我有一个类似的问题,去年十月同样的题目 。 在Windows Server 2008计算机上,使用Windows防火墙的连接安全规则,需要使用证书进行身份validation,以build立到另一个服务器2008的IPsec传输模式连接。 我可以使用本地组策略中的安全策略设置来build立基于证书的IPsec连接,但是对于将要使用的安全环境,encryption设置是不够的。我也可以使用Windows防火墙build立基于预共享密钥的IPsec连接,但是当我切换到证书时失败。 Windows事件日志中的错误说“IKE找不到有效的机器证书”。 基于这个Technet文章 ,我的证书是有效的,我也确定他们的根CA也在机器上。 CAPI2(crypto API)日志已启用并设置为详细模式,但不显示任何错误。 从它的日志中,它似乎一遍又一遍地检查证书链,没有显示任何错误。 该证书具有用于数字签名,密钥encryption和不可否认的KeyUsage。 EKU是服务器authentication,客户端authentication和IKE中间。 我暂时closures了CRL检查,所以我可以排除这一点。 任何想法为什么我的证书是无效的,我需要做些什么来解决它?
在我目前的设置中,我有16个生产服务器,另有16到20个Dev和QA服务器。 我也有很多证书。 我们正在努力清理所有事情,以便我们不会错过任何证书到期警报(我们曾经在生产过程中发生过这种情况,并对业务造成了很大的影响)。 我可以去MMC,右键单击每个节点并导出列表,但这对于40多台机器来说太耗时了。 有没有办法让这个自动完成? 任何脚本或工具要这样做? 谢谢, RV
我在CentOS7上运行的openldap-servers-2.4.39-3.el7.x86_64的标准scheme中添加了特定的证书到userCertificate属性(DER编码证书) Slapd使用: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema 我使用Apache Dir Studio(最新版本:2.0.0.v20130628,于2015.07.30) 然后,我将Load cert加载到userCertificate属性中,它显示了所有的证书字段,但是我按下了OK LDAP返回错误: #!ERROR [LDAP: error code 21 – userCertificate;binary: value #0 normalization failed] 命令: openssl x509 -in ./shit_cert.cer -inform DER -text 工作好,没有错误。 来自此CA的其他证书可以加载到这个salpd userCertificate属性中。 顺便说一句,这是俄罗斯Crypto-Pro CA( http://www.cryptopro.ru/products/ca )证书,我想这个特定的有一些X509扩展。 来自此CA的其他证书正确加载。 可以帮助你如何解决这个问题 PS 如果我使用命令行加载证书获得类似的错误 cat ./cer.ldif dn: cn=anisimov,o=000,dc=aaa,dc=bbb changetype: modify add: userCertificate;binary userCertificate;binary:< file:///root/wrong_certs/shit_cert.cer # […]
我们有一个由我们的企业CA颁发的代码签名证书。 我们正在使用组策略将此证书部署到我们的域计算机上的受信任的发布者商店。 这样做是可行的:将Root证书添加到受信任的根证书颁发机构 ,并将代码签名证书添加到受信任的发布者 。 在我们的开发计算机上,我们需要这个证书(包括私钥)在开发者的个人存储器中。 手动导入* .pfx文件按预期工作。 但是,运行gpupdate /force后,将从个人存储中删除证书。 我不知道为什么会发生这种情况? GPO设置的屏幕截图: 计算机configuration 用户configuration 更新 : 正如CryptoGuy在评论中所build议的那样,我运行了certutil -verify -urlfetch certtoverify.cer 。 (我已经提出了一些个人信息,输出是德文,但我希望你能得到你需要的信息): Aussteller: CN=XXXX DC=XXXX DC=XXXX Antragsteller: CN=XXXX OU=XXXX OU=XXXX OU=XXXX DC=XXXX DC=XXXX Zertifikatseriennummer: 3f3e6f53000100000079 dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE ——– CERT_CHAIN_CONTEXT ——– ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER […]
我正在进行本地交换服务器(W2003服务器SB)中的某些帐户的迁移。 由于似乎需要SSL 993连接来执行IMAP迁移的O365的限制,我需要在我的交换服务器上启用SSL。 我们没有证书。 我试图做一个自签名证书,但显然,W2003 SB没有证书服务。 在同一个局域网中,我有一个w2k8标准,我认为它有证书服务。 问题是:我可以在w2003机器上使用在w2k8机器中为我的交换服务器创build的证书吗? 如果是的话,我该怎么办? 谢谢。
