Questions tagged «certificate»

证书是公钥和标识信息

1
SAN证书如何降低性能?
我听说,当将多个名称添加到单个SAN证书(主题备用名称)时,性能开始下降。 有人可以解释SAN证书的处理方式,以便我了解随着SAN名称增加而导致性能成本下降的原因吗?
1
使用UCC / SAN证书的单个IP上的Apache SSL VirtualHosts
我需要通过单个IP使用SSL托管多个Apache虚拟主机。 现在-我了解到,因为SSL环绕HTTP请求,所以在先将公钥发送到客户端之前,无法知道正在请求哪个主机。这从根本上打破了使用标准SSL证书的SSL虚拟主机的可能性。 我已经获得了统一通信证书(UCC),也称为主题备用名称(SAN)证书。这使我可以为多个域提供相同的证书。 我希望这是Apache为任何 SSL请求提供的证书-一旦建立了加密,然后让Apache照常解析虚拟主机。 我应该如何为此配置Apache?我试图研究如何做到这一点,但我能找到的只是引号,说这是可能的,但没有具体说明: wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI 虽然Apache可以在看到请求中的主机名之后(并且确实)在以后重新协商SSL连接,但为时已晚,无法选择在初始握手期间用于匹配请求主机名的正确服务器证书,从而导致浏览器警告/有关证书包含错误的错误。其中错误的主机名。 serverfault.com/questions/48334/apache-virtual-hosts-with-ssl 顺便说一句,可以在一个IP地址上拥有多个由SSL保护的命名虚拟主机-我在我的网站上进行过-但它会在Apache日志中生成各种警告,并在浏览器中生成证书警告。对于肯定需要干净的生产站点,我当然不会推荐它。-戴维7月31日4:58 www.digicert.com/subject-alternative-name.htm 虚拟主机单个IP地址上有多个SSL站点。在单个服务器上托管多个启用SSL的站点通常每个站点需要一个唯一的IP地址,但是带有使用者备用名称的证书可以解决此问题。Microsoft IIS 6和Apache都能够使用统一通信SSL(也称为SAN证书)来虚拟主机HTTPS站点。 请帮忙。
3
如何创建证书.cer文件?
我想使用证书,并且第三方机构向我发送值: -----BEGIN CERTIFICATE----- [...]Many letters and digits[...] -----END CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- [...]Many letters and digits[...] -----END RSA PRIVATE KEY----- 但是我需要一个.cer文件来放入IIS。如何创建此.cer文件? 预先感谢您的任何答案。
11 iis-7  ssl  certificate 
1
无法将证书添加到Windows 7中的受信任的根证书颁发机构
我正在尝试添加一个苹果开发人员证书,以便将推送通知发送到“受信任的根证书颁发机构”部分。我收到这样的错误:“导入失败,因为存储是只读的,存储已满或存储没有正确打开” 我以管理员身份登录。我想不出什么办法解决这个问题。以前有人能解决类似问题吗? 谢谢你的时间...
2
如何使用OpenSSL验证/阅读IIS7 SSL更新CSR
我有幸每周处理大约5个SSL CSR,然后将其传递给我们的CA进行检查,以检查其有效性。我在Ubuntu机器上使用OpenSSL来检查它们是否有效,测试诸如正确的OU名称,合理的CN,密钥大小> = 2048位等内容,因为我们的请求有时不正确。 前几天,我收到来自IIS7计算机的续订请求。我完全不知道如何使用OpenSSL来阅读此内容。这是有效的,因为我的CA已接受它... “ file(1)”表示这是“ RFC1421安全证书签名请求文本”,这是我在这里大约50%的CSR(其余为“ PEM证书请求”)所说的内容。 $ head iis7rcsr -----BEGIN NEW CERTIFICATE REQUEST----- MIIQsQYJKoZIhvcNAQcCoIIQojCCEJ4CAQExCzAJBgUrDgMCGgUAMIIJegYJKoZI hvcNAQcBoIIJawSCCWcwggljMIIIzAIBADCB2zELMAkGA1UEBhMCTloxDTALBgNV BBEMBDkwNTQxDjAMBgNVBAgMBU90YWdvMRAwDgYDVQQHDAdEdW5lZGluMRwwGgYD ... ... openssl req,它读取CSR(PKCS#10)无法理解它... $ openssl req -in iis7rcsr -text unable to load X509 request 5156:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1316: 5156:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509_REQ_INFO 5156:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:748:Field=req_info, Type=X509_REQ 5156:error:0906700D:PEM …
1
certutil -ping失败,超时30秒-怎么办?
我的Win7盒子上的证书存储区一直在挂。观察: C:\> 1.cmd C:\> certutil-?| findstr / i ping -ping-Ping Active Directory证书服务请求界面 -pingadmin-Ping Active Directory证书服务管理界面 C:\>设置PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-ping命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadmin命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:05:28.79)>设置PROMPT = $ P $ G C:\> 说明: 第一条命令显示你有–ping和–pingadmin参数的certutil 尝试任何ping参数失败,并显示30秒超时(在提示符中显示当前时间) 这是一个严重的问题。它把我所有的安全通信都搞砸了。如果有人知道如何解决-请分享。 谢谢。 聚苯乙烯 1.cmd只是这些命令的一部分: certutil -? | findstr /i …
5
将.p7b密钥转换为.pfx
我有一个.p7b格式的SSL证书,需要将其转换为.pfx。如果我通过Windows证书管理尝试此操作,则将禁用专家作为.pfx的选项。 尝试使用openssl我发现以下两个命令可以进行转换: openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer 但我不确定用于第二个命令的密钥是什么,或CACert.cer所指的证书。 如何将该密钥转换为.pfx格式?
