我们有一个两层的ADCS PKI,我们的中间CA具有以(1)结尾的AIA的URL(即: http : //pki.example.com/certenroll/certificate (1) .crt ),这当然不存在。 CA扩展属性中的URL模板是正确的,所以我认为最后一次颁发证书时,已经有一个同名的文件,所以它将(1)添加到文件名中。 如何“重发”证书以便更新AIA URL? CertUtil -GetReg输出: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\example-Issuing-CA\CACertPublicationURLs: CACertPublicationURLs REG_MULTI_SZ = 0: 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt CSURL_SERVERPUBLISH — 1 1: 2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11 CSURL_ADDTOCERTCDP — 2 2: 2:http://pki.example.com/CertEnroll/%1_%3%4.crt CSURL_ADDTOCERTCDP — 2 CertUtil: -getreg command completed successfully.
我们购买了一个SSL证书(来自Comodo),当我访问Chrome页面时,我看到绿色的挂锁,它有以下信息: Your connection to …… is encrypted with 128-bit encryption. The connection uses TLS 1.2. The connection is encrypted and authenticated using AES_128_GCM and uses RSA as the key exchange mechanism. 上面有以下信息: The identity of this website has been verified by EssentialSSL CA but does not have public audit records. 问题是来自Android设备,PHP(cURL),PLC等的请求都会得到证书警告,而请求也不会处理。 在某些情况下,您可以忽略警告,但这是不好的做法,在所有情况下也是不可能的。 我不知道什么是错的,但我很想知道究竟是什么问题,以及如何解决问题。 我的理解是Comodo是一个根CA,所以我不确定问题是什么。 任何帮助将非常感激。
组策略设置“closures自动根证书更新”可防止Windows删除无法validation的证书。 如果第三方为我提供了自己的自签名根证书,除了closures自动根证书更新外,我看不到其他select,否则由于组策略规则,他们的自签名证书将被删除。 禁用此检查是否不安全? 我有其他的select吗? 我可以设置更细粒度的规则,以便Windows不会删除特定的证书,但会继续更新已安装的其他证书吗? 注意: 我正在使用一个基本的C#应用程序来部署证书,使用下面的代码: X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer"); X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine); store.Open(OpenFlags.ReadWrite); store.Add(certificate); store.Close(); 我需要通过代码来安装证书,因为我的软件是作为多个机器场的一部分运行的,在这种情况下手动安装任何东西都是不现实的。 另外,这些机器是在一个工作组,而不是一个域。
使用CoreOS和保护不同的组件需要TLS。 还有etcd,docker和其他需要CA签署证书的服务。 使用相同的CA证书签署所有服务的不同证书是否可以,或者我真的应该为每个服务创build一个CA吗? 我知道这是主观的,我可能会得到很多“意见”,但是真的有什么好的理由来创build几个CA吗?
我需要从运行在IIS上的自己的Web服务器执行Web服务调用。 IIS需要通过使用内部证书颁发机构(CA)进行SSL的HTTPS向另一个非Microsoft(Linux)服务器发出调用。 我如何让IIS信任来自此CA的正确的根证书? 另外,我如何testing这个信任正在工作? 我假设来自托pipeIIS的服务器的浏览器请求是不够的。
我从StartSSL购买了一些(便宜的)HTTPS证书。 他们在我testing的所有浏览器上工作的很好。 根据这个职位,他们甚至在IE 7和8认可,这对我来说足够了。 但是,有一位用户抱怨说,他的WordPress RSS客户端/聚合器停止工作。 他的网站运行最新版本的Wordpress和simplepie ,但它不能识别StartCom CA: WP HTTP Error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 我假设他的WordPress的网站运行在一些共享主机服务的Linux机器上。 所以现在我很好奇,哪个版本的Debian,Ubuntu,RHEL,Fedora,FreeBSD等包含了StartCom根证书?
我正在为我的networking运行一个自己的CA,只是为了将它安装到浏览器中,以便我可以看到一个服务器是否仍然有我创build的证书(低俗:有绿色锁)。 当然,我只是在更新OpenSSL之后不得不撤销所有的证书,而且完全是偏执狂,我也想撤销我的根证书。 问题是:我怎么做,而不创build一个全新的CA? 这甚至有可能为我的CA创build一个新的证书?
我已经调查了这一点,但一直无法find我的问题的明确答案。 我从来没有在活动目录中使用证书服务,所以我不确定它的可能用法/实施。 快速背景:我们正在设置一个带有网关服务器的远程桌面服务器,以允许远程用户在没有VPN的情况下连接到服务器场。 为了让用户连接,我们需要为网关服务器安装可信的证书。 在我的testing环境中,我使用了自签名证书,并手动安装到受信任的根证书颁发机构,这很好! 这意味着我们安装此证书的任何设备都可以连接。 显然,我们不希望手动执行此操作,所以我认为最好的方法是从VeriSign等人处购买证书。 我想到了AD中的证书服务,并想知道是否可以使用内部authentication机构简单地创build自己的证书。 本质上,我的问题归结为:join域的计算机是否自动信任相同域上的CA颁发的证书,还是需要手动安装在每个客户端设备上? 无论如何,我们可以使用Windows Server的这个function来节省我们的一些钱在证书上?
我试图重命名一个旧的服务器(2008 R2标准)我们将用于SQL DEV(旧版本),但更改计算机名称/域的选项是灰色的。 我发现这是因为CA安装在这台服务器上,但没有被使用。 Active Directory证书服务无法启动,并且从服务器pipe理器中删除angular色的选项将变灰。 任何想法如何去除正确的CAangular色/服务,所以我可以重新命名这个服务器? 当我尝试启动AD证书服务时,它在事件查看器中生成一个错误; 事件ID 100和42.说明:evtID42:无法为CA证书0为domain-hostname-ca生成证书链。 证书链处理完毕,但终止于信任提供程序不信任的根证书。 0x800b0109(-2146762487)。 Evt ID 100:Active Directory证书服务未启动:无法加载或validation当前的CA证书。 域的主机名-CA。 证书链处理完毕,但终止于信任提供程序不信任的根证书。 0x800b0109(-2146762487)。
据微软称,Windows Server 2012和Windows 8.1会自动更新数字证书。 Microsoft安全通报3050995 https://technet.microsoft.com/library/security/3050995说Server 2012和Windows 8.1不需要做任何事情,因为他们是自动保护,但是当检查证书存储或者没有更新不受信任的证书/证书信任列表,每个该build议应添加MCSHOLDINGtesting。 这是一个100%的服务器2012年精华R2 / Windows 8.1小型企业的位置与证书的OOB没有变化。 为什么这不是更新? 如果证书没有像MS声称的那样自动更新的话,那么相当关键。