Questions tagged «certificate-authority»

在密码术中,证书颁发机构或证书颁发机构(CA)是颁发数字证书的实体。

6
证书颁发机构根证书的有效期和续订
2004年,我在Linux上使用OpenSSL以及OpenVPN随附的简单管理脚本建立了一个小型证书颁发机构。根据我当时发现的指南,我将根CA证书的有效期设置为10年。从那时起,我已经为OpenVPN隧道,网站和电子邮件服务器签署了许多证书,所有这些证书的有效期也为10年(这可能是错误的,但是我当时并不了解)。 我找到了许多有关建立CA的指南,但是关于其管理的信息很少,尤其是有关根CA证书到期时必须执行的操作的信息,这将在2014年的某个时候发生。因此,我有以下内容问题: 根CA证书到期后具有有效期的证书会在根证书到期后立即失效,还是会继续有效(因为它们是在CA证书的有效期内签名的)? 需要什么操作来更新根CA证书并确保在其有效期内顺利过渡? 是否可以以不同的有效期以某种方式重新签名当前的根CA证书,并将新签名的证书上传到客户端,以便客户端证书保持有效? 还是我需要用新的根CA证书签名的新客户端证书替换所有客户端证书? 根CA证书应何时更新?即将到期或在到期前的合理时间? 如果根CA证书的更新成为一项主要工作,那么我现在可以做些什么更好的措施,以确保在下一次更新时进行更平滑的过渡(当然,将有效期设置为100年)? 由于我对某些客户端的唯一访问是通过使用当前CA证书签名的证书的OpenVPN隧道,因此情况变得有些复杂,因此,如果我必须替换所有客户端证书,则需要复制将新文件发送给客户端,重新启动隧道,交叉我的手指,希望以后再出现。
4
如何决定在哪里购买通配符SSL证书?
最近,我需要购买通配符SSL证书(因为我需要保护多个子域),当我第一次搜索购买地点时,我对选择的数量,营销要求和价格范围不知所措。我创建了一个列表,以帮助我查看通过的营销俩,即大多数证书颁发机构(CA)遍及整个站点。最后,我的个人结论是,唯一重要的事情就是CA网站的价格和愉快程度。 问题:除了价格和一个不错的网站之外,在决定在哪里购买通配符SSL证书时,我是否值得考虑?
7
如何在RedHat上更新cURL CA捆绑包?
我遇到了与我的cURL版本捆绑在一起的CA捆绑包过时的问题。 curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html 阅读文档并没有帮助我,因为我不了解我需要做什么或如何做。我正在运行RedHat,需要更新CA捆绑包。我需要怎么做才能在RedHat上更新我的CA捆绑软件?
2
错误代码:ssl_error_rx_record_too_long
我的nginx具有以下设置: server { listen 80; server_name site.com www.site.com; root /home/site/public_html; listen 443; #server_name site.com www.site.com; #root /home/site/public_html; ssl_certificate /root/site.pem; ssl_certificate_key /root/site.key; 但是,当我查看SSL连接时,我得到: An error occurred during a connection to grewpler.com. SSL received a record that exceeded the maximum permissible length. (Error code: ssl_error_rx_record_too_long) 我正在TrustWave Premium SSL用作SSL证书颁发机构。
1
信任不可信的CA-我可以限制系统信任它的方式吗?
(发布到ServerFault而不是StackOverflow,因为我认为它比编程代码更关注OS配置)。 我目前负责维护连接到第三方Web服务的系统。此Web服务需要客户端身份验证证书,这很公平,但是Web服务本身由由自行创建的根证书颁发机构证书(与创建客户端身份验证证书的根相同)创建的自签名证书来保护。 仅将当前服务证书添加到已知受信任列表中,而忽略自己创建的权限证书就足够了,不幸的是,服务证书会定期更改,因此必须信任权限证书以确保应用程序在以下情况下不会中断:服务证书已更新。 但是,根据我在运行Web服务的公司的经验,我不(个人)信任CA证书-如果它泄漏到Web上也不会令我感到惊讶-并且令人担忧,CA证书没有对密钥使用的限制它(虽然可能是外部MITM攻击,尽管是远程的,但我更担心用于代码签名的证书泄漏)。 是否可以告诉我的计算机(当前是服务器箱,但在将来的普通台式机客户机箱中)信任CA,但仅针对给定的一组键用法和一小部分可能的使用者名称(域名) )? 该服务器当前为Windows Server 2012 R2,但它可以在Linux机器上运行-尽管台式机都是Windows机器。
4
如何制作Firefox信任系统CA证书?
