我准备在我的Postfix服务器上启用TLS。 我这样做是因为被告知,如果TLS不可用,有一些发送服务器拒绝发送消息。 由于我有很多需要启用此服务器的服务器,因此我将使用通配符SSL证书。 我想如果我只是使用Verisign,那么发送识别我们的证书的服务器可能不会有问题。 然而,我很想尝试一个更便宜的select,如RapidSSL,甚至cacert.org(我明白提供免费的证书)。 有没有人有使用这些便宜的选项之一的经验? 他们的证书是否被大多数邮件服务器所认可? 当我试图find关于这个问题的答案时,似乎每个人都只是担心电子邮件客户端识别…但是,这是完全不相关的,因为我们的服务器是只有入站电子邮件…没有电子邮件客户端连接到他们。
特别: 一旦将证书添加到公共CA CRL中,Windows将如何处理使用该证书签名的可执行文件?
在接下来的一段时间里,我必须将AD迁移到2008架构级别。 我目前有一个x64 Windows 2008 R2域控制器和一个x32 Windows Server 2003域控制器。 x32服务器是一台甚至不支持升级到2008年的旧机器。我已经开始了我的转换计划,并安装了2台服务器(一台使用2008 R2 x64,另一台使用x64 2003)。 转移angular色没有问题,但我似乎无法将证书颁发机构(CA)转移到x64机器上。 范围 1.1。 将AD模式升级到2008。 限制 2.1。 我不能使用旧的根服务器,因为它不支持Windows Server 2008。 2.2。 由于Windows Server 2008 R2不支持x32,因此必须使用x64。 2.3。 我必须移动CA,因为我必须降级服务器。 到目前为止,我对于CA的举动做了些什么 3.1。 安装了一个x64 2008 R2,试图使CA的恢复没有工作。 它应该工作,但它不符合此TechNet 。错误消息“执行从完整映像还原之前无法执行增量映像还原。目录名称是无效的0x8007010b(WIN32 / HTTP:267)” 3.2。 安装了x64 2003,试图使CA的恢复无法正常工作,因为数据库的格式不同 。 任何想法将不胜感激,作为最后的手段,我可以保持在那里的CA,但保持服务器只为一个CAangular色似乎毫无意义。
我花了整整一天的时间,通过使用双方的HTTPS诊断我的testing服务的问题。 服务托pipe在运行Windows Server 2008 Enterprise Edition的testing服务器上的IIS 7中。 几周前,所有testing服务都停止工作,对这些服务的任何请求都以403.7“需要客户端证书”结束。 经过大量的search,我发现这篇文章描述了与Windows Server 2003类似的问题。 简而言之,问题是由本地机器证书存储中安装的可信根CA过多造成的。 服务器在相互HTTPS握手期间发送可信CA的“列表”给客户端,客户端可以根据这个列表select证书(除非IIS中的站点configuration了CTL,但是针对不同的问题 )。 问题是,列表只能有16KB,所以如果有更多的CA,他们根本不会发送到客户端。 如果使用的客户端证书由其中一个截断的CA发出,则不会发送给服务器。 之后,我检查了本地计算机的受信任根证书存储区,发现安装了超过200个受信任的根CA. 更糟糕的是,我们没有安装它们! 我在某处发现了一些信息(抱歉找不到),这些CA是通过Windows Update自动安装的。 问题:如何closures安装CA证书到我们的电脑,而不closuresWindows更新?
