我试图使用Windows CertSrv Web注册客户端中的附加属性字段来颁发新的证书。 我添加了CSR,select了模板并将其input到属性字段中: SAN:dns=HOSTNAME&dns=HOSTNAME.DOMAIN.COM&ipaddress=IPADRESS 请求是成功的,但是当我检查签名的证书时,没有“替代名称”属性被添加到它。 我错过了什么吗? 也许与模板有关的问题? (使用一些默认的Win 2003级别的networking服务器模板副本和一些自定义设置)。 /编辑另外我试过使用 certreq -submit -attrib "CertificateTemplate:MYTEMPLATE" <Cert Request.req> -attrib "SAN:dns=HOSTNAME&dns=HOSTNAME2&ipaddress=IPADDRESS" 导致同样的问题:证书得到生成,但没有任何SAN属性。 / edit2我也设置了CA使用发行SAN证书 certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 并重新启动CA服务。 仍然:没有SAN。 请注意:使用req。 文件和OpenSSL来生成CSR,我能够使用包含一些SAN的CA来生成证书。 但是,这个选项在我目前的情况下是无效的,因为我从应用程序获取CSR,而我无法为应用程序手动生成CSR。 / edit3 我尝试使用默认的networking服务器证书,没有任何改变,突然它的工作。 所以现在的问题是:启用SAN的模板要求是什么?
已解决:原来的问题是由于在各种configuration文件中遗忘了遗留的LDAPTrustedGlobalCert指令而造成的,对于相同的FQDN使用旧证书 tl; dr:我们使用一个自签名的CA,我们从来不必使用禁用证书validation的指令:如何让Apache信任我们的mod_ldap自签名CA? 我正在尝试将我的Apache Web服务器configuration为使用LDAP目录作为用户基的HTTP身份validation。 一切工作正常在非encryption模式,但与SSL或STARTTLS HTTP 500错误代码失败。 这是我的Apacheconfiguration: AuthType Basic AuthName "WebServer" AuthBasicProvider ldap AuthzLDAPAuthoritative on # Plain: AuthLDAPURL "ldap://ldap.example.com/dc=example,dc=local?uid?sub?(objectClass=person)" # SSL: LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/certs/ca-certificates.crt AuthLDAPURL "ldaps://ldap.example.com:636/dc=example,dc=local?uid?sub?(objectClass=person)" SSL # StartTLS LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/certs/ca-certificates.crt LDAPTrustedMode TLS AuthLDAPURL "ldap://ldap.example.com/dc=example,dc=local?uid?sub?(objectClass=person)" AuthLDAPBindDN "cn=webserver.example.com,ou=Apps,dc=example,dc=local" AuthLDAPBindPassword "secret" /etc/ssl/certs/ca-certificates.crt是多个CA证书(由ca-certificates Debian软件包生成)的串联。 我已经尝试了将LDAPTrustedGlobalCert指向LDAPTrustedGlobalCert或签署了ldap.example.com证书的subCA:同样的问题。 error.log说: # TLS: auth_ldap authenticate: user john-doe authentication failed; URI […]
对不起,如果这是一个重复的问题,但我没有看到任何像我的问题。 这也是我第一次更新证书。 所以,有点背景。 我们有一个SharePoint站点,使用ISA防火墙进行Webstream量redirect。 我们的Sharepoint服务器不是面向公众的,所以我们有一个安装的Web监听器的证书,用于在传入stream量上使用SSL,所以当用户login时,他们的密码不是纯文本的。 基于卖方网站上的说明,你必须从IIS框(共享点)生成证书请求,但安装在ISA(防火墙)证书确定,到目前为止好。 我可以导出证书,并将其导入电脑个人证书商店。 但是,当我转到ISA上的监听器规则时,新的证书没有显示为有效,它表示私钥无效或丢失。 所以这里是我在哪里犯了一个错误。 根据KB 292569 “如果您没有在”导出私钥“窗口中单击”是“的选项,则私钥已经导出到另一台计算机,或者此计算机上从不存在密钥,您不能在ISA Server上使用此证书。 ISA Server的这个站点的新证书“。 卖方的证书,当我右键点击导出它,没有一个选项,包括私钥。 所以根据MS文章,我是否需要重新开始一个新的CSR? 我错过了什么导致我的证书没有私钥?
