我想问一个关于在同一台服务器上部署多个证书的问题。 我们使用证书在代理与主应用程序服务器之间进行通信。 目前代理已经部署到近4000多个客户端。 相同的证书已经部署到客户端的所有代理。 截至9月底,所有客户端以及主服务器上的证书都已经过期。 随着时间的推移,我们需要尽快规划一些东西并进行testing。 初步讨论后,我们提出了2个计划 计划1: 一个。 使用相同的密钥和相同的名称(server.pem)更新服务器中的证书 湾 使用相同的密钥和相同的名称(client.pem)创build一个新的证书,并将其部署到所有服务器。 一旦我们部署证书,它将覆盖当前的证书。 如果一切顺利,代理商将开始与服务器通信。 C。 如果由于某种原因,代理不能接受新的证书或者由于某种错误,它仍然使用旧的证书与服务器进行通信。 (我希望来自客户端的旧证书仍然能够与具有新证书的服务器进行通信) 计划2: 一个。 使用新名称server1.pem更新服务器 湾 使用相同的密钥和新名称client1.pem创build一个新的客户端证书 请更正我的理解是否在这里,如果我们把两个证书放在同一个文件夹中,说client.pem和client1.pem,client1.pem将开始工作,如果由于任何原因,如果我们不能部署client1.pem旧的还会继续工作到期日吗? 我们希望有4000个客户,如果我们能够获得至less95%的准确度,那么我们很less有系统担心。 我们会得到足够的时间来解决剩下的问题。 注意:应用程序有自己的能力来部署证书和其他应用程序。 所以在这里,我们不会使用任何puppet模块/ SCCM或组策略进行部署。 我们基本上使用TLS相互authentication来进行服务器和代理之间的通信。 虽然这些服务都不能被外部访问,但是证书不是CA签名而是自签名的。 通信是在代理和服务器之间进行的(例如,类似于连接到主备份服务器的备份代理)。 没有应用程序的用户界面。 我的问题是如何在当前所有4000+以上的代理人到期之前部署新的证书。请告诉我,如果您需要进一步的说明。
我正在寻找一种方法来从X509证书(或csr)恢复opensslconfiguration。 我知道有可能查看证书并手动重新构buildconfiguration文件,但这是不可靠的,需要太多人工:P。 有什么build议么?
所以我正在运行ssh-keygen来签署一个用户证书。 我正在使用的命令如下所示: ssh-keygen -s ${CERTIFICATE} -I ${GITHUB_USERNAME} -n ${AUTH_PRINCIPAL} -V +${LEASE_TIME} -z ${SERIAL} -O source-address=${ALLOWED_CIDR} ${WORK_DIR}/${GITHUB_USERNAME}.pub 这目前工作在我工作的另一个bash脚本。 会发生什么,这将运行,并将打印大部分的关键标准输出,但不会写入-cert.pub文件,它的意思。 在命令中添加一些-vvv不会增加输出,所以我无法知道发生了什么。 有任何想法吗?
寻找工具的build议,以便于pipe理多租户证书。 要求: Windows和Linux证书pipe理 能够pipe理在IIS中绑定的证书 能够pipe理客户authentication证书(第三方证书) 我正在寻找一种可以集中证书的工具,并根据资源的某种标记或命名惯例将一组证书推送给windows和linux机器。 我还没有发现任何满足这三个需求的东西。 前两个要求是最重要的。 IIS的CCS解决了部分难题,因为它可以pipe理绑定到IIS中站点的证书,但是并不能解决pipe理未绑定到站点的客户端证书的挑战。 对于linux而言,我认为我只需要像nginx这样的一个或两个工具来pipe理证书,所以基于插件的模型可能是一个需求 狐猴https://medium.com/netflix-techblog/introducing-lemur-ceae8830f621 接近我正在寻找,减去证书更新的pipe理
我正在尝试使用自动化软件安装并运行SonicWALL NetExtender,该软件允许我将文件上载到目标计算机,并在该计算机上运行命令。 所以,我上传SonicWALL的证书,上传NetExtender,运行它,然后尝试连接。 整个过程工作正常,除了一个部分需要手动参与,这是打破了我的能力,导致大量的东西被自动化。 NetExtender软件询问有关证书。 我该如何阻止? 这是我创build的日志。 "C:\Program Files (x86)\SonicWall\SSL-VPN\NetExtender\NECLI.exe" connect -s DNSNAME:#### -u vpnconn -d LocalDomain -p "NotPublic" Connecting… There is a problem with the site's security certificate. Warning: The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the […]
我将在不久的将来在IIS中安装一个新的证书。 我不想在工作时间做这件事,因为这可能会扰乱我们的用户。 我也不想迟到安装它。 我想过夜安装,然后用户可以在第二天早上更新他们的系统。 有没有办法在IIS中安排新的证书?
