Questions tagged «certificate»

证书是公钥和标识信息

3
什么是Pem文件,它与其他OpenSSL生成的密钥文件格式有何区别?
我负责维护两个Debian服务器。每次我必须对安全证书做任何事情时,我都会使用Google进行教学,并最终失败。 然而,在我搜索我经常遇到不同的文件格式(.key,.csr,.pem),但我从来没有能够找到的每个文件格式的目的是什么一个很好的解释。 我想知道ServerFault的好伙伴是否可以对此事提供一些澄清?
1342 certificate  pki 


8
二级子域的通配符SSL证书
我想知道是否有证书支持双通配符*.*.example.com?我刚刚和我当前的SSL提供商(register.com)通话,那里的那个女孩说他们不提供那样的东西,而且她认为这是不可能的。 谁能告诉我这是否可行,并且浏览器是否支持?

3
如何检查远程SMTP服务器的TLS证书?
我们有一个在Windows Server 2008上运行的Exchange 2007服务器。我们的客户端使用其他供应商的邮件服务器。他们的安全政策要求我们使用强制TLS。直到最近,这一切都很好。 现在,当Exchange尝试将邮件传递到客户端的服务器时,它将记录以下内容: 无法建立连接器“默认外部邮件”上域安全的域“ ourclient.com”的安全连接,因为对ourclient.com的传输层安全性(TLS)证书的验证失败,状态为“ UntrustedRoot”。请与ourclient.com的管理员联系以解决该问题,或从受保护的域列表中删除该域。 从TLSSendDomainSecureList中删除ourclient.com会导致使用机会性TLS成功发送邮件,但这只是暂时的解决方法。 客户是一家规模庞大,对安全敏感的国际公司。我们的IT联系人声称没有意识到其TLS证书的任何更改。我已多次要求他确定生成证书的授权,以便我可以对验证错误进行故障排除,但到目前为止,他一直无法提供答案。据我所知,我们的客户可以用内部证书颁发机构的证书替换其有效的TLS证书。 有谁知道一种手动检查远程SMTP服务器的TLS证书的方法,就像在Web浏览器中处理远程HTTPS服务器的证书一样?确定谁颁发了证书并将该信息与我们的Exchange服务器上的受信任根证书列表进行比较可能非常有帮助。

11
IIS7:无法使用SSL证书和端口443在站点上设置主机名
考虑带有IIS7的Win 2008 SP2计算机。任务是将证书和主机名应用于此计算机上的一个站点。该网站的主机标头必须为abc.123.example.com 第一步是将.pfx安装到个人存储中,这已成功。 IIS7将该证书视为可用,但不允许输入主机名。即使在选择我的证书之前,主机名文本框也始终被禁用/显示为灰色。我什至删除了默认的端口80绑定。 问题:如何为该站点设置主机名?这个证书是通配符证书吗?我知道SSL请求进入Web服务器,并且数据包中的主机标头已加密。为什么然后IIS6允许指定主机头,但不允许IIS7? 更新:证书不是问题的一部分。我在计算机上创建了一个新站点,并且在选择https绑定时,禁用了主机名文本框。

9
如何避免lftp证书验证错误?
我正在尝试让我的Pelican博客正常工作。它使用lftp将实际的博客传输到服务器,但是我总是收到错误消息: mirror: Fatal error: Certificate verification: subjectAltName does not match ‘blogname.com’ 我认为lftp正在检查SSL,而Pelican的快速设置只是忘记包含我的FTP上没有SSL。 这是鹈鹕的Makefile中的代码: ftp_upload: $(OUTPUTDIR)/index.html lftp ftp://$(FTP_USER)@$(FTP_HOST) -e "mirror -R $(OUTPUTDIR) $(FTP_TARGET_DIR) ; quit" 在终端中显示为: lftp ftp://username@blogname.com -e "mirror -R /Volumes/HD/Users/me/Test/output /myblog_directory ; quit" 到目前为止,我所管理的是通过将Makefile更改为来拒绝SSL检查: lftp ftp://$(FTP_USER)@$(FTP_HOST) -e "set ftp:ssl-allow no" "mirror -R $(OUTPUTDIR) $(FTP_TARGET_DIR) ; quit" 由于实施不正确,我无法正确登录(lftp username@myblog.com:~>),但单行功能不再起作用,我必须手动输入mirror命令: mirror …

5
为什么许多管理员使用“关闭自动根证书更新”策略?
我公司为基于服务器的产品分发Windows Installer。根据最佳实践,它使用证书进行签名。根据Microsoft的建议,我们使用GlobalSign代码签名证书,Microsoft声称默认情况下所有Windows Server版本都可以识别该证书。 现在,除非已使用组策略配置服务器,否则所有方法都将正常工作:计算机配置/管理模板/系统/ Internet通信管理/ Internet通信设置/将自动根证书更新关闭为启用。 我们发现我们的早期Beta测试人员之一正在使用此配置运行,导致在安装过程中出现以下错误 机柜文件[cab文件的长路径]具有无效的数字签名,因此无法安装所需的文件。这可能表明橱柜文件已损坏。 毕竟没有人能够解释为什么系统是这样配置的,所以我们把这记为一个奇怪的例子。但是,既然该软件已经可以用于一般用途,则似乎两位数(百分比)的客户都使用此设置进行了配置,没有人知道原因。许多人都不愿意更改设置。 我们已经为客户写了一篇知识库文章,但是我们真的不希望这个问题发生,因为我们实际上在乎客户体验。 我们在调查时注意到了一些事情: 全新的Windows Server安装未在受信任的根颁发机构列表中显示Globalsign证书。 如果Windows Server未连接到Internet,则可以正常安装我们的软件。在安装结束时,会显示Globalsign证书(不是我们导入的)。Windows在后台显示首次使用时透明安装。 所以,这又是我的问题。为什么禁用根证书更新如此常见?再次启用更新的潜在副作用是什么?我想确保我们可以为客户提供适当的指导。