我们的网络管理员最近在防火墙/路由器上启用了HTTPS检查。对于IE用户,这很好,因为所有证书都已通过Active Directory为加入域的计算机分发。但是,我们有许多Firefox用户现在实际上在每个HTTPS站点上引发证书错误。 Firefox使用自己的CA商店,他们也为此感到自豪。默认情况下,有什么方法可以使Firefox信任系统证书存储吗?我看到很多关于如何在Linux中执行此操作的文章,但对于Windows没有任何内容。 我从这篇文章中怀疑这是不可能的,但是那篇文章已经有4年历史了。
3
我可以创建自己的S / MIME证书进行电子邮件加密吗?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,以使其成为服务器故障的主题。 去年关闭。 我在这里有一个问题。请耐心等待,因为这可能是“不提出正确问题”的情况。 背景:使用Apple Mail。想加密/解密电子邮件,但Snow Leopard不支持GPGMail(显然是PGP)。 基本上,我需要创建一个S / MIME证书以用于电子邮件加密。我既不需要,也不需要证书颁发机构。我只想要一张快捷的证书。这是否可能(使用OPENSSL等)还是整个过程取决于更高的权限,迫使我要么建立一个全面的CA,要么与一家公司(例如Verisign,Thawte)打交道以获取证书?我的标准是即时满足和免费。 最好。
2
为什么不通过DNS记录而不是letencrypt验证自签名证书
我只是想知道。我们使用许多SSL证书。如今,我们几乎只使用letencrypt(谢谢!)。这些证书的底线是,证书上域名的所有权证明来自操纵这些域下的DNS记录或网站的权力。DNS证明来自将一些密钥(由letencrypt提供)作为TXT记录添加到DNS。 因此,如果有足够的证据可以更改域的DNS记录,那么为什么不在DNS中使用带有指纹的自签名证书呢? 我要说的是,此信任与letencrypt(和其他CA)基于DNS的过程完全相同: 创建一个自签名的CA(只需遵循各种操作步骤即可) 为某些域创建证书 使用来自步骤1的CA对来自步骤2的证书进行签名。现在,您具有由不受信任的CA签名的基本证书。 将TXT(或专用)记录添加到每个域的DNS中,说明:我们已使用此CA签署了该域的证书。像:“ CA = -CA的指尖” 浏览器下载证书并通过比较CA的指纹/ CA证书与给定域的DNS中的数据进行验证。 这样就可以创建不受第三方干扰的,与任何基本SSL证书具有相同信任级别的受信任的自签名证书。只要您有权访问DNS,您的证书就有效。甚至可以添加一些DNSSEC(如加密),以从CA加上SOA记录中进行哈希处理,以确保信任因DNS记录的更改而消失。 以前考虑过吗? 耶尔默
2
MS证书服务可以从属于使用OpenSSL创建的CA吗
我想为我的域设置企业证书颁发机构。因此,我可以出于各种目的颁发证书。我想遵循以脱机CA为根的最佳实践,并将企业CA设置为从属。但是,为此任务授权Windows的完整副本似乎很愚蠢。 我希望能够做的是将一些实时分发安装到USB闪存盘上,然后安装openssl,并在闪存驱动器上设置我的CA。当我准备构建根密钥/证书时,我将断开计算机与网络的连接,然后再也不要在连接网络的计算机上使用该USB磁盘。 我将能够为Windows企业CA正确签名并创建从属CA证书,该证书将可用。我需要与OpenSSL一起使用哪些选项来构建CA并正确签署从属CA证书。 我试图在网上搜索,这是我唯一可以找到的主题。但这要早于2008年,我不确定这个人是否成功。
3
Windows 2008 R2 CA和自动注册:如何清除超过100,000个颁发的证书?
