sabitleme arasındaki tartışma için Matthew Dolan'ın blog yayınını görebilirsiniz. Android Güvenliği: SSL Sabitleme faydalı olur.

Güvenlik ve Önlemler İçin Android En İyi Uygulamaları Gizlilik Ağ Güvenliği Yapılandırması eğitimi dokümanı ve JeroenHD'nin blog yayınını Android 7 Nougat ve sertifika yetkilileri diğer güvenilir sertifikaları yönetme hakkında daha fazla bilgi sağlamak için: Android

AOSP'nin güvendiği kök CA'ların kapsamlı listesi için şu sayfaya göz atın: ca-certificates Git deposu. Resmi olmayan Android çatallara dayanan tüm sürümler için, ör. LineageOS, işletim sistemi tedarikçisi tarafından sağlanan uygun depoları inceleyin.