我首先应该注意的是,我们没有人熟知自签名authentication。 我们有一个适度蔓延的networking(一个森林,许多地点),现在我们正在推出内部代码签名; 到目前为止,用户运行不受信任的代码,或者我们甚至禁用(!)警告。 现在,Intranet应用程序,脚本和站点将通过自我authentication进行签名。 我知道我们可以采用两种明显的方式:直接通过组策略分配密钥,并设置证书服务器。 有人可以解释这两种方法之间的权衡? 组策略方法之前有多less证书是笨拙的? 他们足够大,远程用户会有问题吗? 组策略方法是否在每次login时分发重复数据? 有没有更好的方法,我不知道? 我可以find很多关于authentication的文档和创build它们的各种方法,但是我一直没有find总结分配方法和哪个标准使得其中一个更优越的区别的东西。
我想使用证书来validation客户端和服务器是否有新的内部服务。 由于我们所有的服务器都已经安装了SBS(2011 Standard)服务器的Cert作为受信任的根,因此获得新证书似乎是正确的select。 所有 的 文件似乎表明我应该浏览到SbsServer/certsrv但没有在该地址。 我已经尝试通过正式经理添加所有的angular色服务,似乎他们可能是相关的,但仍然没有。 我是否需要使用Web前端来颁发证书? 如果是这样,我怎么能启用它? 如果没有,有一个我可以使用的向导?
我正在构build一个脚本,将下载并安装一堆程序。 其中一个程序取决于虚拟驱动程序,该驱动程序需要导入其证书才能运行。 通常,安装程序会在GUI中为您执行此操作,并popup确认对话框询问您是否信任此驱动程序。 但是,这个中断对于我正在编写的脚本是不可接受的。 我已经find了一种通过文件属性GUI导出证书的方法,并且可以用脚本导入该文件,从而允许我在没有任何用户交互的情况下进行安装。 但是,为了部署和完全自动化此脚本,我还需要能够通过脚本从安装程序中导出证书文件。 可以这样做吗?
我一直在尝试按照Eric最有用的指南http://alestic.com/2012/09/aws-command-line-tools设置AWS命令行工具。 我似乎无法find如何生成x509证书和私钥的方法,以及如何与指南创build的各种安全文件相关联。 更新: 我发现了一些描述一些步骤的链接。 这些步骤似乎工作,但我不知道这是否安全和最好的方式来做到这一点: 1)创build一个私钥 openssl genrsa -out my-private-key.pem 2048 2)创buildx.509证书 openssl req -new -x509 -key my-private-key.pem -out my-x509-cert.pem -days 365 按回车键接受所有的默认值。 然后,从IAM仪表板,用户,select一个用户并单击“安全凭证”选项卡。 点击“pipe理签名证书”,然后点击“上传签名证书”,粘贴my-x509-cert.pem的内容,点击确定即可。 我们所讨论的一个步骤,不是我所要求的,是在私钥上添加和随后删除一个密码短语。 我是否应该得到一个提示,而且我的证书可能因此而不安全?
我有一个服务,运行“networking服务”权限,将证书安装到“networking服务”的“个人证书存储”中。 由于原因超出了这个问题的范围,我需要删除该证书,但使用MMC的“证书”pipe理单元我找不到该证书。 我试图打开“服务” – >“本地机器” – >“服务名称”的证书存储,但没有什么,而服务肯定报告,它看到的证书。 任何想法如何访问个人证书存储?
我安装了Ovirt并希望为NAT添加networking接口。 所以我需要通过virsh连接到hypervisor并添加nic。 Ovirt安装在我的本地服务器上,主机(ovirt-engine.kvmserver.net)位于同一台服务器上。 我试图以可读模式连接是好的 # virsh -r Welcome to virsh, the virtualization interactive terminal. Type: 'help' for help with commands 'quit' to quit virsh > list Id Name State —————————————————- 10 CentOS_test running 12 CentOS_test2 running 16 Windows1 running 17 Windows2 running 在正常模式下 # virsh Welcome to virsh, the virtualization interactive terminal. Type: 'help' for […]
我已经阅读了有关群集(负载均衡器后面)和证书的各种线程。 我正试图在我们公司实施这个。 首先,我们的共同政策是不允许出口证书,所以这是不可能的。 我被告知,你不能申请一个具有相同CN的证书,即服务器1的www.example.com和服务器2的www.example.com。但从逻辑上讲,除了生成新密钥外,这与导出是一样的。 证书颁发机构是否会说:“我们不会接受相同的域名,但如果你想让它们出口,风险就在你身上?”。 其次有人告诉我说,这种做法是可行的: CN= Server 1 Subject Alternate Name (SAN)=www.example.com CN= Server 2 SAN=www.example.com 我看不出有什么区别,只是把它作为一个CN。 第三,我知道,如果负载平衡器进入应用程序级别,那么证书可以安装在那里,但是我只是想回答上述两个问题,而没有考虑到这一点。 有人能清除我头上的云吗? 在此先感谢,帮助将不胜感激 克里斯托弗
我正在尝试创build一个Windows服务器与IIS服务器具有客户端证书身份validation的网站。 客户端证书由我们自己的根CA签署。 因此,我们必须将该CA导入到服务器上的“受信任的根授权”中。 我可以成功导入证书,有时第一个请求到服务器成功。 不幸的是,Windows很快地删除了CA证书,之后对服务器的请求开始失败,出现了403错误。 我在事件查看器中find了以下内容: 成功自动删除第三方根证书:: Subject:Sha1 thumbprint:<“我们的证书的指纹”>。 我如何让Windows停止这样做? 服务器正在Amazon EC2上运行,我们希望避免使用自定义AMI。 因此,我需要能够使用脚本(最好是PowerShell)禁用此function。
我已经使用mydomain.org作为通用名称生成了自签名证书颁发机构。 我使用“Authorities”选项卡下的Thunderbird证书pipe理器导入了公共证书。 到现在为止还挺好。 接下来,使用这个CA,我已经为mail.mydomain.org生成(并签名)了一个证书,但是即使我导入了CA,我也不断收到带有消息“Unknown Identity”的“Add Security Exception” m试图连接第一次。 下面是一个截图,说明情况: 注意:CA和邮件证书都使用“SHA-1 with RSA Encryption”进行签名。 注2:我知道我应该从一个可信赖的机构获得证书,这是一个临时解决scheme。 所以我的问题是: 1)这种行为是否正常? 2)如何“说服”Thunderbird我的CA签名的所有证书都是可信的? UPDATE % openssl s_client -connect mail.mydomain.org:993 CONNECTED(00000003) depth=1 <snip> CN = mydomain.org, <snip> verify error:num=19:self signed certificate in certificate chain verify return:0 — Certificate chain 0 s:/<snip>/CN=mail.mydomain.org/<snip> i:/<snip>/CN=mydomain.org/<snip> 1 s:/<snip>/CN=mydomain.org/<snip> i:/<snip>/CN=mydomain.org/<snip> — Server certificate —–BEGIN CERTIFICATE—– <BASE64> —–END […]
我已经被RapidSSL要求重新发行我的SSL证书到2048位。 我生成了一个密钥CSR,并从RapidSSL获得了证书。 现在,不知何故,我忘记了生成密钥时使用的密码。 阿帕奇正在要求,告诉我“还剩5次”。 目前,我已经恢复到旧的证书。 我在这里有什么select? 我可以重新创build新的密钥/ CSR并使用RapidSSL生成新的证书吗? 我没有看到选项来生成一个新的证书。 如果猜测密钥的尝试过多,会发生什么情况?