基本介紹

教學目標

初步了解如何解決驗證憑證路徑失敗「Path does not chain with any of the trust anchors」的問題。

重點概念

首先當我們針對 SAS 9.4 平台設定安全連線時,一定會需要透過 SAS Deployment Manager 工具匯入憑證,此時可能會遭遇驗證憑證路徑失敗「Path does not chain with any of the trust anchors」的問題。面對此問題我們要如何開始解決呢?第一步我們需要先了解何謂憑證,憑證主要是應用於驗證伺服器,憑證主要是由憑證頒發機構 (Certificate Authority,CA) 所頒發和管理應用於訊息加密的安全憑據和公鑰權限,同時基於公開金鑰基礎架構 (Public Key Infrastructure,PKI) 憑證頒發機構會與註冊機構核對和驗證提供請求者請求資訊的數位憑證,若是註冊機構驗證請求者的資訊成功時,則憑證頒發機構就會發出憑證。

接著憑證頒發機構主要是第三方機構主要應用於驗證網路上電腦的資訊或身份,並且頒發數位憑證進行驗證確保雙方交換資訊的真實性,基本上憑證可以包括所有者的公鑰、名稱、有效日期和其它資訊,同時根據不同憑證頒發機構,可將憑證類型主要有三種,分別為:

  1. 第三方簽署:第三方認證機構簽署。
  2. 網站簽署:企業中資訊部門簽署。
  3. 自行簽署:自行透過工具簽署。

此時我們可以推測驗證憑證路徑失敗可能可憑證頒發機構發出的憑證有關,一般來說,憑證頒發機構會有所謂的根憑證。因此我們可以往找不到發行者憑證的方式去思考問題 的解決方案,同時在官方文件有提到當發生「Failed to Find the Following Issuer of this Certificate in Truststore 」錯誤訊息時,其主要是因為以錯誤的順序透過 SAS Deploment Manager 將憑證新增至信任列表中,簡單來說,我們會需要先新增憑證頒發者的憑證和根憑證,然後我們才是新增中間憑證,最後我們才能夠新增需要的憑證。

再來我們假設企業將會匯入企業的根憑證至伺服器和客戶端的電腦中,此時我們就能夠透過「控制台」->「網路和網際網路」->「網際網路選項」->「內容」->「憑證」->「受信任的根憑證授權單位」,點選必要的根憑證,按下「匯出」,按下「下一步」,選擇「DER 編碼二進位 X.509 (.CER)」,按下「下一步」,輸入「檔案名稱」的路徑,按下「下一步」,檢視設定的資訊,按下「完成」,當出現「匯出成功」的訊息時代表我們已經取得根憑證的檔案,同樣的方式也能夠匯出中繼憑證。但是 SAS Deployment Manager 工具僅能夠支援 Base 64 編碼 X.509 格式的憑證檔案,也就是所謂 PEM 格式,其附檔名分別有「crt」、「cer」和「pem」三種格式,所以我們會先透過下述指令將 DER 格式轉換為 PEM 格式。

1
OpenSSL> x509 -inform DER -outform PEM -in server.der -out server.pem

最後我們只要透過 SAS Deployment Manager 工具依照順序匯入根憑證、中繼憑證 (非必要) 和伺服器專屬憑證,此時就不會發生上述驗證憑證路徑失敗「Path does not chain with any of the trust anchors」的問題。

總結 SAS 平台提供非常完整的資訊安全管理的解決方式,但是設定相對較複雜,若是沒有資訊安全相關的基本概念很難順利完成相關設定,反之若是有資訊安全相關的基本概念,理應就能夠嘗試看看解決所面臨的問題,說不定就能夠解決該問題。

相關資源