我不太了解证书,但是其中一个在Snow Leopard服务器上过期了,我试图replace它。 它与自己安装的Mac mini服务器在“出生”时自签名。 我已经完成了运行,正如在Server Security Config手册中提到的,创build一个新的自签名证书,它似乎正在工作,但是当你在服务器pipe理中点击它时,它用红色大字写着: This root certificate is not trusted 而旧的过期的人说: This certificate has custom trust settings 我怎样才能“信任”新证书,因此它与“旧” 证书相似?
我试图将Windows 7计算机连接到使用WPA2-Enterprise PEAP保护的无线networking。 PEAP使用服务器身份validation,因此我在Windows服务器2008 R2上创build了名为FesbCA的 根CA,并使用它签署了用于服务器身份validation的root.fesb.hr证书。 在Windows 7客户端机器根CA FesbCA导入到受信任的根证书颁发机构,并应该使root.fesb.hr有效的证书 。 比试图连接到无线networking时为什么仍然出现证书错误? 这是有错误的参考图像 。
我使用的是Windows 7,服务器是Windows 2008 R2。 到目前为止,至less有4个服务器显示这种行为。 有时我会在尝试通过RDP进行连接时收到警告,说明证书名称是错误的。 当我重新启动服务器时,此警告消失。 重新启动后,或2或3警告再次显示。 我总是只使用主机名连接。 当显示警告时,单点login不再起作用。 证书可能是自签名的或从我们的内部pki。 唯一的区别是当证书是自签名的时候,额外的“发布者不信任”警告。 当我使用fqdn时,我通过了证书检查,但是Kerberos SSO仍然不起作用。 哪里不对? 我怎样才能解决这个问题? 我如何debugging以获取更多信息? 重启后有什么变化,所以它再次工作?
OpenVPN文档从单个CA设置单个证书,用于所有客户端。 有没有办法将服务器设置为启用来自不同CA的多个证书,只要客户端拥有来自可信机构的有效证书?
我正在更新我的最终实体的AIAlogging中引用的.cer文件。 我应该保存文件的格式是什么? Windows默认允许我保存为 DER编码的二进制X.509(.cer) Base-64编码的X.509(.cer) 我也有能力保存为.P7B,但不认为这是AIA证书支持的select。
我试图从我创build的本地CA两台机器上(局域网)configurationSSL,并用s_client进行testing时遇到问题,我似乎无法find有用的信息瓦特/我的谷歌技能。 我试图熟悉信息安全,似乎是一个很好的开始。 我的情况是 host1:Ubuntu 12.04,tomcat7 host2:Ubuntu 12.04,tomcat7 在两台主机上都configuration了tomcat w / ssl,并且可以从任一台机器到达tomcat主页@ https:// {host}:8443。 我configuration了连接器w /我的keystore&通过,我相信tomcat很高兴的参数,因为我有tomcat启动错误不能提取私钥,但已解决。 这是我做的 // create tomcat server keystore 1. sudo keytool -genkey -alias tomcat7 -keyalg rsa -keystore /etc/tomcat7/keystore/host1.jks 2. openssl genrsa -aes256 -out host1_key.pem 2048 3. openssl req -new -key host1_key.pem -out host1.csr 4. openssl x509 -req -days 3650 -in host1.csr -CA […]
我的主机告诉我,我需要从他们那里购买一个专用的IP,以便使用我想购买的SSL证书。 我不相信他们。 有没有办法让他们离开循环,并完成这个没有购买IP? 我一直使用SSL的自签名证书,但现在我正在购买一个,以便用户不会被https://的红色删除线吓到。 由于我没有自己的证书,而且我的主机没有root访问权限,所以我不得不要求他们提供CSR,他们拒绝这样做,直到我购买专用IP。 我正在使用cPanel / WHM,并没有root权限,但所有的SSL / TLS的东西似乎工作,除了CSR发电机。
我的问题:是否有更好的方法来启用2域之间的身份validation比我在下面做的,是名称映射正确的事情使用? 有2个领域; 一个是主要的企业领域,另一个是较小的子领域。 公司域拥有公司中每个用户的帐户,并生成一个电子邮件证书(支持客户端authentication)。 子域名与企业域名之间没有信任关系; 而子域中的用户有2个login名:一个用于公司域,另一个用于子域。 小的子域名托pipe一个网站,需要一个用户名和密码。 我们希望使用带有电子邮件证书的智能卡,因此login到任何一个域对用户都是透明的。 我开始手动为子域创build名称映射到由公司域颁发的电子邮件证书,但我知道如何获得这些证书的唯一方法是让用户向我发送签名的电子邮件,然后将证书导出到文件。 该过程如下所示: 用户发给我一个签名的电子邮件 我从签名的电子邮件下载用户证书并将其保存到文件中。 运行我创build的脚本读取证书,通过AD中的电子邮件地址查找用户,并在用户和证书之间创build名称映射。 因此,现在用户可以对站点进行身份validation,该站点使用由主域颁发的证书在子域的域控制器上查找他们的凭据。 注意事项: 子域不能有CA服务器。 我在公司networking上没有特权。 我拥有子域的完整权限,包括networking服务器的configuration。