4
自签名SSL证书是否安全?
当我登录到我的网络邮件,phpMyAdmin等时,我想建立一个安全的连接。 因此,我用OpenSSL签署了自己的SSL证书,并告诉Apache监听端口443。 这实际上安全吗?我所有的密码是否真的通过安全层发送?如果我从Verisign购买SSL证书或签署自己的SSL证书,会有什么区别?归根结底,所有数据仍将在我的服务器上。那么,最大的区别是什么?

2
如何解决远程桌面服务中的证书配置问题?
我正在设置一个远程桌面服务场,并且在配置证书以供使用时遇到麻烦。我看到的问题的演示可以在步骤4中找到。 在这一点上,我确信用户界面存在问题,并且正在寻找解决方法。有什么方法可以在远程桌面服务中配置证书,以使设置保留并反映在GUI中?如果没有,我有什么办法可以验证设置是否正确? 步骤#1-创建要使用的证书。 我已经配置了用于RD Web访问的证书。证书与RD连接代理上的证书MMC一起存储,我正在从该计算机上配置服务器场。 通过让RD Web访问生成其自己的证书,我发现以下属性是必需的: 增强的密钥用法 服务器认证 客户端认证 这可能不是必需的,但自签名证书包括它。 按键用法 电子签名 关键协议 使用者替代名称 DNS名称= domain.com 绕过自签名证书生成 快速绕道,我能够解决使用Powershell创建自签名证书的问题。New-RDCertificate cmdlet 的文档提供以下示例: PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx" 将其键入外壳程序将导致错误消息,提示Get-Server找不到函数。在使用之前New-RDCertificate,必须使用导入RemoteDesktop模块Import-Module RemoteDesktop。 步骤#2-观察开箱即用的行为 第一次访问“部署属性”对话框,方法是导航到服务器管理器->远程桌面服务->集合,然后从“集合”分组的“任务”下拉列表中选择“编辑部署属性”,您将看到以下屏幕: 该窗口具有误导性,因为该level字段被列为“未配置”。如果我正确理解,则所有三个角色服务都在使用自签名证书。对于RD Web访问角色,可以通过访问以下网站进行验证: 所使用的证书也出现在证书MMC中: 步骤#3-分配新证书 部署属性对话框将允许我选择现有证书。证书必须放置在“个人”证书存储中的本地计算机“证书MMC”中。私钥将需要可导出,并且您需要提供密码。我将证书临时导出到temp.pfx使用密码命名的文件中,然后从那里将其导入到远程桌面服务中。 …

4
PEM SSH密钥的指纹
我有一个PEM文件,我将其添加到正在运行的ssh-agent中: $ file query.pem query.pem: PEM RSA private key $ ssh-add ./query.pem Identity added: ./query.pem (./query.pem) $ ssh-add -l | grep query 2048 ef:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ./query.pem (RSA) 如何直接从文件中获取密钥的指纹(在ssh-agent中看到)?我知道ssh-keygen -l -f some_key适用于“普通” ssh密钥,但不适用于PEM文件。 如果我在.pem文件上尝试ssh-keygen,则会得到: $ ssh-keygen -l -f ./query.pem key_read: uudecode PRIVATE KEY----- failed key_read: uudecode PRIVATE KEY----- failed ./query.pem is not …

3
将PEM证书链和密钥导入Java密钥库
关于此主题的资源很多,但是我没有找到涵盖这个特例的资源。 我有4个档案; 私钥 证书 middle_rapidssl.pem ca_geotrust_global.pem 我希望将它们导入到新的密钥库中。 某些站点建议使用DER格式,并将它们一个接一个地导入,但这失败了,因为无法识别密钥。 另一个站点建议运行一个特殊的“ ImportKey”类以进行导入,并且该类一直起作用,直到我看到链条损坏。即,证书上的链长为1,忽略中间部分和ca。 一些网站建议使用PKCS7,但我什至无法从中获得链条。其他建议使用PKCS12格式,但就我的测试而言,获取整个链也失败了。 任何建议或提示都非常欢迎。


5
公司通常在哪里存储SSL证书以备将来使用?
我们最近为我们的域购买了通配符SSL证书。我们将所有证书转换为Java密钥库,但是现在我们在问自己应该在哪里存储这些证书以供以后使用。 人们是否对这些类型的文件使用诸如BitBucket之类的源代码控制,还是仅在每次需要时生成它,或者其他? 我们想知道在存储这些证书以备将来使用时是否存在标准解决方案或任何“最佳实践”。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.