Questions tagged «certificate»

我有一个在EC2实例上运行的Ubuntu服务器。要登录到该服务器，我使用没有任何密码的证书文件。 我已经安装并配置了vsftpd，并创建了一个用户（我们称其为“ testuser”），为此我已经为其设置了/ bin / false ssh终端，因此该终端只能通过sftp进行连接，并可以在其家中上传/访问文件目录。 但是-当我尝试从计算机连接到服务器时，正在运行 sftp testuser@my-ec2-server 我懂了 权限被拒绝（公钥）。 连接已关闭 消息，所以我无法登录。 如何仅删除该用户的证书要求（意味着，“ ubuntu”用户仍将必须使用证书文件通过ssh登录），因此普通的sftp客户端将能够使用用户名和密码进行连接？ 谢谢。 PS在微型实例上使用标准的64位标准的Ubuntu Server 10.10官方AMI。

14 ubuntu  certificate  cloud-computing  sftp 

生产环境中的三台机器存在一些硬件问题，已经退役。基础架构团队已重新安装它们，并为它们提供了相同的主机名和IP地址。目的是在这些系统上运行Puppet，以便可以再次调试它们。 尝试 1）通过发出以下命令，从Puppetmaster中删除了旧的Puppet证书： puppet cert revoke grb16.company.com puppet cert clean grb16.company.com 2）删除旧证书后，通过从重新安装的节点之一发出以下命令来创建新的证书请求： [root@grb16 ~]# puppet agent -t Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml Info: Creating a new SSL certificate request for grb16.company.com Info: Certificate Request fingerprint (SHA256): 6F:2D:1D:71:67:18:99:86:2C:22:A1:14:80:55:34:35:FD:20:88:1F:36:ED:A7:7B:2A:12:09:4D:F8:EC:BF:6D Exiting; no certificate found and waitforcert is disabled [root@grb16 ~]# 3）一旦证书请求在Puppetmaster上可见，就会发出以下命令来对证书请求进行签名： [root@foreman …

14 ssl  puppet  certificate  puppetmaster  puppet-agent 

如何不仅通过用户名/密码，而且通过客户端证书来限制（RDP）对Windows Server的访问？ 想象一下创建一个证书并将其复制到我希望能够从中访问服务器的所有计算机上。 这不会像基于IP的规则那样受限制，但另一方面，由于不是每台计算机/笔记本电脑都在某个域或固定ip范围内，因此它会增加一定的灵活性。

13 security  authentication  rdp  certificate 

有关域example.com的SSL证书，一些测试告诉我，链是不完整的，因为火狐保持其自身存储的证书，它可能会在Mozilla（失败1，2，3）。其他人告诉我这很好，Firefox 36也一样，告诉我cert链很好。 更新：我在Windows XP和MacOS X Snow Leopard上的Opera，Safari，Chrome和IE上进行了测试，它们都可以正常工作。它仅在两个操作系统上的Firefox <36上均失败。我没有在Linux上进行测试的权限，但是对于此网站，它不到1％的访问者，并且大多数可能是机器人。因此，这回答了原始问题“此设置是否会在Mozilla Firefox中弹出警告”和“此SSL证书链是否断开？”。 因此，问题是我如何找出需要在ssl.ca文件中放置的证书，以便Apache可以为它们提供证书，从而使Firefox <36不再受阻？ PS：作为旁注，我用来测试证书的Firefox 36是全新安装的。它没有机会不会抱怨，因为它在上次访问使用相同链的网站时下载了中间证书。

13 ssl  ssl-certificate  https  certificate  certificate-authority 

我想知道如何手动（使用openssl代替puppet ca命令）创建可供Puppet使用的CA？目标是对此类CA进行脚本创建，以将其部署到多个puppetmasters上，而不是通过puppet cert命令在其上创建证书。 关于如何做的任何想法？我只能找到类似的内容：https : //wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster，但是它无法正常工作-在创建CA和客户端证书并将它们应用于puppetmaster之后，它抱怨： Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both …

13 ssl  puppet  certificate  openssl 

我的SSL证书之一（仅简单域验证）即将在Windows 2003 IIS 7.0服务器上到期。 我从另一个供应商那里得到了更好的报价，最初签发我的证书的家伙不想谈判更低的价格。 无论如何-通过IIS中的证书向导，我可以选择“更新”或“卸载”，然后安装新证书。 所以-我可以使用“更新”选项来创建证书申请并将其传递给新的供应商，还是需要从“新”申请开始？对于新供应商而言，先前的证书是由另一个签名者颁发的，这有关系吗？ 问题是，由于删除了旧证书并创建了新的CSR，我不想停止服务器（至少是安全部分），然后等待新证书安装。 或者，是否可以选择在不删除旧证书的情况下准备新的CSR？

13 iis  ssl  certificate  renew 

您可以使用* .domain.com作为名称来制作SSL证书。 但不幸的是，这并不涵盖https://domain.com 有没有解决办法？

13 ssl  certificate  openssl  wildcard 

每个人都在谈论域控制器，他们应该安装一个证书，但是到最后，它是可选的。安装后，该证书实际使用什么？我的理解是至少需要： 智能卡身份验证 LDAPS 但是，我想知道域控制器使用证书的DC或Active Directory是否有特定的本机操作？ 我知道这里的安全隐患/良好实践:)我只是对游戏机制感兴趣。

