我正在为内部使用创build一个自签名的根CA,我决定使用中间证书。 但是,我遇到了Chromium和Firefox 54.0不相信证书链的问题。 内容通过Ubuntu 16.04上的Apache 2.4.18进行托pipe,具有以下configuration: <VirtualHost *:443> DocumentRoot /var/www/html/ SSLCertificateFile /etc/apache2/ssl/server.crt SSLCertificateKeyFile /etc/apache2/ssl/server.key SSLCertificateChainFile /etc/apache2/ssl/fullchain.crt </VirtualHost> Chromium正在报告“网站证书链存在问题”,以及Firefox“错误代码:SEC_ERROR_CA_CERT_INVALID”。 Chromium和Firefox都将Root CA安装在其信任存储中,作为validation网站的可信证书。 以下是用于生成,签名和validation证书的设置 #Generate and self-sign the Root CA #=========================================================== openssl genrsa -out ca.key 2048 #openssl genrsa -aes256 -out ca.key 4096 openssl req -new -x509 -days 3650 -key ca.key -subj "/C=UK/ST=London/L=/O=SWS, Inc./CN=X1 SWS Root CA" -out ca.crt […]
我有Windows Server的2102 R2和我们的广告团队创build了一个证书模板,并分配了注册的权限和阅读到一个组我的服务器包括它。 但是我的机器没有列出模板作为选项。 当我运行certutil -Template它正确地显示模板上的权限,我的机器和组列出了注册和阅读。 但是,当我运行certutil -ADTemplate模板显示为访问被拒绝。 我正在使用分配的权限从机器运行此命令。 任何人有什么可以阻止我的机器使用模板或其他命令我可以尝试得到一个特定的错误? 要注册证书,我打开了MMC并添加了证书插件。 然后我select了电脑(本地)。 我去了所有的任务,并要求新的证书。 在向导中,我select了活动目录注册策略,模板不是其中一个选项,所以我查看了全部显示,它显示了我正在尝试的模板,但是显示不可用。
我正在面对一个问题来更新Windows 2003上的SubCA证书。我不断收到此错误(请参阅图像)。 我已经找了很多解决scheme,其中之一是从rootCA(这是一个独立的服务器)复制到SubCA服务器的CLR(像这样http://itcalls.blogspot.fr/2013/08/how-to-publish -new-certificate.html ),但我不确定这一点,我不想冒着知道在局域网上启用802.1x的风险。 任何人想分享他们的经验? 下面是错误: 然后select“取消”后,我有:
我们有兴趣提高公司电子邮件的安全级别,原因如下:1)保护内部信息免受泄漏。 2)邮件给客户将被签名。 3)标记邮件来自外部(防止社会工程攻击捕鱼的事情,或试图发出命令,而不是经理等)的方式。 作为一个解决scheme,我们正在考虑这个模式(我知道GPG非常好,所以我将使用这些术语来描述解决scheme): 1)所有内部电子邮件(从/到公司域)将使用员工的GPG密钥encryption发送,该密钥将由主密钥(整个公司的CA密钥)签名。 2)外部发送给客户的电子邮件只能使用员工的私钥进行签名,所以如果他们愿意,他们可以在我们的公共服务器上validation他的密钥是否有效。 3)任何检测到来自公司外部的邮件,都会附加额外的线路,说“外部邮件”或类似的东西。 在这种结构下工作的优势在于,如果员工辞职,被解雇,背叛或被盗,他们很容易通过公司的主要CA密钥撤销其有效性。 我不确定如何完全做到这一点,但对GPG有效。 当然,缺点是所有的员工都是愚蠢的,所以设置encryption是非常头痛的,并且要确保他们encryption每一个内部邮件。 我读了这些类似的问题: 最佳的Outook 2007 / Exchangeencryption客户端? 寻找电子邮件encryption解决scheme 第二个似乎对我们的需求过于复杂,但铁港听起来很有希望..但是我不能find任何有关他们的网站上 – 我看错了? 我还会提到,我们正在运行一个数据中心,因此我们可以在我们的场所中整合一个解决scheme。 那么,你觉得什么人呢? 和任何build议? 🙂
