我有证书颁发的证书StartSSL颁发的证书,我的网站使用证书没有问题,也没有任何浏览器对任何信任问题的投诉。 现在我想在Dovecot中编写相同的程序,让我的电子邮件通过SSLauthentication。 所以我使用IMAP来获取我的邮件,通过地址mail.myweb.com说。 我去了StartSSL,并发布了该子域的证书(这是我总是通过Apache服务器获得的任何我想通过SSL获得的子域)。 现在我拿了这个证书,并且把它定义成我想用在Dovecot上的那个域名(使用SNI)的证书,把dovecot.conf local_name mail.myweb.com { ssl_cert = </path/to/certificate/ssl.crt ssl_key = </path/to/privatekey/priv.key } 虽然这个过程在Apache服务器上工作得很好,并且我的浏览器满意地使用绿色的挂锁,而我的证书没有签名问题,但thunderbird坚持认为这个证书是个例外。 我通过查看证书的详细信息证实雷鸟正在接收的证书是正确的。 原因是什么? 雷鸟是否偏执,我必须购买证书? 如果您需要任何其他信息,请让我知道。 谢谢。
我有一个可信的第三方的根证书。 我将它安装到Windows Server 2008中的“受信任的根证书颁发机构”证书存储中,但是它在未知时间从证书存储中消失。 什么可能导致这个? 证书没有过期 它似乎没有被撤销 在事件发生的时候,我看不到任何相关的事件日志 它发生在我的开发机器,testing环境和生产服务器上 生产服务器不在域上,只是一个工作组(托pipe在Rackspace中) 查询组策略(gpresult / h foo.html)不会报告我无法信任第三方根CA 我在ac#命令行应用程序中使用以下代码来安装cert: X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer"); X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine); store.Open(OpenFlags.ReadWrite); store.Add(certificate); store.Close(); 每当我发布对我的应用程序的更改时,证书安装代码就会运行。 我不明白这可能会造成什么伤害,但值得一提的是。 我正在安装证书的方式可能有问题。 什么是安装的首选方式?
微软在2013年1月从WSUS中删除了根CA更新 。我现在有一些新的安装了Windows Server 2012的根CA不足(基本上只是微软自己的CA)。 这意味着只要我们的应用程序调用https Web服务,它就会失败,除非我特别安装根CA. 由于我们的应用程序在负载平衡器上使用SSL终止,所以我不需要担心促使Microsoft删除这些更新的16KB SChannel限制。 我想find一个资源来安装和更新标准的根CA. 有谁知道这样的资源? 这里是WS2012中的默认根CA的图像。
我正在调查是否可以使木偶生态系统利用我们现有的微软企业CA而不是自己的CA. 由于木偶吹嘘所有的系统都是“标准的SSL”,我的猜测是完全可以做到这一点,没有太多的傀儡变化,但是除非傀儡被编辑来正确地呼叫企业,否则这可能是一个巨大的人工头痛CA. 有没有人试过这个? 是“这里是龙,转身!” 情况?
我们用来作为源的外部NTP服务器之一(当前的主要服务器)似乎没有响应NTP调用。 不幸的是,在我们的核心路由器(Cisco 6509)上,NTPfunction并没有像预期的那样切换到辅助NTP外部服务器。 因此,我们的主要内部NTP源的核心路由器迟了2分钟。 我打算通过使外部NTP源是当前正在工作的那个来解决外部路由器问题。 我想知道,2分钟的更改会影响我的用户和服务多less? 特别是从这些日子以来,我们严重依赖基于证书的身份validation。 我们是Windows / Cisco商店。 内部NTP设置: [核心路由器1 / Cisco 6509]: 寻find两个外部的NTP服务器(其中主服务器不响应NTP呼叫) [核心路由器2]: 与核心路由器1(主要),工作外部路由器(次要) [其他思科networking设备]: 与核心路由器1(主要),核心路由器2(次要) [域控制器]: 与核心路由器1同步 [所有的Windows客户端/服务器]: 与域控制器同步
我想为我的域设置一个企业证书颁发机构。 所以我可以为各种目的颁发证书。 我想遵循将脱机CA作为根的最佳实践,并将我的企业CA设置为下属。 但是,为了完成这个任务,许可Windows的全部副本似乎很愚蠢。 我希望能够做的是安装一些实时分发到USB闪存盘上,然后安装openssl,并将我的CA安装在闪存驱动器上。 当我准备build立根密钥/证书时,我将断开计算机与networking的连接,然后再次不要在networking连接的计算机上使用该USB硬盘。 我能否为Windows企业级CA正确签署和创build从属CA证书,这将是可用的。 我需要使用哪些选项与OpenSSL构buildCA并正确签署从属CA证书。 我试图搜查networking, 这是我能find的唯一的主题。 但是,它早于2008年,我不完全确定这个人是成功的。
2004年,我在Linux上build立了一个使用OpenSSL的小型authentication机构,以及OpenVPN提供的简单pipe理脚本。 根据我当时find的指南,我将根CA证书的有效期设置为10年。 从那时起,我已经为OpenVPN隧道,网站和电子邮件服务器签了许多证书,这些证书的有效期也是10年(这可能是错误的,但当时我不太清楚)。 我发现了许多关于build立一个CA的指南,但是关于它的pipe理的信息却很less,特别是当根CA证书到期时要做什么,这在2014年会发生一些。所以我有以下问题: 在根CA证书到期后有效期延长的证书是否会在后者过期后立即失效,还是继续有效(因为在CA证书的有效期内签名)? 需要进行哪些操作来更新根CA证书,并确保平稳过渡到期? 我可以用不同的有效期重新签署当前的根CA证书,并将新签名的证书上传到客户端,以便客户端证书保持有效? 还是我需要用新的根CA证书签名来replace所有的客户端证书? 何时更新根CA证书? 接近到期还是到期前的合理时间? 如果更新根CA证书成为主要工作,那么我现在可以做些什么来确保在下一次更新时顺利过渡(当然,将有效期限定为100年)? 这种情况稍微复杂一些,因为我只能通过OpenVPN隧道访问某些客户端,而使用当前CA证书签名的证书,所以如果我必须更换所有客户端证书,则需要复制把新的文件传给客户端,重新启动隧道,交叉手指,希望事后出现。