Questions tagged «x509»

注意：这并不是一个真正的问题，因为我已经找到了答案，但是由于我在这里不太容易找到答案，因此我将其发布出来，以使其他人受益。 问题：如何将串联的PEM文件读取为apache / mod_ssl指令SSLCACertificateFile使用的文件？ 答案（原文）（来源）： cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".pem"}' 如果末尾有空白行（例如），则可以保留一个空文件openssl pkcs7 -outform PEM -in my-chain-file -print_certs。为防止这种情况，请在打印前检查行的长度： cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {if(length($0) > 0) print > "cert" n ".pem"}' 回答29/03/2016： 跟随@slugchewer 答案，csplit可能是一个更清晰的选择： csplit -f cert- $file '/-----BEGIN CERTIFICATE-----/' '{*}'

37 shell  openssl  awk  x509 

（发布到ServerFault而不是StackOverflow，因为我认为它比编程代码更关注OS配置）。 我目前负责维护连接到第三方Web服务的系统。此Web服务需要客户端身份验证证书，这很公平，但是Web服务本身由由自行创建的根证书颁发机构证书（与创建客户端身份验证证书的根相同）创建的自签名证书来保护。 仅将当前服务证书添加到已知受信任列表中，而忽略自己创建的权限证书就足够了，不幸的是，服务证书会定期更改，因此必须信任权限证书以确保应用程序在以下情况下不会中断：服务证书已更新。 但是，根据我在运行Web服务的公司的经验，我不（个人）信任CA证书-如果它泄漏到Web上也不会令我感到惊讶-并且令人担忧，CA证书没有对密钥使用的限制它（虽然可能是外部MITM攻击，尽管是远程的，但我更担心用于代码签名的证书泄漏）。 是否可以告诉我的计算机（当前是服务器箱，但在将来的普通台式机客户机箱中）信任CA，但仅针对给定的一组键用法和一小部分可能的使用者名称（域名） ）？ 该服务器当前为Windows Server 2012 R2，但它可以在Linux机器上运行-尽管台式机都是Windows机器。

32 ssl-certificate  certificate-authority  x509 

自签名SSL证书是否对安全性有误？ 如果您正在被窃听，用户将像他/她一贯一样简单地接受证书。

30 networking  security  ssl  ssl-certificate  x509 

关于此主题的资源很多，但是我没有找到涵盖这个特例的资源。 我有4个档案； 私钥 证书 middle_rapidssl.pem ca_geotrust_global.pem 我希望将它们导入到新的密钥库中。 某些站点建议使用DER格式，并将它们一个接一个地导入，但这失败了，因为无法识别密钥。 另一个站点建议运行一个特殊的“ ImportKey”类以进行导入，并且该类一直起作用，直到我看到链条损坏。即，证书上的链长为1，忽略中间部分和ca。 一些网站建议使用PKCS7，但我什至无法从中获得链条。其他建议使用PKCS12格式，但就我的测试而言，获取整个链也失败了。 任何建议或提示都非常欢迎。

29 certificate  openssl  x509  keystore 

您能想到任何用于保存HTTPS服务器提供的证书的Linux命令行方法吗？使用curl / wget / openssl建立SSL连接并保存证书而不是HTTP响应内容。 等同于我正在寻找的gui，将浏览到HTTPS站点，双击浏览器的“安全站点”图标，然后导出证书。除了这里的目标是非交互地进行。 谢谢，吉姆

28 linux  ssl  ssl-certificate  https  x509 

我可以从根CA获得证书，然后将其用于签署自己的Web服务器证书吗？如果可能的话，我会使用签名证书作为中介来签署其他证书。 我知道我将必须以某种方式使用“我的”中间证书来配置系统，以便向我的客户提供有关信任链的信息。 这可能吗？根CA是否愿意签署这样的证书？这个很贵吗？ 背景 我熟悉SSL的基础知识，因为它与通过HTTP保护网络流量有关。我对信任链的工作方式也有基本的了解，因为如果您使用具有有效链的证书进行加密（一直返回到根CA）（由浏览器确定），则“默认情况下”将确保网络流量的安全/ OS供应商。 我也知道许多根CA已经开始使用中间证书为最终用户（如我）签署证书。这可能需要在我的一端进行更多设置，但否则，这些证书将可以正常工作。我猜想这与保护CA的所有宝贵私钥有关，以及如果我遭到入侵将带来的灾难。 例子 https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs 现在，我们绝对不是这些组织中的任何一家，但他们似乎在做这样的事情。无疑，这将使这些证书的管理更加可口，尤其是考虑到我们扩展电子商务平台范围的一种方式。

23 ssl  certificate  x509 

我正在尝试设置OCSP验证例程，因此想先适应环境。在例如OpenSSL上找到了出色的教程：针对OCSP手动验证证书。 出现多个问题，请耐心等待。 自该教程以来，已经进行了一些更改，但是我认为要点是： 1）截取您要验证的证书，例如 openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2）建立证书链，例如 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem 然后进行适当的编辑。我发现上面没有提供自签名CA证书GlobalSignRootCA，因此在其中添加了证书。 3）确定ocsp URI，例如 openssl x509 -noout -ocsp_uri -in wikipedia.pem 哪个返回 http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4）调用openssl ocsp客户端，例如 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 哪个返回 …

13 openssl  x509  ocsp 

有人知道如何将IIS Express配置为要求客户端证书才能访问吗？我正在尝试调试使用客户端证书进行身份验证的有问题的ASP.NET应用程序。

8 windows  asp.net  https  x509  iis-express