我一直在Google上search几个小时。 我无法让我的映射在某些证书字段上工作。 Fx这个示例代码: <iisClientCertificateMappingAuthentication enabled="true" manyToOneCertificateMappingsEnabled="true"> <manyToOneMappings> <add name="Contoso Employees" enabled="true" permissionMode="Allow" userName="Username" password="[enc:AesProvider:57686f6120447564652c2049495320526f636b73:enc]"> <rules> <add certificateField="Subject" certificateSubField="O" matchCriteria="MyCompany A/S CVR:12345" compareCaseSensitive="true" /> </rules> </add> </manyToOneMappings> </iisClientCertificateMappingAuthentication> 这不起作用。 我怀疑matchCriteria =“MyCompany A / S CVR:12345”中的特殊字符。 如果我把它映射到certificateSubField =“C”和matchCriteria =“DK”,那么它的工作原理。 我也尝试过这种组合matchCriteria =“MyCompany *”,我使用通配符charachter *,但它仍然不起作用。 如果我只使用*作为matchCriteria =“*”,那么它可以工作,但是这又是一个无用的匹配。 我使用certutil进行了检查,看看它为CN,O和C子域提供了什么值。CN和O具有相似的值:MyCompany A / S CVR:12345它们都包含空格和特殊字符。 我如何在II 7.5中做这个匹配? 我应该提到,这个映射完全相同的值在IIS 6中工作正常。
我有一个Server 2012 RD服务器场,如果使用由服务器pipe理器生成的自签名证书进行configuration,可以正常工作,但不能与来自内部CA的证书配合使用。 使用自签名证书,我们的远程客户端可以连接,但由于不可信证书,当然会得到安全警告。 客户信任我们的根CA,所以我们应该能够通过使用来自我们的内部CA的证书来消除这些。 但是,当我将服务器场configuration为使用来自内部CA(在Server 2008 R2上运行AD CS)的证书时,客户端可以loginRD网站,但无法打开RDP会话。 他们在Windows 7上得到如下错误(没有一个客户端比7更新,所以我没有尝试8): 您的计算机无法连接到远程计算机,因为您要连接的远程计算机上发生错误。 联系您的networkingpipe理员寻求帮助。 要么 您的计算机无法连接到远程计算机,因为远程桌面网关和远程计算机无法交换策略。 这可能是由于以下原因之一而发生的: 远程计算机无法与远程桌面网关交换策略。 远程计算机的configuration不允许新的连接。 远程桌面网关和远程计算机之间的连接已结束。 联系您的networkingpipe理员寻求帮助。 反过来,这些将出现在服务器日志中: (来源:Schannel;事件ID:36874)[sic]从远程客户端应用程序收到TLS 1.2连接请求,但服务器不支持客户端应用程序支持的任何密码套件。 SSL连接请求失败。 (来源:Schannel;事件ID:36888)生成致命警报并将其发送到远程端点。 这可能会导致连接终止。 TLS协议定义的致命错误代码是40. Windows SChannel错误状态是1205。 我们的根CA和颁发CA都使用SHA512哈希和4096位公钥。 我注意到服务器pipe理器的自签名证书使用SHA256和2048位密钥,所以我想知道在Windows 7中RDP不支持更强的encryption。 (我无法轻易testing,因为我无法使用SHA256使我们的CA获得证书,我猜测是因为CA自己的公钥太大,即使这样做,客户端仍然需要SHA512来validation针对根CA的颁发CA.) 奇怪的是, 除了 “RD连接代理 – 启用单一login” 之外 ,它可以与我们的证书一起工作。 如果我将其中一个设置为自签名证书,而另外三个则使用我们自己的签名证书,那么一切工作基本上都是正常的(除了用户不得不三次input密码之外)。 在这种情况下,客户端上的Internet Explorer即使具有SHA512,也会信任我们的一个证书,而不会出现问题。 这使得看起来相当奇怪的是,更强大的encryption技术会使RDP发展 – 我假定他们都会使用内置于Windows的提供商。