我们目前在Windows 2008 R2 Enterprise上使用NDES服务,其中同一个盒子也是独立的authentication中心。 在初始设置期间,NDES根据模板CEPEncryption和EnrollmentAgentOffline为SCEP创build了2个服务证书。 这两个SCEP证书已过期,我们正在努力更新/请求新的。 尝试使用相同的密钥(所有任务 – >高级操作 – >使用相同的密钥更新此证书)使用证书MMC捕捉来更新它们会产生错误 “注册策略服务器无法find” 我试图按照以下URL中的说明来更新服务证书,但对于我们所处的情况(可能是独立的CA),它们似乎并不正确。 http://social.technet.microsoft.com/wiki/contents/articles/9063.network-device-enrollment-service-ndes-in-active-directory-certificate-services-ad-cs.aspx#Renewing_Service_Certificates 具体步骤10,11开始偏离 用鼠标右键单击,select所有任务,然后单击select新的证书。 (我没有select新的证书选项)。 在“证书注册”对话框中,单击“下一步”。 ( 在我select的所有更新/请求任务中,我收到上面提到的错误) 任何人都可以帮助我的错误,并教育我在这种情况下如何续订这些服务证书?
我们正在实验室中build立一个自我托pipe的邮件解决scheme,我们被要求成为我们自己的CA. 我们遇到的问题是Thundebird抱怨说我们的根证书是不可信的,即使我们知道它是有效的。 问题是Thunderbird附带了它自己信任的证书,而且它不会查看计算机的可信证书,所以只要将GPO推送到具有根证书的所有客户端都不起作用。 我们需要自动将根证书导入到Thundebird中,并且在解决问题时遇到严重的问题。 Autoconfig正在工作,雷鸟正在获得正确的服务器configuration,但证书错误仍然存在。 唯一已知的方法是手动将证书导入到Thunderbirds可信证书。 这里有人有什么build议如何进行?
在安装Windows林CA时,可以select将其设置为独立或企业。 我有一个现有的安装,我假设是独立的,因为它没有证书模板文件夹,当我加载pipe理控制台。 但是,我无法find任何明确表示“这是独立CA”的内容,例如pipe理控制台中的“关于”选项。 据我所知,这可能是一个发生故障的企业CA. 我如何明确地告诉我的CA是独立的还是企业的? 干杯
我有兴趣使用ADCS为内部Web应用程序生成可信证书。 然而,从我的阅读看来,我需要购买一个OID,看起来相当昂贵。 有没有办法做到这一点,而不付钱? 这只是在内部使用。
在Qualys SSLtesting中,总是警告我,根证书是一个额外的下载,可以安全地删除。 但是,从Comodo网站上,他们在nginx上安装证书的指南是 NGINX Needed for this task: * PEM encoded certificates (Root, Intermediate(s) and Domain/Device) COMBINE (CONCATENATE) MULTIPLE CERTIFICATES INTO ONE FILE 你知道,他们是一个CA,是真正的答案。 那么,我应该信任哪一个呢? 更新:我也收集来自其他CA的更多build议 build议添加根证书 https://support.globalsign.com/customer/portal/articles/1290470-install-certificate—nginx https://support.comodo.com/index.php?/Knowledgebase/List/Index/37/certificate-installation https://www.namecheap.com/support/knowledgebase/article.aspx/9419/0/nginx build议不需要根证书 https://www.digicert.com/ssl-certificate-installation-nginx.htm https://www.geocerts.com/install/nginx https://www.ssllabs.com/ssltest/ 这么混乱?
我们拥有自己的CA,多年来我们已经使用它来创build数百个服务器证书和数千个客户端证书。 CA证书本身是1024bit,签名证书是1024bit 由于与我们使用的外部证书有一些关系,赛门铁克一直在向我们发送有关这种“现在更改为2048bit证书”的电子邮件,现在让我担心了。 十月会发生什么? 操作系统供应商是否会推出软件更新,使其无法与1024位证书进行交互? 如果是这样,我们有一个严重的问题,因为我们将不得不尽快replace成千上万的证书 更换新的2048bit客户端证书和CA证书本身将是一个手动的噩梦。 原来,这必须手动完成除Windows之外的所有平台(谢谢微软的GPO!),这个变化也需要我们也取代CA,或者将有现有的1024位CA证书签名2048位客户端/服务器证书是足够的“解决”这个问题