我遇到的基本问题是,我的CA中有超过100,000个无用的机器证书,并且我想删除它们,而不删除所有证书,或者花时间使服务器前移,并使一些有用的证书失效那里。 这是由于我们的企业根CA(2008 R2)接受了几个默认值,并使用GPO来自动注册客户端计算机的证书以允许802.1x对我们的公司无线网络进行身份验证。 事实证明,默认设置Computer (Machine) Certificate Template将很乐意允许计算机重新注册,而不是指示它们使用已经拥有的证书。对于希望将证书颁发机构用作每次重新启动工作站的日志的家伙(我)来说,这会带来很多问题。 (侧面的滚动条在说谎,如果将其拖动到底部,屏幕将暂停并加载接下来的几十个证书。) 有谁知道如何从Windows Server 2008R2 CA 删除 100,000个时间有效的现有证书? 现在,当我现在删除证书时,出现一个错误,因为它仍然有效,因此无法删除。因此,理想情况下,某种方式可以暂时绕过该错误,因为Mark Henderson提供了一种方法,可以在清除障碍后使用脚本删除证书。 (取消它们不是一种选择,因为将它们移动到Revoked Certificates,我们需要能够查看它们,也不能将它们从已撤消的“文件夹”中删除。) 更新: 我尝试了@MarkHenderson链接的网站,该网站很有希望,并且提供了更好的证书可管理性,但是还远远不够。在我看来,证书似乎仍然是“时间有效的”(尚未过期),因此CA不想让它们从存在中删除,这也适用于已撤销的证书,因此,撤销全部删除,然后将其删除也不起作用。 我也在我的Google-Fu上找到了这个technet博客,但不幸的是,他们似乎只需要删除大量的证书申请,而不必删除实际的证书。 最终,暂时让CA向前发展,以便我想摆脱的证书到期,因此可以使用站点上的工具将其删除标记链接不是一个好选择,因为我们使用的许多有效证书都将到期必须手动发布。因此,这是比重建CA更好的选择,但不是一个很好的选择。
2
SSL证书链是否已损坏以及如何解决?
有关域example.com的SSL证书,一些测试告诉我,链是不完整的,因为火狐保持其自身存储的证书,它可能会在Mozilla(失败1,2,3)。其他人告诉我这很好,Firefox 36也一样,告诉我cert链很好。 更新:我在Windows XP和MacOS X Snow Leopard上的Opera,Safari,Chrome和IE上进行了测试,它们都可以正常工作。它仅在两个操作系统上的Firefox <36上均失败。我没有在Linux上进行测试的权限,但是对于此网站,它不到1%的访问者,并且大多数可能是机器人。因此,这回答了原始问题“此设置是否会在Mozilla Firefox中弹出警告”和“此SSL证书链是否断开?”。 因此,问题是我如何找出需要在ssl.ca文件中放置的证书,以便Apache可以为它们提供证书,从而使Firefox <36不再受阻? PS:作为旁注,我用来测试证书的Firefox 36是全新安装的。它没有机会不会抱怨,因为它在上次访问使用相同链的网站时下载了中间证书。
2
如果我的CA不支持证书透明度,该如何设置?
我想你们当中许多人实际上已经听说过Google的“证书透明性”计划。现在,该初始化涉及一个CA颁发的所有证书的公共日志。由于这是一项繁重的工作,因此并非所有的CA都已设置好它。例如,StartCom已经说过很难从他们的角度进行设置,而正确的设置将花费几个月的时间。同时,Chrome将所有EV证书“降级”为“标准证书”。 现在,有人说可以通过三种方式提供必要的记录以防止降级: x509v3扩展,显然仅适用于CA TLS扩展 OCSP装订 现在,我认为第二个和第三个需要(不是?)与发行CA的交互。 那么问题来了: 如果我的CA不支持,我可以通过我的apache网络服务器设置证书透明度支持吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.