我已经在strongswan服务器和Windows 10客户端上configuration了ikev2 vpn,并且工作正常。 授权方法是leftauth=pubkey和rightauth=eap-mschapv2 。 由于左侧授权服务器是自签名的,所以我必须在机器上导入CA cert,这有点棘手。 然后我想知道我是否可以使用来自公共CA的证书,这样我就不需要在客户机上导入。 我试图在服务器上的ipsec.d/cacerts放入根CA证书和中级CA证书,但客户端一直收到13801错误 。 在客户端机器上安装中级证书后,它工作得很好。 显然,13801错误是由于中间证书没有导入。 有什么办法来configuration服务器,以便客户端不需要导入中间证书?
我正在经历木偶大师的一些authentication复兴,这种行为似乎是随机的。 我刚刚检查了一个CA证书,我发现这个: # openssl crl -text -in /var/lib/puppet/ssl/ca/ca_crl.pem Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: /CN=Puppet CA: puppet.master Last Update: Dec 16 11:55:15 2015 GMT Next Update: Dec 14 11:55:16 2020 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:FF:9D:F6:0B:4A:17:27:A6:7D:DF:3A:8A:FC:D1:99:73:24:CA:87:08 X509v3 CRL Number: 83 Revoked Certificates: Serial Number: 02 Revocation Date: Nov […]
我想让我的Apache Web服务器只接受SSL连接,如果客户端呈现给自己一个特定的SSL客户端证书。 换句话说,只有一个客户端是允许的,它必须使用特定的客户端证书(我也有)。 这个客户端证书(我们称之为“MyClientCertificate”)是一个由CA发出的正常的PEM证书(我们称之为“MyCA”),我也有证书。 这就是我为此configuration了Apache虚拟主机(我仅报告与SSL客户端validation相关的选项): SSLVerifyClient require SSLCACertificatePath /etc/ssl/certs SSLCACertificateFile /etc/ssl/client/MyClientCertificate.pem SSLCADNRequestFile /etc/ssl/client/MyClientCertificate.pem SSLVerifyDepth 1 选项的解释(或者我的意图至less…): 与“SSLVerifyClient要求”我强制Apache始终执行客户端validation,并拒绝连接,如果它失败 / etc / ssl / certs包含MyCA的PEM证书(正确地安装在系统中,具有所需的散列+符号链接过程),只要所有其他知名CA的Apache可以识别 使用SSLCACertificateFile我将MyClientCertificate证书添加到/ etc / ssl / certs中的CA证书列表中,作为一个受信任的证书本身,以及SSLCADNRequestFile我说我的服务器应该只请求该证书(并且只有这个证书)到客户端,而不是SSLCACertificatePath + SSLCACertificateFile中的所有CA证书列表 与“SSLVerifyDepth 1”我说,允许的客户端证书是由服务器所识别的CA(在SSLCACertificatePath中)签名的, 这似乎工作:Apache要求客户端证书,拒绝连接,如果没有提供指定的客户端证书,并接受它,如果是。 然而,最近客户端(这是我的供应商)已经决定改变它的客户端证书,用一个新的(我们称之为MyNewClientCertificate.pem),用2048位encryption而不是旧的1024位深度。 问题是这样的: 供应商表示已更改其客户端证书,并且正在使用新证书进行身份validation 供应商肯定地说它只是提供新的证书,而不是新的和旧的证书 我还没有改变我的Apacheconfiguration(因此,我的Apache仍然被configuration为请求旧的证书) 但我的Apache正在接受供应商客户端连接没有任何问题! 我会期望它开始失败,直到我改变它的configuration,以取代MyClientCertificate.pem引用与MyNewClientCertificate.pem 新的证书由旧的证书发出。 供应商build议我的Apacheconfiguration可能会接受来自客户端的所有连接,这些客户端提供由该CA发出的证书,而不是在客户端证书本身上执行匹配。 如果是这样的话,我在configuration中做错了什么? 我应该将SSLVerifyDepth降低到0吗? (但是这不是说证书必须是自签名的吗?)还是我必须改变SSLCACertificateFile / SSLCADNRequestFile指令中的内容? 由于这个系统正在生产中,我不具备执行所有我能想到的testing的能力,但是我应该尽量做出有针对性的改变,以便尽快得到正确的结果。 这就是为什么我会很感激这个话题的任何帮助。
我目前有一个应用程序与思科虚拟无线局域网控制器运行,一切正常,除了我们得到一些关于SHA1证书的错误消息,当我正在寻找SHA2支持的思科发行说明告诉我,SHA2证书不支持,即使在最新的8.2.100.0版本。 任何人都可以证实这一点,或者更好的是有没有人有这个问题的解决?