我有一个使用SSL的Web应用程序。 该网站是不公开面对的,只有在我们的企业私人内部访问。 出于安全原因,我们运行两个独立的Active Directory域和networking,但是这个特定的Web应用程序可以被来自这两个域的用户访问。 我们在每个域上维护专用CA,为Web服务器生成证书。 有问题的Web应用程序拥有由CA之一颁发的有效证书,并且该域中的所有用户都“信任”该网站。 其他域的用户可以访问该网站,但会显示证书警告。 由于我不想训练用户忽略警告,我想在CA之间build立某种信任关系,但是我不知道如何去做。 所以重申… DOMAIN1和DOMAIN2各自拥有自己的证书颁发机构。 WEBAPP是DOMAIN1的成员,并且具有来自DOMAIN1证书颁发机构的签名SSL证书,因此所有DOMAIN1用户都信任该证书。 DOMAIN2的所有用户都会收到证书错误。
我已经在服务器上configurationPowerShell执行策略AllSigned,所以我想创build一个签名ps1脚本的证书。 你能指导我,我应该使用哪种证书? 我想使用自签名证书,我应该使用makecert.exe(这是Windows平台SDK的一部分),或者我应该创build一个CA. 各方面都会更好(从安全性,可pipe理性等方面来说)。 我不想支付证书,所以我select了自签证书。 还有一个网站http://www.cacert.org (网站的描述是 – 如果你想有发放给你的免费证书,joinCAcert社区。) 请指教。 感谢和问候,帕拉姆
目前要生成PFX证书,我使用openssl和: 用私钥生成CSR 连接到我的CA网站(Microsoft CA),并提交CSR(san:dns =)附加属性。 从证书颁发机构,我发出挂起的证书(Base 64)。 将我的私钥PKCS8转换为PKCS1 创build一个PEM(私钥,主机证书,中级证书和根证书) 并最终将我的PEM转换为PKCS#12(.pfx文件) 这个过程非常漫长,我相信我浪费了很多时间。 任何人都可以让我知道什么是更快的方式来获得从内部的Microsoft CA签署的证书链(pfx)?
当尝试发布中间CA证书时,我创build了一个为CA设置x509基本约束的模板,但是我故意将“critical”closures。 当我使用此模板创build证书时,创build的证书具有标记为关键的基本限制。 看起来好像CA正在重写我的模板并使约束条件成为关键。 即使我使用certutil来设置基本约束的扩展值。 一旦我颁发证书,它已经变回关键。
将LDAP分发点用于脱机CA与仅使用HTTP相比有什么好处? 这听起来像只使用HTTP分发点的过程会简单得多。 我花了相当多的时间研究这个问题,没有明确的答案。 编辑 – 我有一个异构的环境。 我了解它的方式,我将需要通过HTTP提供分发点,以便从我的embedded式设备和Linux客户端进行未经身份validation的访问。 这样的情况下,向AD添加CRL有什么好处呢?
我的任务是在我们的域上创buildWindows Server 2012证书颁发机构(CA),并使用它为我们的用户创build个人证书。 证书的目的是能够签署PDF文件 我创build了CA,并创build了一个名为“PDF签名”的新模板,并提供了所有我需要的选项。 现在唯一剩下的就是实际为我们的用户创build证书。 到目前为止,我已经看到3种方法来做到这一点: 运行certmgr,右键单击个人 – >证书并请求证书。 按照向导并select“PDF签名”模板。 我不知道这种方法是否需要用户成为pipe理员。 安装Web注册angular色function并将用户指向该网站。 具有讽刺意味的是,我发现UI比certmgr更复杂 命令行版本(certreq) 有没有办法使这个过程自动化? 命令行版本需要.ini文件并提供密码,这使自动化变得复杂。 我坚持解释用户如何使用certmgr? 我们的用户没有任何权限,甚至没有本地pipe理员。 或者还有另一种方法我没有看到?