我们最近使用SHA256签名algorithm重新发布了GoDaddy通配符证书(即使您没有重新input密钥,仍要在72小时内撤销旧证书,所以您应该重新input)。 我们将RemoteApps,Terminal Server的RDP,RDGateway和RDWeb(IIS)用于此证书。 当我在给定的terminal服务器(AKA会话主机服务器)上的“RemoteApppipe理器” – >“数字签名设置”中更改为新的通配符证书时,对于某些用户发布的terminal服务器上的应用程序而言,来自RDWeb的连接失败, .rdp文件适用于所有用户。 此外,这是我见过的最奇怪的事情, 错误的用户被logging为拒绝访问在网关 。 如果我将证书更改回旧的撤销证书,那么一切正常。 工作设置: 所有Windows 2008 R2 Datacenter服务器 RDGateway + RDWeb – rdsgateway.contoso.com(为IIS和rdgateway安装的新通配证书) TS – ts1.contoso.com(仅为RDP安装的新通配证书, 为RemoteAPP安装的旧证书 ) 非工作设置: 所有Windows 2008 R2 Datacenter服务器 RDGateway + RDWeb – rdsgateway.contoso.com(为IIS和rdgateway安装的新通配证书) TS – ts1.contoso.com(为RDP安装的新通配证书, 为RemoteAPP安装的新证书 ) 当使用用户“CONTOSO \ bob”从RDWeb启动时,会生成以下错误: 由于以下原因之一,远程桌面无法连接到远程计算机“ts1.contoso.com”:1)您的用户帐户未在RD网关的许可权列表中列出2)您可能以NetBIOS格式指定了远程计算机。 .. 当我看事件日志“Microsoft-Windows-TerminalServices-Gateway / Operational”时,我看到以下错误: 客户端计算机“123.123.123.123”上的用户“CONTOSO \ alice”未满足资源授权策略要求,因此未被授权资源“ts1.contoso.com”。 发生以下错误:“23002”。 到底是怎么回事? 为什么更改RemoteApp的签名证书导致网关认为这是一个不同的用户连接?
我发现,当访问使用客户端证书身份validation的Web应用程序在Firefox或Chrome上运行Tomcat / APR(在Windows上)时,客户端证书在短时间内“丢失”。 对于应用程序,它似乎没有发送客户端证书。 示例代码(JSP片段): User client cert data: <%= ((java.security.cert.X509Certificate[]) request.getAttribute("javax.servlet.request.X509Certificate"))[0]. getSubjectX500Principal().toString()%> 刷新页面(显示客户端证书的DN)后,页面将失败,并发出NullPointerExceptionexception, request.getAttribute将返回null 。 它通常发生在不到一分钟的时间。 更确切地说,每秒重新加载一次,几乎每次都在30秒后出现。 之后,每个请求将以相同的方式失败,直到我重新启动tomcat(或者重新启动Firefox,或者只是清除Firefox中的“Active Logins”,然后在新的连接上重新select证书)。 重新启动后,问题总是返回(如果我再次重新启动,则会消失30秒)。 Firefox(v39和v40)和Chrome(v44)发生这种情况,IE v11则不会。 它也发生在不同版本的tomcat和Java(以及操作系统位数)上。 使用最新版本的testing案例是: 下载并解压apache-tomcat-8.0.24-windows-x64.zip 在webapps文件夹中创build一个名为cert的文件夹,在那里创build一个名为ccertA.jsp的文件,其中包含上面的代码片段 在server.xml中添加一行: <连接器端口=“8443”protocol =“org.apache.coyote.http11.Http11AprProtocol”secure =“true”scheme =“https”maxThreads =“150”URIEncoding =“UTF-8”SSLVerifyClient =“可选”SSLProtocol =“ TLSv1 + TLSv1.1 + TLSv1.2“SSLPassword =”testing“SSLEnabled =”true“SSLCertificateKeyFile =”C:/your_server_key_private.pem“SSLCertificateFile =”C:/ your_server_key _public.pem“SSLCACertificateFile =”C:/supported_client_CAs.pem “/> 通过执行startup.bat启动tomcat 打开https:// localhost:8443 / cert / […]
我有一个奇怪的IIS 8.5行为的问题。 当然,服务器托pipeconfiguration了SSL的Exchange。 当我将StartCom的中间证书从SHA1replace为SHA2时,问题就开始了。 它适用于我所有的资源,但不仅仅是这台Exchange服务器。 我做了什么:我已经从证书存储中删除了旧的SHA1中间证书,从StartСom下载了适当的证书,重新绑定了网站并重新启动了服务器。 它没有帮助。 当我在服务器上打开网站时,它的工作原理是远程服务器不断发送旧的SHA1。 我检查了服务器上没有这个序列号的证书。 我挖了互联网,发现类似的问题IIS发送不正确的中间SSL证书该家伙有同样的问题。 但不幸的是,没有一个解决scheme没有帮助我。 我的服务器返回错误的中间证书,甚至不存在于服务器上。 有人知道是否有办法让IISbuild立具有特定证书的证书链? 谢谢。