我使用TinyCA2创build了一个CA,并为我的Exchange 2013服务器创build了一个证书。 虽然证书在交换上安装得很好,但Exchange总是说“撤消检查失败”。 (我已经尝试了10个不同的证书) 我的CRL在LAN上可见,并且可以从交换服务器上的Web浏览器中检索文件。 在TinyCA2中设置的CA证书列出了“ http://myserver.com/crl.pem ”作为CRL。 Exchangeshell显示: Get-ExchangeCertificate | fl AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule} CertificateDomains : {newmail.myco.com} HasPrivateKey : True IsSelfSigned : False Issuer : CN=MyCo, C=CA NotAfter : 2/26/2026 9:21:09 PM NotBefore : 2/29/2016 9:21:09 PM PublicKeySize : 2048 RootCAType : GroupPolicy SerialNumber : 03 Services : IMAP, POP Status : RevocationCheckFailure […]
我在这里工作在一台SBS 2011服务器上,客户build议她不能再访问她的笔记本上的邮件,因为她的证书已经过期。 公司使用自我分配的证书。 所以我在SBS控制台上运行修复我的networking工具,它说它已经更新了证书,并在检查,确实是这样。 但是,这个过程并没有更新证书包给客户端安装在她的笔记本电脑上。 所以我们有一个问题。 如何让系统更新证书安装包? 如果不能,那么在哪里可以find更新的证书,以手动将其放入包中。 感谢你在期待。
我有一个设置为AD域成员的samba 4.4.3文件服务器。 我目前的smb.conf文件是: [global] workgroup = MYDOMAIN realm = MYDOMAIN.ROOT security = ADS encrypt passwords = yes idmap config *:backend =tdb idmap config *:range = 70001-80000 idmap config MYDOMAIN:backend = rid idmap config MYDOMAIN:range = 80000 – 1234567890123456 winbind trusted domains only =no winbind enum users = yes winbind enum groups = yes domain master […]
AD证书服务中注册机构(RA)的等效性是什么? 我正在阅读TechNet上的文档(有史以来最好的jk),并解释说NDES在技术上是RA的替代品。 它是否正确?
我和一家大型跨国公司的一家分公司签约,编写一些内部软件。 我试图用ClickOnce将这个软件推送给用户。 为了签署该应用程序,我获得了一个代码签名证书,该证书是使用AD CS服务器创build的(通过在mmc.exe中创buildCSR并将其上传到服务器的Web门户请求)。 一切似乎工作正常,但在发布后,我不断得到一个错误,指出“发布者不能validation”。 经过一番调查,我怀疑这个错误是由于我的证书的“主题”字段是空的。 pipe理员向我保证,他们已经使用Microsoft提供的“开箱即用”代码签名模板来创build证书。 我已经尝试再次请求证书,手动填写属性菜单的主题选项卡中的字段,但完成的证书仍然没有填写任何主题。我有一个完整的AD帐户,在networking上有正常的用户权限。 有谁知道我们做错了什么?
我有一个作为服务运行的软件(Checkpoint Identity Awareness),它连接到服务器并通过检查其证书来validation其身份(实际上是检查点防火墙),就像任何浏览器一样。 问题是,虽然证书链存在于计算机证书存储区中,并且在服务证书存储区中存在,但该软件始终不识别服务器提供的证书。 这触发了一个警告消息说网关是不可信的。 为了帮助我debugging这个问题, 是否有Windows事件logging访问证书存储(阅读) ,所以我可以看到,如果软件实际上试图检查证书? 我希望它足够清楚