我们遇到使用证书的非域服务器的问题。 我们创build了证书(通过CA),在收集器上安装了一个(具有良好的CN),在第一源服务器上安装了第二,在第二源服务器上安装了第三。 第一个源服务器可以连接到收集器没有问题,并发送事件给他们。 第二个源服务器无法注册到收集器并出现“访问被拒绝”的错误。 但是,如果我们从订阅中删除第一个源服务器,并将第二个源服务器添加到订阅中,则第二个源服务器可以注册到收集器,并向它们发送事件没有问题。 我们发现问题,即使我们在订阅configuration中有更多的服务器,只有一个(首先连接的)源服务器可以发送事件给收集器。 我们尝试运行在Windows 2012和Windows 2012 R2服务器上运行收集器相同的问题。 我们发现Windows 2008 R2服务器存在类似问题: https : //support.microsoft.com/en-us/kb/2884172 。 此问题是Windows 8.1和Windows 2012 R2的https://support.microsoft.com/en-us/kb/2919355软件包的一部分,但不适用于Windows 2012。 我们能否在Windows 2012服务器上解决这个问题? 谢谢你的提示。
我们有一套内部的(dev / test / QA / ORT / preprod LAMP服务器,我们使用自签名证书),通常这不是问题 – 我们只需单击exception(“继续执行wxyz(unsafe)”)继续我们的一天。 最近,我们遇到了Chrome的一个问题,Chrome似乎“忘记”我们已经接受了这个例外,我们必须再次接受这个例外。 这种情况经常会发生在单击“提交”button的中间,这会打乱我们产品中的其他内容。 有没有人经历过这个? 是否有任何解决方法(除使用正确的证书,使用不同的浏览器或不使用HTTPS)? 这是Centos 5上的Apache 2.2.29(Linux 2.6.18-406.el5,x64) 此外,道歉,如果这是这个错误论坛 – 不知道这应该去哪里。
build立 ServerA运行HTTPS站点的Apache,需要连接一个客户端证书。 请参阅以下有关/etc/apache2/sites-available/secure.site.conf和/etc/apache2/mods-available/ssl.conf的信息 ClientA :使用客户端证书连接到ServerA的浏览器 ServerB上的代理 :Apache充当转发代理,它应该能够使用客户端证书和服务器连接到ServerB,请参阅以下有关/etc/apache2/sites-available/forward.proxy.conf的信息 ClientB :使用ServerB上的代理的浏览器可以访问ServerA上的内容,而不需要客户端证书。 状态 工作:客户端A -OK->服务器A 不工作:客户端B -OK->服务器B上的代理服务器-X->服务器A 替代解决scheme我发现SEnginx应该能够完成这项工作 http://www.senginx.org/en/index.php/Proxy_HTTPS_Client_Certificate 这是阿帕奇无法做到的情况下的后备… 日志文件 /var/log/apache2/proxy_8004_access.log all start with [Wed Nov 18 23:42:00.888597 2015] [proxy:debug] [pid 4374:tid 140546074822528] […] proxy_util.c(1771): AH00925: initializing worker proxy:forward shared […] proxy_util.c(1813): AH00927: initializing worker proxy:forward local […] proxy_util.c(1848): AH00930: initialized pool in child 4374 for (*) […]
我已经inheritance了一个Azure Web App,我想用SSL来保护它。 遵循微软官方指南(此处),我完成了“1.获得SSL证书”的步骤1 – 5 所以我有: CSR文件 上传CSR到我的SSL供应商(在我的情况下,godaddy) 下载Windows IIS证书(.crt&.p7b) 但现在我遇到了麻烦。 我跳了一步,因为我有一个crt没有cer 像魅力一样工作 我在“其他用户>证书”中find证书 现在, 第9步开始了问题。 我从来没有得到提示,如果我想导出私钥和.pfx选项灰显。 看起来,因为我没有私钥而变灰了。 我在哪里可以从我的azure-app获取私钥文件? 还是我理解这里错误的东西?
我知道如何做到这一点,但问题是所有有问题的证书没有安装在我的本地机器上。 我有一个源代码pipe理目录,他们都坐在那里,我需要遍历他们与PowerShell,以find哪些已过期。 有太多的只是双击查看“有效”的信息,所以我怎么能得到使用PowerShell的?