我有大量独立的Active Directory域(〜150),包含2个服务器群集,我需要为智能卡login进行设置。 要做到这一点,由于我的环境,我将不得不手动请求~300个域控制器证书。 不用说,这是一个大量的手动努力,我正在寻找脚本。 要申请域控制器证书,您需要三条信息:证书请求,域名和GUID。 我可以自动生成所有这些信息,但我不知道如何更改每个域控制器的GUID以匹配直接ldap更改的证书。 有谁知道这是否会工作,否则我会打破域名?
我有一个SSL证书是有效的mysite.co.uk,但不是www.mysite.co.uk它似乎。 如果我使用mod_rewrite或.htaccess从一个redirect到另一个,这将阻止浏览器显示无效的证书安全警告,如果有人试图访问www.mysite.co.uk? (我已经尝试redirect,但仍然得到警告,如果我直接inputhttps://www.mysite.co.uk到我的浏览器的地址栏我想知道这是因为redirect不工作或如果浏览器将会显示警告。) 我希望这是有道理的。
我得到了公钥/私钥对的基本概念,但是我不知道什么是IIS在生成SSL密钥时的内部工作。 有一件事让我觉得有更多的内幕不仅仅是PKI交换,还有像OpenSSL这样的工具可以挖掘到Web服务器,并展现出不同的encryption能力。 这些能力似乎是基于Platform,WebServer和Certificate签名者的组合。 另外一个我没有真正想到的问题是Verisign / Comodo / etc在生成证书后会发给我什么密钥的内容。 该电子邮件的安全含义是什么,或者我可以删除它,因为重要的密钥需要从IIS服务器中导出。 最后,获得SSL证书的唯一方法是使用IIS的控制面板创build密钥对
我已经使用Windows Server 2008 R2创build了一个两层的CA. 用于创build此独立根和企业子CA的.inf文件位于本文末尾。 根安装好,并向SubCA颁发证书。 SubCA会自动向域控制器颁发证书。 我的PKI健康是绿色的,所有链条都有效,CRL发布。 但是,当我尝试为我的Exchange服务器注册SAN证书时,请求不被接受。 事实上,根本没有错误信息。 我正在关注( http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority)[ “如何颁发SAN证书从一个私人证书颁发机构到Exchange 2010],总之: 在Exchange命令行pipe理程序中: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true 我去我的分CAnetworking证书服务http://subca/certsvc 申请一个证书 提交高级证书请求 通过使用Base-64编码的CMC或PKCS#10文件提交证书请求 将步骤1中的请求粘贴到保存的请求框中 select证书typesWeb服务器 点击提交 没有什么…页面刷新,再次显示相同的页面。 页面或日志中没有错误,并且未提交请求。 我已经尝试通过certsrv MMC提交cer文件到下级CA,我右键单击CA – >所有任务 – >提交新的请求 – >selectcer文件,并点击确定。 没有任何事情发生,没有错误,没有待处理的请求,日志里什么都没有,什么都没有。 ; CAPolicy.inf example file for the Root CA [Version] Signature= "$Windows […]
当尝试连接到我们公司的无线而不在域上时,我收到一条消息,说我们的RADIUS服务器提供了由我们的根CA颁发的有效证书,但是根CA没有configuration为有效的信任锚(在一个窗口7机)。 为了删除此消息,必须根据无线networking连接的安全性手动检查根CA. 手动告诉系统信任根CA有什么意义? 是不是有一个可信的根CA的点? 有没有办法解决? 当用户认为我们的连接不安全或证书过期时,就成为一个问题。 我无法手动configuration每台可能使用无线的机器。 这与在这里看到的问题是一样的 。
我目前正在使用服务于一个邮件域mycompany.com的自签名证书的邮件服务器,邮件服务器是mail.mycompany.com,证书的CN也是如此。 现在,我需要添加一个新的域名。 新的域名是mycompany.net到同一台服务器。 由于用户已经拥有旧证书的根,所以我想重复使用。 但是,我想发出一个新的证书,以便使用来自mail.mycompany.net的Outlook / Thunderbird的SMTP用户不会收到警告。 如果我理解正确,如果我发出一个CN = mail.mycompany.com和subjectAltName = DNS:mail.mydomain.net的新证书并且有postfix服务这个,那么客户端不会抱怨这个cn不匹配目标主机名。 在这个假设中,我是否正确?还是我误解了主体替代名的概念? 为了避免对话,我不希望mycompany.net地址上的用户使用mycompany.com服务器,因为我可能(而不是技术问题)必须分成两个不同的位置,而且我想生成一个易于迁移的设置。
