我致力于通过Internet保护数据交换。 我们计划使用VPN和证书来validation用户身份。 为此我已经确定了各种PKI解决scheme。 EJBCA:安装并使用它进行testing。 (Ca,Sub-Ca,最终用户证书和OCSP) Dogtag:安装,但没有真正尝试过呢 XiPKI OpenCA 我计划在Debian稳定版上使用选定的解决scheme。 但经过调查,还有很多尚未解决的问题,没有用户反馈就很难解决,这就是我寻求帮助的原因。 所以我的问题是关于每个解决scheme之前列出: 是否有一个大的OpenSource社区背后? 产品是否还在积极开发(当你开始一个PKI,你期望某种可见性)? 任何有利于特定解决scheme的build议,为什么? 在select解决scheme时,我应该担心的其他任何问题? 全球用户对PKI解决scheme的反馈和build议? 您的反馈是非常欢迎:) 谢谢。
我最近在我们的一个DC上安装了ADauthentication机构。 它作为下级企业CA,根CA是独立的脱机根CA,两个CA之间没有连接。 我已经申请了下级企业CA的证书并成功安装了它。 DC上的CA似乎工作(我可以要求证书等)。 不,我想安装networking设备注册服务,我通过configuration向导,创build一个用户,将其添加到IIS_IUSERS等,但最后我得到一个错误,说configuration不成功。 没有详细信息,没有错误代码。 我想重新做configuration,但现在NDES灰色,如下所示: 我意识到,IIS有问题,Certsrv应用程序没有启动。 将CertSrv分配给不同的应用程序池后,应用程序立即启动并运行,但即使重新启动,NDES的configuration也变为灰色。 有人可以告诉我哪里出了问题或如何解决它? (Windows Server 2012标准版,林和域级别2008 R2)
我正在开发一个程序,从Windows 2012R2 CA请求证书,在这个过程中,我已经注意到服务这些请求花费的时间更长。 目前我正在申请100到1000个证书批次,请求程序每批次后重新启动,据我所知,这里面没有任何东西可以引起这个问题。 当我全新安装Windows时,大约需要15秒来处理100个请求并颁发证书。 当CA颁发5000个证书时,需要25秒,15000个证书需要40秒左右。 我认为15000个证书不是一个大数目 我想知道是否有其他人注意到了这一点? 是否有Windows的安装选项,安装猴子应该select?
我们正在尝试将推送服务迁移到Google Firebase云消息传递。 在运行linux的开发机器上,一切都很好,但是在集成系统(像FreeBSD那样运行在FreeBSD上)上有一个奇怪的错误。 在Linux上,我可以“蜷缩https://fcm.googleapis.com/fcm/send ”并获得一个propper响应,但是在FreeBSD中它说: curl: (60) SSL certificate problem: unable to get local issuer certificate 和“ https://fcm.googleapis.com/fcm/send ”取回响应: Certificate verification failed for /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 34380949368:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/s3_clnt.c:1180: fetch: https://fcm.googleapis.com: Authentication error ca_root_nss文件被更新,pkg信息ca_root_nss表示: ca_root_nss-3.27.1 Name : ca_root_nss Version : 3.27.1 Installed on : Fri Nov 11 15:54:47 2016 CET Origin : security/ca_root_nss […]
我们在我们的networking中部署了DirectAccess,用于Windows 7/10客户端,这非常棒。 问题是,DA服务器/客户端证书是基于我们正在退役的内部PKI; 我们已经构build了另一个PKI(两层,离线rootca和从属ca),我们正在将所有证书迁移到其中。 我的问题是将我们的DA基础设施迁移到新的PKI。 我将需要向客户端计算机发放一个新的计算机证书模板(与旧计算机证书一起保留其现有的DAfunction); 那么一旦所有的客户端都有来自新的PKI的计算机证书,我将更新DA服务器上的证书。 我遇到的问题(或缺乏知识)是什么? 客户能否使用新的PKI颁发的新证书重新连接到DA服务器? 或者,这会打破严重,直到他们在networking上获得最新的GPUPDATE。 任何人经历过这样的事情都想分享他们的经验? 我最好的行动是什么?