2
如何部署内部证书颁发机构?
IE7积极警告证书失败。我们有一些通过HTTPS运行的内部站点,因此需要有效的证书。我们似乎在Intranet上具有可以签署SSL证书的证书颁发机构,但是我们有一个问题:我们如何大规模配置桌面以信任内部CA? 是否可以通过GPO在本地部署内部CA证书?
3
生成针对Apache的自签名SSL证书
我想为网站创建自签名证书。旧证书在几天前过期。系统上托管了多个NameVirtualHosts。我用来创建证书的命令来自一个教程网站,它们是: openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.key server.key.org openssl rsa -in server.key.org -out server.key openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 之后在ssl.conf文件中,我在VirtualHost部分下指定了其他管理员完成的旧设置 SSLEngine on SSLCertificateFile <full_path>/server.crt SSLCertificateKeyFile <full_path>/server.key 在启动服务器时,我在日志文件中收到以下消息,并且服务器无法启动。 在error_log文件中的消息是 [Mon Jun 01 23:52:46 2009] [notice] suEXEC …
1
当根CA到期时,代码签名证书会怎样?
到目前为止,对我来说很清楚:如果代码签名证书本身已过期,则签名/带有时间戳的代码将被验证/接受。如果不是,则签名代码也过期。 但是,如果我的CA本身到期(根CA和由此发行的CA),会发生什么? 带有时间戳的代码仍会被接受吗? 是否必须仍然存在过期的根证书和颁发CA证书(例如,在受信任的根ca证书存储中)?这是我的假设,即使CA可能会降级,执行签名的客户端仍必须信任CA?否则,信任链将被破坏,对吗? 缺少CRL或AIA是否会带来任何问题?
5
为什么Windows 2012 R2不信任我的自签名证书?
在测试环境中,由于Windows拒绝信任我们拥有的自签名证书,我目前无法进行一些需要尽快部署的事情(实际上已经,但是您知道截止日期如何...)。孤立的测试环境。尽管我可以通过“真实”证书和一些DNS技巧来绕开问题,但是出于安全性/隔离化的原因,我没有提到该证书。 我正在尝试连接到名为Zimbra的基于Linux的电子邮件服务器。它正在使用自动生成的自签名OpenSSL证书。虽然Google专门打开的页面是指具有IIS自签名证书的IIS网站,但我认为生成它的方法实际上并不重要。 根据我在此处和此处找到的说明,这很简单,只需将证书安装到本地计算机的“受信任的根证书颁发机构”存储中即可。我已经完成了这些工作,以及手动复制证书并通过MMC管理单元直接将其导入。注销和重新启动不会更改任何内容。 这是我每次都收到的证书错误: 这是“认证路径”(破坏者:这只是证书本身): 最后,这是安全存放在本地计算机的证书存储区中的证书,与我发现的说明完全一样: 当我使用Server 2012 R2连接到基于Linux的服务器时,这些说明专门针对Vista(嗯,第二个没有提及OS)和IIS。导入向导中有一些差异(例如,尽管我已经尝试了两者,但我的选项可以为当前用户或本地系统导入),所以也许在这里我需要做些不同的事情吗?我尚未发现的某个设置必须进行更改才能使其真正信任我已经告诉它信任的证书? 使Windows Server 2012 R2信任自签名证书的正确方法是什么?
2
在CentOS 6中安装根证书
我知道已经有人问过这个问题,但是尽管进行了许多小时的研究,我仍然找不到可行的解决方案。我试图在服务器中安装根证书,以便内部服务可以使用SSL相互绑定。 关于新的根CA应该知道些什么: Apache httpd和PHP OpenLDAP客户端 Node.js 对于Apache,我需要一个PHP应用程序来了解根证书,因此,如果站点连接到另一个SSL网站(由同一CA签名),则它可以正常工作,并且不会抱怨自签名证书。 对于OpenLDAP,我认为它与PHP相同,它使用的模块相当老,它是Net_LDAP2,与PEAR一起安装。我尝试编辑本地openldap配置,但似乎系统未使用它。 最后一个Node.js,我用于仿制。node.js服务器必须信任CA才能建立良好的SSL连接。 我尝试将证书添加到/etc/pki/tls/certs/ca-bundle.crt中,但收效甚微。 虽然httpd没有看到根CA,但我设法使它与其他服务一起使用,例如tomcat和389。 谢谢您的支持。
2
如何使apache请求客户端SSL证书,而无需根据已知的CA对其进行验证?
我正在使用apache2(2.2.3)为我希望客户使用证书进行身份验证的网站提供服务。由于我只需要验证提供特定证书的用户是否与过去提交该证书的用户相同,因此签署该证书的CA无关紧要。但是,似乎使用SSLVerifyClient requirerequire SSLCACertificateFile ...(或SSLCACertificatePath ...),然后apache将仅接受该文件/路径中由CA签名的证书。有没有一种方法可以使apache接受任何客户端证书,而与颁发/发行CA无关。(即验证客户是否具有与显示的公钥相对应的私钥,但不必费心验证签发/签名的CA)
3
Https可以在没有证书的情况下工作吗?
最近,我们的基础架构团队告诉我们的开发团队,您不需要https的证书。他们提到购买证书的唯一好处是让消费者放心他们正在连接到正确的网站。 这违背了我对https所做的所有假设。 我阅读了维基百科,其中提到您需要信任的证书或自签名证书来配置https。 是否可以将IIS配置为在没有任何证书的情况下响应https ?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.