cmdkey是一个用于显示Windows凭据pipe理器密钥的命令。 所以我在我的本地Windows中安装了Cygwin sshd服务器。 启动到Ubuntu虚拟机,并尝试SSH到我的窗户。 这工作。 当我在本地直接运行cmdkey命令时,会显示一组凭证pipe理器密钥。 但是当我从sshlogin运行相同的命令,这是一个空的输出。 我还观察到任何程序保存密钥到Windows凭据pipe理器都给我A specified logon session does not exist. It may already have been terminated A specified logon session does not exist. It may already have been terminated错误。 (只有通过ssh运行时) 尽pipe在互联网上对这个问题有一些指导。 我无法准确find根本问题。 编辑:其他信息 我写的程序最终是从win api调用CredWriteW函数。 你能帮忙吗? 披露: 我也在superuser.com上询问过这个问题 。
我想设置一个sql-server实例作为2个生产服务器的镜像备份,我需要使用证书authentication,因为它们不是AD域的一部分。 阅读文档,它声称: 服务器实例上的所有镜像连接都使用单个数据库镜像端点,并且在创build端点时必须指定服务器实例的身份validation方法。 因此,对于数据库镜像,每个服务器实例只能使用一种forms的身份validation。 这是否意味着无法使用一个实例来从两个其他实例中备份数据库? 因为我需要在所有三台机器上创build证书(如果我理解正确),并且我使用每个端点的证书。 我不应该在使用不同证书的备份机器上创build两个端点吗?
我有一个Windows 2003域中的证书颁发机构的问题。 我们需要一个configuration为允许通过LDAP的ssl / tlsencryptionstream量,以便我们的应用程序网关服务器能够允许用户更改域密码。 我对证书和CA的服务器function没有太多的了解。 我们在不是域控制器的域服务器上安装了CA。 这似乎很好。 但是,当试图在公共密钥策略部分添加一个新的自动证书请求时,我得到了奇怪的结果。 执行此操作时,我select域控制器证书模板,然后点击下面的屏幕: 替代文字http://www.evilmunky.com/cafail.png 我真的希望能够在这一点上selectCA服务器。 点击finsh,closures向导,没有更多的选项可供select。 任何人都可以build议我可以采取一些诊断步骤?
在过去的五年里,我一直是一个* nix(从VMS到Linux到FreeBSD到Solaris等等)admin,而且我刚刚把它放在我的盘子上,我将运行一些Windows服务器。 我正在寻找一些资源 – 一些学习资料,以帮助我加快Windows Server 2003/2008的基本操作和pipe理。 我不希望马上学到错综复杂的东西 – 这些东西将会随着经验而来 – 但是我确实想知道提供知识基础的基础知识。 我正在学习最常见的angular色和function的基础知识 – 我已经在虚拟机中构build了自己的域控制器和域,并在另一个托pipe文件服务的盒子上build立了一个成员。 我一直在阅读像StackOverflow这样的网站,以查看人们在实际服务中遇到的问题,并从中学到了一些东西。 此外,MS是否有任何电子学习资料? 电子authentication呢? 任何方向都非常感谢。