13 active-directory  domain-controller  certificate  ad-certificate-services 

我在使用keytoolJava 1.7中的Java 实用程序生成带有主题备用名的密钥对时遇到问题。我试图按照此处的说明进行操作。 我正在使用的命令示例如下（该示例已经过测试）： keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1 然后，我使用以下命令生成CSR： keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr 生成以下证书请求： -----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVN0YXRlMREwDwYDVQQHEwhBbnl3 aGVyZTERMA8GA1UEChMIU3BhbSBJbmMxEDAOBgNVBAsTB1NwYW0gTkExGTAXBgNVBAMTEHNwYW0u ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCExCFepag4KH+j8xgR BjI58hOEiFuSrkgbL5/1steru3+FwDb98R8XO90kKreq/Qt7s/oHbTpFOwotdkGVxA2x44/R5OYr Qdfk3v32ypJTxms/8tu0Zi9wbH2ruA/h5AhtZ9TV/xLPFSe5eFvN0pUl90p+9zfd0ZCmPQ69k3Lb …

13 ssl  keytool  certificate 

我想对我们网站的SSL密钥保密。它存储在2个USB记忆棒中，一个保存在保险箱中，另一个保存在我的手中。然后，我是唯一将其应用于Web服务器以使其完全安全的人。 除了... 至少在IIS上，您可以导出密钥。这样，作为管理员的任何人都可以获取密钥的副本。有没有办法解决？或者根据定义，所有管理员都具有对所有密钥的完全访问权限吗？ 更新： 我确实有完全信任的系统管理员。导致这种情况的原因之一是他们辞职了（他们到我们公司通勤了一个小时，到新公司通勤了5分钟）。尽管我信任这个人，就像我们在有人离开时禁用其Active Directory帐户一样，我认为我们应该有一种方法来确保他们不会保留使用我们SSL的能力。 最让我震惊的是，如果我是唯一拥有它的人。我们的证书将于1月到期，因此如果可以的话，现在是时候改变惯例了。根据答案，看来我们做不到。 因此，这引出了一个新问题-有权访问证书的人离开时，获得新证书并撤销现有证书的标准做法是吗？或者，如果离开的人值得信赖，那么我们是否继续持有证书？

12 ssl  certificate  iis 

我公司有一个内部证书颁发机构，该颁发机构目前是自签名的。由于我们要开始将其用于外部SSL并向客户发送安全的电子邮件，因此我们需要使其受到信任。 对于获得内部PKI的受信任的根证书需要花多少钱，是否有人有把握？4个数字？5位数？6位数？我们雇用2000-3000之间。

12 email  ssl  ssl-certificate  certificate  certificate-authority 

我正在尝试为一个小型团队安装开发工具，但我无法获得正确的身份验证。 由于我们是分布式团队，因此服务器位于Internet上。我想拥有SSO +零客户端配置。 因此，基本上，通过https + webdav进行git操作是不切实际的，因为git客户端只能使用基本身份验证，而不能保存密码，并且某些IDE插件甚至无法在其UI中转发密码问题。 然后，我必须在ssh上使用git。我安装了gitosis，它基本上可以与非对称密钥一起使用，好的。我将不得不要求每个开发人员安装他们的密钥，我可以这样做，而无需进行零配置。 然后，我希望开发人员访问https上的Web工具（Wiki，票证等），但是这一次，我不得不给他们一个登录名/密码或另一个私钥，只是因为SSH之间的格式不兼容SSL与OS上存储的位置不同。现在，我必须忘记SSO吗？ 我错了吗？

12 ssh  ssl  certificate 

我为内部网络example.com创建了自定义根证书颁发机构。理想情况下，我希望能够将与此证书颁发机构关联的CA证书部署到我的Linux客户端（运行Ubuntu 9.04和CentOS 5.3），以使所有应用程序自动识别证书颁发机构（即，我不想拥有以手动配置Firefox，Thunderbird等以信任此证书颁发机构）。 我在Ubuntu上尝试通过将PEM编码的CA证书复制到/ etc / ssl / certs /和/ usr / share / ca-certificates /，以及修改/etc/ca-certificates.conf并重新运行update-来尝试此操作ca证书，但是应用程序似乎无法识别我已向系统添加了另一个受信任的CA。 因此，是否可以一次将CA证书添加到系统，还是有必要手动将CA添加到所有可能尝试与该CA在我的网络中签名的主机建立SSL连接的应用程序中？如果可以一次向系统添加一个CA证书，那么它需要去哪里？ 谢谢。

12 ssl  certificate 

关闭。这个问题是题外话。它当前不接受答案。 5年前关闭。 已锁定。该问题及其答案被锁定，因为该问题是题外话，但具有历史意义。它目前不接受新的答案或互动。 我们需要SSL证书，以方便少数员工进行远程访问和管理。我不想培训一群非技术用户在他们的家用计算机上安装一个自发布的证书，因此，我宁愿从信誉良好的提供商那里购买一个证书。我们不会将其用于任何形式的电子商务或类似的事情，因此似乎很难证明需要支付某些知名提供商的价格。 谁是一些好的低成本提供商？不同价位的产品之间有哪些重要区别？（证书业务真的像看起来一样多吗？）

12 ssl  certificate 

我希望配置OpenSSL，以便在运行openssl req -new以生成新的证书签名请求时，系统提示我输入要包含在CSR中的任何其他主题名称。 我已将此行添加到[req_attributes]我的部分openssl.cnf： subjectAltName = Alternative subject names 这具有理想的效果，现在在生成CSR时提示我输入SAN： $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or …

11 ssl  ssl-certificate  openssl  certificate