我试图在Win2k8 R2服务器上安装NDES,但是我看不到该选项。 我已经向IIS_IUSRS添加了一个用户,并且该用户也是pipe理员(BuiltIn)用户组的一部分,因此已经获得了足够的权限。 请告诉我,我在这里错过了什么。 谢谢!
我必须用通配符证书来replace证书,我不确定我需要采取什么措施来做到这一点 – 我已经Google了,但我找不到任何特别直接的,我很抱歉,如果这已经问了,可以有人帮忙? 我想我需要创build一个keystore文件或类似的东西,我是否也需要一个名为gd_bundle.crt的包在服务器上运行? 这对我来说很困惑。 我被告知,文件是在我需要的文件夹,但不是我需要的文件,可用的文件是: wildcard.domain.org.crt wildcard.domain.org.csr wildcard.domain.org.key wildcard.domain.org.p12 文件夹中还有一个gd_bundle.crt文件,但比这些文件要旧,所以我不确定是否需要它。 “域名”取代了我所拥有的公司域名。 我们的服务提供商是GoDaddy。 webserver是Ubuntu 12.04上的Apache2,使用openSSL,证书的目的是为了显示我们工程师的代码构build快照的网页。 所有的帮助和意见非常感谢!
在/ etc / ssl中,当我做sudo openssl verify mywebsite.pem我得到一个消息说明 mywebsite.pem: OU = GT46830179, OU = See www.rapidssl.com/resources/cps (c)15, OU = Domain Control Validated – RapidSSL(R), CN = *.logitapp.com error 20 at 0 depth lookup:unable to get local issuer certificate 我通过从sslpoint的证书生成器复制到nano来创buildmywebsite.key。 我通过运行sudo cat mywebsite.crt sslpointintermediate.crt >> mywebsite.pem创buildmywebsite.pem sudo cat mywebsite.crt sslpointintermediate.crt >> mywebsite.pem 。 创buildmywebsite.crt和sslpointintermediate.crt通过粘贴到nano发送给我的电子邮件sslpoint 。 mywebsite.pem和mywebsite.key实际上不是文件的名称。 使用Debian […]
我正在寻找一个解决scheme,从EJBCA实例中提取CA,把它放在一个外部驱动器,例如安全保pipe。 所以我只保留子ca在EJBCA实例中签署最终用户证书。 那么当我需要再次生成一个sub-ca或者撤销一个已经创build的sub-ca的时候,我只会把它放回去。 这样,我可以确保即使我的服务器受到攻击,我确信只有剩余的子networking受到攻击,但是我的根CA仍然有效。 有没有办法做这样的事情? 谢谢。
我正在运行Windows 2008,并安装了一个企业CA. 我如何使所有服务器自动登记以获得RDP证书? 我不想在每台机器上手动执行此操作。
我正在尝试使用ADFS 2向导添加可信的依赖方。 我的开发站点(托pipe的IIS)在端口61080有一个HTTP绑定,而HTTPS绑定在端口61443.我有一个自签名的.PFX SSL证书。 ADFS 2.0服务器是托pipe在VM中的Win2K8 R2服务器。 该服务器也是一个(虚拟的,仅用于testing)域控制器。 ADFS站点也使用自签名证书。 我使用FedUtil将ADFS 2站点作为STS添加到我的开发站点。 现在是这个问题,当我尝试添加开发站点作为ADFS服务器上的信任的依赖方,我得到这个错误信息… 尝试读取联合元数据时发生错误。 validation指定的URL或主机名是否是有效的联合元数据端点。 validation您的代理服务器设置。 有关如何validation代理服务器设置的详细信息,请参阅AD FS 2.0故障排除指南( http://go.microsoft.com/fwlink/?LinkId=182180 )。 错误消息:底层连接已closures:无法build立SSL / TLS安全通道的信任关系。 为了解决这个问题,我导出了两个自签名证书,并将它们添加到两台机器上的“个人”和“受信任的根证书颁发机构”,但仍然没有运气。 错误信息中提到的链接提供了一些通用的build议,这没有任何帮助。 有没有人有任何想法? -谢谢!
我已经通过我的VPS提供商(1&1)从Geotrust签署了一个SSL证书(快速SSL Premium)。 我,做了什么这里指出,我在我的子域的虚拟主机文件中添加了所有的指令,但SSL证书似乎是不信任的。 这有什么可能的原因? 我用Apache2和mod_ssl启动了Ubuntu 10.04 Lucid Lynx