Questions tagged «certificate-authority»

在密码术中,证书颁发机构或证书颁发机构(CA)是颁发数字证书的实体。

3
现在,Microsoft不再更新Windows Server的根CA证书了?
Microsoft 在2013年1月从WSUS删除了根CA更新。我现在有一些Windows Server 2012的全新安装,这些根CA的设置不足(基本上只是Microsoft自己的CA)。这意味着,只要我们的应用程序调用https Web服务,它将失败,除非我专门安装了根CA。 由于我们的应用程序在负载平衡器上使用SSL终止,因此我不必担心提示Microsoft删除这些更新的16KB SChannel限制。我想找到安装和更新标准根CA的资源。有人知道这样的资源吗? 这是WS2012中默认根CA的图像。
1
重新颁发自签名根CA,而不会使它签名的证书无效
我为公司的一些内部服务创建了一个自签名的根证书颁发机构,该服务由我自己配置​​(主要通过HTTPS提供)。然后,我为此证书创建了证书,并与此CA签署了证书。 现在,我想向根CA添加一个x509扩展名(CRL分发点),而不会使从该CA颁发的现有服务器证书无效。这可能吗? 我的直觉是“是”,因为据我了解,对证书身份的“完全授权” ,访问相应的私钥是必要和充分的。也就是说,除非在生成证书时(可能)将某种随机数与公钥一起合并到证书中。 我对SSL证书管理仍然相当陌生,但是我(我认为)了解标准信任链的基础。我对其他PKI加密的基本用法也很满意:我管理SSH密钥,并使用GPG进行签名和加密。我只是学习过计算机科学,尽管我只是密码学的自学入门者。 我从未为原始IIRC制作过CSR(我认为这是的直接输出openssl req -new -x509)。当然,我仍然拥有原始CA的私钥,并且使用它,我能够将原始证书“反向”为证书签名请求: openssl x509 -x509toreq -in MyCA.pem -out MyCA.csr -signkey private/MyCA.key 我希望这可以有效地“提取”上述随机数,并允许我重新创建证书,但是这次使用一个crlDistributionPoints字段,因此,与原始CA签署的所有证书仍将针对该新CA进行验证,但例外客户端将从字段中指定的HTTP URL检索我的CRL文件(当前为空)。 所以我做了一个扩展配置文件ext.conf: [ cert_ext ] subjectKeyIdentifier=hash crlDistributionPoints=URI:http://security.mycompany.co.za/root.crl 我从CSR生成了根CA的新版本: openssl x509 -extfile ./ext.conf -extensions cert_ext -req -signkey private/MyCA.key -in MyCA.csr -out MyNewCA.pem 现在,当我使用 openssl x509 -text -in MyNewCA.pem | less 我可以看到CRL扩展部分: X509v3 …
1
“ tlsv1警报未知ca”是什么意思?
我正在尝试使用客户端证书进行卷曲请求,如下所示: curl -E my.pem https://some.site 我收到以下错误消息: curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca 这是什么意思? 该投诉是来自我所连接的服务器还是我的curl客户端? (如何确定)在这种情况下,ca是什么? 如何使ca成为已知的?
2
根证书应包含在CA捆绑软件中吗?
我最近访问了Qualys SSL Server测试,以确认是否正确安装了Namecheap证书。除了一个链问题(“包含锚点”)之外,其他所有内容看起来都不错: 似乎我应该能够通过删除(大多数?)信任存储中已经存在的AddTrust外部CA Root来解决此问题。但是,Namecheap自己的安装说明明确指出,这是其CA捆绑包中的三个证书之一: ComodoRSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt 是否可以忽略Namecheap的说明并从链中删除AddTrust外部CA根证书?如果是这样,为什么Namecheap首先将其包括在内?
6
替换有问题的NTP服务器源并重新同步(当前内部时间晚了2分钟)
我们用作源的一台外部NTP服务器(当前是主服务器)似乎未响应NTP调用。不幸的是,在我们的核心路由器(Cisco 6509)上,NTP功能并未按预期切换到辅助NTP外部服务器。结果,我们的核心路由器(几乎是我们主要的内部NTP来源)延迟了2分钟。 我计划通过使外部NTP源成为当前工作的源来解决外部路由器问题。 我想知道2分钟的更改会对我的用户和服务有多大影响?特别是自从这些天以来,我们在很大程度上依赖基于证书的身份验证。 我们是Windows / Cisco商店。 内部NTP设置: [核心路由器1 / Cisco 6509]: 查找两个外部NTP服务器(其中主要的一个未响应NTP呼叫) [核心路由器2]: 与核心路由器1(主要)同步,工作外部路由器(辅助) [其他Cisco网络设备]: 与核心路由器1(主要),核心路由器2(辅助)同步 [域控制器]: 与核心路由器1同步 [所有Windows客户端/服务器]: 与域控制器同步
3
为什么要颁发2037年到期的SSL证书?
在Firefox中,如果我查看Verisign通用根证书颁发机构,我会注意到它在2037年到期。 (Settings标签-> advanced-> view certificates-> VeriSign Universal Root Certification Authority->-> View。) 为什么寿命为23年? 他们为什么不将它设置为更早过期?还是以后?