我已经安装了一个新的无线networking,包括Freeradius服务器。 一切工作正常,除了苹果iOS连接时提供“证书未validation”警告。 当用户接受证书时,一切正常。 我已经validation了证书链,一切正常。 OSX和Ubuntu例如在连接时做同样的检查,他们给我一个绿色的“已validation”状态。 如何在Apple iOS上获得“已validation”状态而无需为每个用户提供.mobileconfig文件。 (我不pipe每个客户)
我正在尝试提交证书请求。 我试图从命令行执行它,所以我可以从代码运行它。 以前,我通过使用我正在使用的CA的Microsoft Active Directory证书服务来完成此操作。 具体来说, CA Web注册是通过浏览器复制并粘贴base 64请求,然后下载证书。 我正在尝试使用下面的模板自动执行此操作。 我有服务器打开(这是Windows Server 2012),我无法弄清楚正确的参数。 我认为我缺less的主要是FQDN和别名。 我如何find这个? certreq -submit -Username {domain}\{username} -p {password} -PolicyServer "https://{FQDN CertificateEnrollmentPolicyWebService-Server/-Alias}/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" -config "https://{FQDN CertificateEnrollentWebService-Server/-Alias}/{CAName}_CES_UsernamePassword/service.svc/CES" -attrib "CertificateTemplate:{TemplateName}" {Enter Path and Name of the Request-File} {Choose Path and Filename for certificate}
在过去的几天里,我已经解决了一个我似乎无法解决的问题。 尽pipe我对某些pipe理任务有一些了解,但我不是pipe理员。 我有一个使用XapSignTool.exe签署.xap软件包的PowerShell脚本。 提供私钥和密码。 当我以pipe理员组中的用户身份login时运行脚本时,它工作正常。 我也在同一台机器上运行Windows远程pipe理服务。 从另一台Linux机器上,我使用winrm协议来调用带有所需参数的PowerShell脚本。 然后XapSignTool.exe工具,或者下面使用的signtool.exe引发错误: Error information: "Error: Store::ImportCertObject() failed." (-2146893808/0x80090010) 我查找了代码,发现它的意思,即 NTE_PERM 0x80090010 拒绝访问。 ImportCertObject()方法的名称使我觉得该工具试图将提供的私钥导入证书存储区。 有趣的是,如果我第一次运行脚本,而login,它的工作,通过winrm后续调用工作。 这导致我相信证书与pipe理员用户正确导入。 WRM服务在networking服务帐户下运行,所以我认为它没有权限插入证书存储区。 我把NS帐户放在pipe理员组中,希望它可以工作,但事实并非如此。 对于testing,我把\ Everyonepipe理员组和winrm调用到PowerShell脚本仍然失败,'访问被拒绝'。 为什么是这样? 我怎样才能让用户访问证书存储? 我也希望能够为许多这样的证书做到这一点,所以它必须是自动的。
安装Windows CA时,capol.inf让我困惑。 似乎capol.inf确实为CA设置了默认值,否则可以使用certutil的registry函数(或regedit)来完成。 在更新CA证书时,它似乎也有作用。 最后,它似乎也为新签发的子证书设置了默认值,但是在安装新的子证书之后没有使用 任何人都可以澄清,当这个文件被使用,如果有一些部分是在一些任务中使用,而不是其他(安装,更新CA,颁发儿童证书)?