我们在Small Business Server 2008上运行CA ARCserve Backup r12.5(内部版本5854) – 小型企业服务器版。每天都有一项工作可将系统驱动器,交换机和3个数据库保存到我们的备份存储中。 看起来这个日常工作每次都创造这些额外的工作。 我不知道为什么这样做。 有人可以告诉我为什么发生这种情况吗? (对不起,这个截图是德文的…“Ergänzungsjob”意思是像“extensionjob”或“additionjob”) 编辑 : 忘了告诉你: 此作业configuration为执行完整备份。 没有configuration旋转。
我希望从我的Windows 2008 R2 CA获得值得信任,甚至更好的“绿色栏”证书,以便与我的Insightpipe理器主页https:// host:2381 我试图导入文件c:\hp\sslshare\cert.pem但似乎是我的AD CA格式错误。 我如何完成这个价格?
我已经安装了一个新的服务器并安装了远程访问和证书颁发机构服务,所以我可以将其configuration为VPN。 我已经通过http://localhost/certsvr创build了自己的证书,并已导入到“受信任的证书库”中。 我的VPN的工作原理,但只有当我通过registry禁用客户端撤销检查,我发现我的证书的CRL不存在。 我的证书的名称是dcom-dc01.dcomproductions.com ,但是当我在IIS中检查CertEnroll文件夹时,CRL没有列出。 只有在证书颁发机构设置期间创build的原始CRL( DCOM-DC01-CA )。 我试图做Actions -> Publish但它仍然不会发布CRL。 我怎样才能纠正这一点? 我的CRL分发点configuration为: C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass> file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl EXTERNALIP当然是服务器可公开访问的IP。 我唯一改变的是HTTP,因为我的理解是,这是客户端检查CRL的地方。
我有一个文件服务器是辅助域控制器(2003 R2),Exchange服务器(2008 R2)和主域控制器(2008 R2)的组织。 我们也曾经是主要的域控制器,但已经被降级为第三个域控制器(2003)。 我想完全删除最后一个,但担心它会导致问题。 很多年前,有人把这个服务器设置为一个authentication中心,我相信要用电子邮件encryption来做一些永不放弃的事情。 它目前只有3个有效的证书问题,每个域控制器一个。 我完全不了解CA的angular色。 我是否可以简单地撤销这三个颁发的证书,然后删除angular色,否则会导致某种无法预料的问题?
我正尝试在从Microsoft Active Directory证书服务生成的embedded式系统上使用证书和私钥。 NDES和SCEP目前在范围之外,因此需要半手动。 我在我们的AD CA服务器上使用https:// server / certsrv上的Microsoft Web工具。 我可以在没有CSR的情况下通过并生成响应,并将证书导出到私钥中。 响应是一个页面,要求我“安装此证书”或“保存响应”。 如果我运行“安装此证书”选项,则Windows Certmgr应用程序会显示我已导入证书并拥有私钥。 这可以作为PKCS#12文件导出,可以使用或转换为PEM。 但是,如果使用“保存响应”选项并将文件存储为p7b(如在检查响应文件时由certutil所示),然后使用p7b文件导入证书,则没有可用的私钥。 这是一致的,因为我不希望PKCS#7文件存储私钥。 我的问题: PKCS#7文件格式似乎不支持私钥,而OpenSSL似乎不支持从PKCS#7文件中提取私钥。 有没有办法使用certsrv web工具,并获得证书和私钥,而不必在Windows中“安装此证书”? 此外,跆拳道是继续,让MS安装私人钥匙,我似乎无法获得? 我查看了文件https://dakota.main.lab/certsrv/certfnsh.asp中的脚本,他们似乎使用了与“save response”输出中显示的相同的pkcs#7数据。 提前致谢。 Dinsdale