1
通过Puppet使用备用CA(例如Microsoft证书服务)
我正在调查是否可以以某种方式使人偶生态系统利用我们现有的Microsoft Enterprise CA,而不是成为其自己的CA。 由于puppet吹捧所有系统都是“标准SSL”,因此我猜想完全有可能做到这一点而无需更改puppet,但是除非编辑puppet以对企业进行正确的调用,否则这可能是一个巨大的手动操作CA。 有人尝试过吗?难道是“龙来了,转身离开!” 情况?
1
apache ssl-无法获取本地发行者证书
不知何故,今天,我的seafile客户端突然抛出了此错误。我不相信这是一个seafile问题,因为我的openssl引发了完全相同的错误: user@nb-user:~$ echo |openssl s_client -connect seafile.mydomain.ch:443 CONNECTED(00000003) depth=1 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Class 2 Primary Intermediate Server CA verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/description=5RygJ9fx8e2SBLzw/C=CH/ST=Thurgau/L=Frauenfeld/O=mydomain GmbH/CN=*.mydomain.ch/emailAddress=postmaster@mydomain.ch i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate …
3
Microsoft ADCS独立CA和企业CA之间的区别
这是有关不同类型的Microsoft证书颁发机构的规范问题 我在寻找有关Microsoft ADCS企业CA和独立CA之间差异的信息吗? 我应该在何时何地使用每种CA类型?我试图用谷歌搜索这个问题,但发现只有一个答案是独立CA不喜欢Active Directory。选择一个之前我应该​​考虑什么?
2
Powershell远程删除PKI证书
我最近重新构建了PKI,我想删除颁发给网络中所有客户端计算机的证书。听起来像是Powershell的工作!因此,我编写了此脚本,由GPO分发,从SysVol运行,并在启动时在客户端计算机上触发: set-location cert:\LocalMachine\My $certname = $env:COMPUTERNAME + ".domain.com" get-item * | %{ if($_.issuer -like "CN=IssuingCA*" -and $_.DnsNameList.unicode -like $certname) { remove-item .\$_.Thumbprint -Force } } 在提升的命令提示符下: 当运行Ran时,脚本不提供任何输出(仅是一个新的终端线)。它不返回任何错误,并且不会删除证书。 将参数-WhatIf添加到Remove-Item脚本中的命令后,不会再有错误,并且不会删除证书。 当运行Remove-Item。\ CERTIFICATE-THUMBPRINT -Force时,将删除证书。 这是权限问题吗?有没有更聪明/更简单的方法来做到这一点? 谢谢!
1
当根CA到期时,代码签名证书会怎样?
到目前为止,对我来说很清楚:如果代码签名证书本身已过期,则签名/带有时间戳的代码将被验证/接受。如果不是,则签名代码也过期。 但是,如果我的CA本身到期(根CA和由此发行的CA),会发生什么? 带有时间戳的代码仍会被接受吗? 是否必须仍然存在过期的根证书和颁发CA证书(例如,在受信任的根ca证书存储中)?这是我的假设,即使CA可能会降级,执行签名的客户端仍必须信任CA?否则,信任链将被破坏,对吗? 缺少CRL或AIA是否会带来任何问题?
2
在CentOS 6中安装根证书
我知道已经有人问过这个问题,但是尽管进行了许多小时的研究,我仍然找不到可行的解决方案。我试图在服务器中安装根证书,以便内部服务可以使用SSL相互绑定。 关于新的根CA应该知道些什么: Apache httpd和PHP OpenLDAP客户端 Node.js 对于Apache,我需要一个PHP应用程序来了解根证书,因此,如果站点连接到另一个SSL网站(由同一CA签名),则它可以正常工作,并且不会抱怨自签名证书。 对于OpenLDAP,我认为它与PHP相同,它使用的模块相当老,它是Net_LDAP2,与PEAR一起安装。我尝试编辑本地openldap配置,但似乎系统未使用它。 最后一个Node.js,我用于仿制。node.js服务器必须信任CA才能建立良好的SSL连接。 我尝试将证书添加到/etc/pki/tls/certs/ca-bundle.crt中,但收效甚微。 虽然httpd没有看到根CA,但我设法使它与其他服务一起使用,例如tomcat和389。 谢谢您的支持。
1
SSL证书:无法获取本地颁发者证书
这个问题不太可能帮助将来的访客。它仅与较小的地理区域,特定的时间段或格外狭窄的情况(通常不适用于Internet的全球受众)有关。要获得使该问题更广泛适用的帮助,请访问帮助中心。 7年前关闭。 我正在运行Debian(Lenny)。 当我运行这个: curl --ssl https://www.google.com 我收到此错误: curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can …
3
启用证书注册策略并使用PowerShell请求证书
现在,我正在执行以下操作以从CEP服务器请求证书: 打开gpedit.msc 在“计算机配置”>“ Windows设置”>“安全设置”>“公钥策略”下,双击“证书服务客户端-证书注册策略” 启用 输入CEP URI 切换到用户名/密码验证 验证(提供凭据) 打开MMC,然后导入“证书”管理单元 转到证书>个人 右键单击>请求新证书 输入“更多信息”(CN,DNS名称等) 提供信用 之后,我获得了CEP的证书;但是,这是手动执行的痛苦过程。在Server 2008(和2012)中,有什么方法可以自动执行此操作?我能找到的所有信息都告诉您如何安装CEP服务,以使服务器成为注册策略服务器(与实际请求新证书或在客户端启用它无关)。可以自动化吗? 似乎此过程在HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptography下添加了许多数据。我可以手动添加(并欺骗GUID / ServiceID)吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.