我刚刚尝试SSH服务器,我已经这样做没有问题一段时间,并收到警告,服务器的主机密钥已更改。 但它没有! 在服务器上,我检查了/etc/ssh/sshd_config引用的主机密钥,但没有更改。 在客户端,我检查了known_hosts文件,并且在那里的现有条目有正确的公钥。 我试着将known_hosts文件临时StrictHostKeyChecking , no在/etc/ssh/ssh_config中将StrictHostKeyChecking设置为no ,这样就可以自动连接,以便比较公钥。 当我这样做,并检查known_hosts的新条目,公钥部分是相同的以前! 那为什么不连接? known_hosts唯一不同的是主机名的salt和hash。 但是由于我总是通过IP和端口连接,而不使用主机名,所以这些必须是正确的。 有任何想法吗? 请注意,所有尝试连接的客户端都会收到此消息。 所以这不是客户的问题。 编辑:我应该补充说,当我连接StrictHostKeyChecking设置为no ,并创build了一个新的known_hosts文件,当我然后尝试再次使用新的known_hosts文件连接和StrictHostKeyChecking回到yes ,它没有警告连接。 换句话说,新的known_hosts文件没有警告地工作,而旧的文件没有,尽pipe里面有相同的公钥。
在IIS中,可以select“创build域证书”。 除了一个问题,这个工作很好。 此过程使用的模板是CA中具有仅1024位密钥的“Web服务器”模板。 我重复了这个模板,然后将最小密钥长度更改为2048。 我有一个企业CA在Windows Server 2008 R2上运行。 是否有可能在我的域中的所有IIS服务器使用新模板时,通过“创build域证书”向导?
(请注意:这个问题是很多“你为什么不试试这个问题”的问题之一,我当然会这样做,但是由于我没有find一个明显的使用googlesearch的答案,所以我想我可能会更容易稍后可能需要在ServerFault上询问的人) 我的Web应用程序通过HTTPS在某些负载平衡器后面提供服务,并允许用户在某些情况下使用客户端证书进行身份validation。 现在我被问到是否希望将SSLencryption/解密卸载到负载均衡器,以便运行纯HTTP网站(从而更轻松地进行debugging和configuration),而负载平衡器将为HTTPS用户。 免费的额外CPU周期当然听起来不错,但是,我不相信我仍然能够检查用户的客户端证书。 是否有可能使用客户端证书而不运行一个完整的HTTPS站点?
我还没有完全掌握ADFS 2.0 / 3.0的依赖方令牌签名证书的function。 一旦发生自动自签名证书转换(默认情况下),有些情况下您必须手动将新的令牌签名证书(通常是)外部SSO应用程序提供者交付给他们,以便将新证书他们的结局,所以SSO将继续运作。 但是,这可能会自动发生。 我发现最好的解释是http://blog.kloud.com.au/2013/07/17/ad-fs-and-self-signed-token-signing-certificates-3/ : [ADFS] …可以在到期前自动更新自签名证书,并且如果为自动联合元数据更新configuration了依赖方信任 ,则自动向依赖方提供新的公钥。 这种自动化使弹性的,低维护的联合服务成为可能,因为服务使用的密钥证书不需要定期关注。 问题是; 我如何知道是否为自动联合元数据更新configuration了信任方信任? 这是简单的,只是在信任这个设置(感谢谷歌图片search): https://syfuhs.blob.core.windows.net/images/WindowsLiveWriter/5faa9c1bc727_ECC4/image_58.png 如果是这样,我怎样才能确保更新成功(除了可能的最后检查date),依赖方已经自动获得新的证书或公钥?
我们最近冒险进入云托pipe一些网站。 在我们的本地托pipe服务中,我们为多个网站使用通配符证书,我们也希望为我们的云托pipe网站(特别是PAAS负载均衡器只能托pipe一个证书)执行相同的操作。 我们不希望在云解决scheme中重复使用本地证书,以限制证书受到影响的环境。 这意味着对于同一个CN(* .example.com)将会有两个通配符证书。 我发现一些关于iOS设备上的问题的网页不支持同一个CN的多个证书,并想知道这个解决scheme是否存在其他技术限制。
根据我对SSLauthentication的了解,我信任的一方的FQDN必须匹配通用名称或主题备用名称之一。 这是否也适用于客户端证书? 那么当客户端没有固定的IP地址或域名时,客户端身份validationscheme会发生什么情况?
我开发了一个从一个位置读取文本文件的服务。 某些文本文件可能包含敏感信息。 我们希望允许任何用户运行一个独立的工具来encryption这些文件,这样只有服务应用程序才能解密它。 我创build了一个MyServiceAccount.cer文件和一个passoword保护MyServiceAccount.pfx文件与我需要的公钥/私钥。 通过使用该帐户login到Windows,我已将MyServiceAccount.pfx导入到MyServiceAccount的个人存储中。 作为一个服务帐户login似乎很尴尬。 1)pipe理员有没有办法将.cer或.pfx文件导入到另一个用户的个人存储中? 我还创build了一个独立的工具,读取MyServiceAccount.cer文件以获取公钥并用它encryption一个或多个文件。 将.cer文件留给任何人使用,logging它的位置,希望没有人移动或删除它等等,似乎很尴尬。 2)是否有一个适当的Windowsapp store,我应该保留MyServiceAccount.cer,以便独立的应用程序可以获得公共密钥,无论运行它的用户login为哪个帐户? 由于MyServiceAccount.pfx存储在MySrviceAccount的个人存储中,因此我认为唯一可以获取私钥的帐户就是该帐户。 我知道一个pipe理员可以login为该帐户,所以我应该保护私钥,以便需要密码。 但.. 3)服务应用程序如何访问密码保护的个人存储中的密钥而不将密码embedded代码中? 感谢您帮助我理解我的select,以及在这种情况下最佳做法。
我试图理解一个中间人攻击会如何影响我的Web服务器。 我有一个自签名证书。 这个证书可以通过中间人攻击来伪造,这意味着我从浏览器发送的所有东西都会被拦截和修改。 如果请求被修改,则不会被Web服务器解密,因为服务器上的证书是不同的。 它是否正确? 浏览器发送的请求可能会被拦截,并可能被redirect,但是我的服务器上的数据不会受到影响,这是正确的吗? 我开始理解证书背后的理论,但是如果有人能够提供一个现实世界的中间人攻击的例子并且看看它造成了什么问题,那将是非常好的。 谢谢
我想创build一个证书系统来增加小型企业无线networking的安全性。 我知道证书可以用作WLAN上的authentication。 有谁知道如何做到这一点??
我有一个CSR文件(作为文本文件)和相应的P7B证书。 我的问题是我必须在没有创buildCSR的机器上创build一个P12文件。 我已经在Firefox密钥pipe理器中创build了CSR。 之前,我将P7B文件导入到msc的证书库中,然后导出一个CER文件,导入密钥pipe理器,然后导出P12文件。 这不工作了,因为我现在有另一台机器。 如果我尝试导入由msc创build的CER文件,密钥pipe理器说没有私钥。 有没有可能创build一个私钥?