Darüber hinaus gibt es keinen „Hack“ für die Herstellung einer Zertifikatskette, wie es bei PEM der Fall ist. Mit PEM wird durch eine einfache Verkettung der Zertifikate eine verwendbare Zertifikatkette erstellt. Für DER empfehlen einige die Verwendung von PKCS-7, wobei andere darauf hinweisen, dass dieses Format „im Feld“ schlecht unterstützt wird, während PKCS-12 für sie funktioniert. —–BEGIN CERTIFICATE—– (Ihr primäres SSL-Zertifikat: your_domain_name.crt) —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– (Ihr Zwischenzertifikat: DigiCertCA.crt) —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– (Ihr Stammzertifikat: TrustedRoot.crt) —–END CERTIFICATE—– Auf der ASA können Sie mehrere Show-Befehle in der Befehlszeile verwenden, um den Status eines Zertifikats zu überprüfen. Fehlermeldung: %PIX| ASA-3-717023 SSL konnte das Gerätezertifikat für Dentrustpoint [Vertrauenspunktname] nicht festlegen. Die Zwischenebene enthält den privaten Zwischenzertifikatschlüssel, das öffentliche Zertifikat, eine Datenbank aller signierten Zertifikate, die Zertifikatvertrauenskette und die Zertifikatsperrnummer. Sie kann auch die öffentlichen End Entitätszertifikate enthalten. Die private Schlüsseldatei muss sicher gespeichert werden. Wie z. B. bei der Root-Ebene kann ein mSD-Abbild für einen ARM-Computer die vollständige Zwischenebene enthalten. Dieses Bild wird offline gehalten.

Die EndEntitäts-CSR wird darauf kopiert, signiert, und dann werden das signierte Zertifikat und die aktualisierte Datenbank in das öffentliche Image verschoben, dem der private Schlüssel fehlt. Das Identitätszertifikat, das von Ihrem Drittanbieter-Anbieter ausgestellt wurde, sollte angezeigt werden. Löschen Sie das Zertifikat, Abschnitt 7.2, starten Sie den Test-Responder wie oben beschrieben neu, und überprüfen Sie dann den Zertifikatstatus. Der zweite Fall von SSLHandshakeException ist auf ein selbstsigniertes Zertifikat zurückzuführen, was bedeutet, dass sich der Server als seine eigene Zertifizierungsstelle verhält. Dies ähnelt einer unbekannten Zertifizierungsstelle, sodass Sie denselben Ansatz aus dem vorherigen Abschnitt verwenden können. Einige Websites tun dies absichtlich für sekundäre Webserver, die für die Ressourcenbedienung verwendet werden. Sie können z. B. ihre Haupt-HTML-Seite von einem Server mit einer vollständigen Zertifikatkette bereitstellen, verfügen jedoch über Server für Ressourcen wie Images, CSS oder JavaScript, die die Zertifizierungsstelle nicht enthalten, vermutlich um Bandbreite zu sparen. Leider können diese Server manchmal einen Webdienst bereitstellen, den Sie von Ihrer Android-App aufrufen möchten, was nicht so verzeihend ist.

Hinweis: Einige Drittanbieter erfordern, dass bestimmte Attribute aufgenommen werden, bevor ein Identitätszertifikat ausgestellt wird. Wenn Sie sich über die erforderlichen Attribute nicht sicher sind, wenden Sie sich an Ihren Kreditor, um weitere Informationen zu erhalten. Der nächste Schritt besteht darin, das SSL-Zertifikat von der Zertifizierungsstelle abzubekommen.