Ubuntu 14.04上的OpenVPN服务器。 Easy-rsa在Ubuntu 14.04上的证书颁发机构服务器上。 这样做是因为我想让ca.key文件与作为openvpn服务器的机器分离,这是出于安全原因。 我启动一个客户端,使用easy-rsa生成密钥和csr文件,然后将csr文件scp到CA服务器,然后运行<> ./ sign-req keys / linuxclient2.csr或./pkitool –sign keys /linuxclient2.csr 。 我得到以下错误: Using configuration from /usr/share/easy-rsa/openssl-1.0.0.cnf keys/linuxclient2.csr.crt: No such file or directory 139779055732384:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('keys/linuxclient2.csr.crt','w') 139779055732384:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: 它生成一个名为linuxclient2.csr.crt的文件,这不是一个有效的证书。 然后,我删除该文件并再次尝试并获得相同的确切的错误消息,只有这次.csr.crt文件不存在。 无法签署证书签名请求,这意味着我现在不得不在CA上签名,并将它们分发到不完全最安全的通道:(
我傀儡环境中发生的事情我找不到任何答案,所以我希望有人在这里向我解释。 ENV:工头(Puppet CA),木偶大师,木偶代理 我有一个oracle虚拟机“server01.domain.xx”与它的Puppet代理,它的服务必须迁移到具有相同的FQDN的另一台主机。 我试图这样做: [Foreman] puppet cert clean server01.domain.xx [Foreman]取消关联主机(从esx中取消关联) [工头]删除主机 [new vm]傀儡代理-t(CSR) [Foreman] puppet证书签名server01.domain.xx [new vm] puppet agent -t 我没有做的是禁用旧主机上的木偶代理和删除ssl目录(以防万一),因为我认为即使fqdn是相同的(以及certnames)“puppet证书清理”应该是足够的。 接下来发生了什么? 旧的虚拟主机运行木偶代理和应用的configuration,这已经为新的VM准备。 希望没有什么坏事发生。 那么,我错过了一些关于它是如何工作的知识吗? 我认为私钥 – 公钥创build(4-5)使得这个通信是唯一的,同一个certname不能破坏它。 提前Thx任何合理的解释!
我试图在思科ASA 5515上安装证书。它具有我本地的Windows 2012 CA作为可信的CA. 该域也将此CA应用于其受信任的根。 每当我尝试通过AnyConnect VPN从外部进行连接时,我都会收到不可信的证书错误,具体为“证书与服务器名称不匹配”。 设备主机名是vpn ,域名是example.com 。 证书颁发给由cn=corp-dc1-CA,dc=corp,dc=example,dc=com发布的cn=vpn.example.com 。 我有2个自治域configuration: corp.example.com是一个内部域,它没有注册GoDaddy; example.com在GoDaddy注册。 我使用ASA的CSR在我的CA上生成一个证书,并在我的ASA上安装了新的证书,但仍然没有运气。
我在我的外围networking上运行Server 2012 R2 Core上有一个AD RODC。 我正在使用这个外部/托pipe的应用程序,可以做基于LDAPS的身份validation。 我的问题是服务器的FQDN是一个内部的名字(rodc-01.company.local)。 我在外部DNS和外部DNS中有一个友好名称的logging(auth.company.com)。 我已经validation通过端口389的正常的非SSL LDAPstream量对于内部和外部应用都可以正常工作。 理想情况下,我只想使用LDAPS,但根据微软的说法,服务器的FQDN需要使用公用名称或证书的SAN。 鉴于我需要与外部应用程序一起使用,我需要一个可信的第三方证书。 我通过GoDaddy获得了一个auth.company.com。 RODC拒绝识别证书(CAPI2日志提供主机名称不匹配错误)。 受信任的第三方证书提供商不会为.local域颁发证书。 有没有解决的办法? 我可以从我的内部CA基础架构颁发证书,但外部应用程序拒绝连接,因为他们不信任证书,并不是所有的应用程序都使我能够提供他们信任的证书。 有没有人有知识,或有经验使这项工作? 微软通过把这个要求放在LDAPS上,让我们真正的感受到了。
我已经inheritance了在Azure上运行的云服务。 我希望能够远程桌面到该服务进行微小的更改。 我想通过Azure门户(即不使用Visual Studio或其他安装的工具)设置这一切。 我的理解是有可能做,因为这里有一篇关于它的文章 。 根据该文章中的说明,设置远程桌面需要证书。 “随附”服务的证书年前已过期。 我有问题创build一个新的作品。 我遵循这里和其他地方的指示(我不能连接,由于名誉)创build.cer和.pfx文件与工具,如makecert.exe和PowerShell。 我上传了两个云服务。 当我尝试使用此证书设置远程桌面凭据时,出现以下错误: 无法保存部署位置“XXXXX”的远程桌面设置。 错误:操作“d92d37ce80b93b61bcd4117c5382bb2d”失败:“证书没有私钥”。 操作“4322a36b8ebc3fafb7de91cbcbb67973”失败:“证书没有私钥”。 我猜我创build了.pfx和/或.cer文件错误? search错误The certificate does not have a private key (在Azure的上下文中,或者只是一般)没有太多的帮助我。 我如何创build将有私钥的.pfx和/或.cer文件,并允许我创build远程桌面凭证? 我的开发机器是Windows,所以任何工具都需要运行。
在Web服务的情况下,PEM证书中的通用名称(和SAN)应与主机名称匹配。 但是,我发现许多IPSEC或VPN在线文档(使用自签名证书的文档)忽略了证书请求上的公用名字段。 我假设在IPSEC和VPN中使用证书的情况下主机名不重要,这与Web服务中的不同。 谁可以给我解释一下这个?
我们有一个IIS 7托pipe网站,需要客户端证书(双向ssl)。 不幸的是,我没有访问主机上的受信任的证书存储,所以我不得不写一个自定义的http模块来validation证书。 但是,我的模块从来没有机会进行身份validation,因为IIS无法识别证书,并以403.7错误响应。 如何closures客户端证书validation,同时还要求客户提供?