假设我有一个网站,我希望用户能够login到客户端证书。 据我了解,客户正在向公众展示一个密钥对的一半,并certificate他们有相应的私人一半。 那是对的吗? 如果是这样,那么是不检查客户端是否提供足以知道它是已知用户的已知(先前授权的)公钥,而没有证书已经由可信CA签名?
我正在运行以下命令: svn info –non-interactive –trust-server-cert –no-auth-cache –xml "https://ommited/svn/YAMS" 不幸的是,我收到以下错误: ?xml version="1.0" encoding="UTF-8"?> <info> svn: E175002: Unable to connect to a repository at URL 'https://ommited/svn/YAMS' svn: E175002: OPTIONS of 'https://ommited/svn/YAMS': Server certificat e verification failed: certificate issued for a different hostname, issuer is no t trusted (https://ommited) 我想如果我把–non-interactive –trust-server-cert ,它会忽略自签名证书问题。 我在这里做错了什么?
我有一个通过HTTP和HTTPS托pipe网站的IIS 6 Web服务器场。 使用Mac 4上的Safari 4,通过HTTPS连接,场中的某些节点触发浏览器向用户发出证书错误,其他节点正常工作。 总是相同的节点导致问题,但在IE或Chrome中似乎不会出现问题。 我认为农场中的这些节点configuration错误,但我无法通过查看单个服务器设置来轻松识别问题。 我想将客户端工具指向一个已知的好节点,并从客户端的angular度捕获SSL客户端和服务器hello,证书消息,密钥交换等,然后解密,然后在已知问题节点上重复,然后比较。 你可以请build议任何Windows工具,或者更好的方式来诊断故障?
我已经configuration了一个工作openvpn服务器(Ubuntu 10.04)和客户端,没有问题。 我为客户端机器生成证书和密钥文件等。 我们部署了大量的这些通用客户端机器来进行数据采集,每月10到20个月。 VPN的原因是允许我们远程login以进行偶尔的支持和监控。 他们通过其他方式将数据发送回家(不是VPN) 我正在考虑使客户端configuration文件通用,并在所有部署的机器上使用它们(服务器端的“duplicate-cn”选项)。 我的推理是这样的: VPN服务器明确地禁止从我们的办公室以外的任何地方sshlogin,所以连接的客户端不能ssh进入服务器 此外,login到openvpn服务器需要X509 .pem密钥文件(这是一个Amazon EC2实例) 服务器不允许客户端彼此看到(“客户端到客户端”被注释掉),并且没有任何其他networking的访问权限,这是纯粹的,我们可以ssh到客户端。 我们懒惰,不想pipe理员生成证书,将它们应用到机器上(因此不再是通用的,不再是热插拔的等),人们会感到困惑,弄错了。 主要缺点似乎是: 很难说哪个机器是哪里有很多连接(我还没有find解决scheme) 客户端机器安装在“不受信任”的站点上,也就是说,我不能保证他们的财务安全。 所以我的问题是…在这种情况下可能发生的最坏的事情是什么? 如果一台机器直接受到攻击,最坏的情况就是打开一个VPN隧道(无论如何都是自动进行的),但是除此之外无法实现。 一旦检测到,我们可以在防火墙级别阻止该IP。 我的思维过程是正确的吗?还是我错过了什么? 编辑: 我也许应该说,客户端机器是无头的(没有video/键盘),不能直接被客户端访问(尽pipe你不能直接保证!)。 这是一个机器2机器(M2M)环境。 这些不是(例如)由销售人员携带的笔记本电脑。
我们有一个testing服务器,我试图转换到HTTPS / SSL,它有一个内部IP和一个外部IP。 我们必须为这个特定的服务器使用自签名证书。 过去有一段时间,我在RTMPS上进行了一些关于Flash的研发,所以我仍然有一个步骤清单,为内部IP创build一个自签名证书,并将其放置在客户端的可信存储区机器。 话虽如此,我需要同时为内部和外部的IP进行工作。 当我尝试使用相同的步骤来生成和信任外部IP的证书时,即使客户端使用外部IP,服务器也会不断尝试与内部IP的证书相混淆。 这显然是通过HTTP标头和获取默认网站的证书有关。 因此,即使外部IP的证书是可信的,客户端机器在浏览到外部IP上的站点时也会不断产生安全警告。 完全抛弃我以前的笔记,关于如何将内部IP置于旁边,这怎么能够同时处理内部和外部IP? 你怎样才能使用自签名证书的两个IP,既不在客户端的浏览器中产生安全警告? 请注意,这不是重复的。 我知道有关于主题替代名称,通配符证书等的信息。但是: 其中大部分是针对Apache的; 我正在使用IIS 7。 大部分是用于Linux的; 我正在使用Windows。 它也倾向于处理域名,这似乎是通配符证书所必需的; 我只使用IP。 在这一点上剩下的一些东西希望我在IIS或Windows中有一些不是普遍可用的选项。 可能剩下的东西有点超过我的头,他们使用的步骤期望一些预先存在的知识,只是不存在。 换句话说,他们跳过步骤,跳转到高级主题等。 假设服务器是IIS 7 / Windows Server 2008 R2,并且客户端计算机使用的是Windows 7(有时是Windows Embedded Standard)和不同版本的IE,那么完成此步骤的明确步骤是什么? 客户端通过IP地址访问页面,Web服务等,我一直在使用OpenSSL(虽然我打开其他选项)。 谢谢。
我们有开发机器,通过httpstesting正在开发的Web应用程序,因为已部署的应用程序通过https运行。 我们在hosts文件中设置了一些内部URL,因此可以使用https:// project-dev和https:// project-www来testing不同的分支。 我们也debugging在Windows Azure开发结构,导致该应用程序通过https://127.0.0.1 。 还有另外一个证书,但是它是由dev结构自动生成的。 为了使我们的浏览器忽略不安全的证书,我们将它们从个人拖动到受信任的根证书颁发机构。 这是否使我们的开发机器以任何方式脆弱? 如果是这样,怎么样?
我目前正在使用自签名证书进行内部开发,并希望确保我知道任何真正的安全风险。 这是我如何设置的。 根证书 创build了根CA .pvk和.cert 在我的本地机器上的“受信任的根证书颁发机构”下安装CA root .cert 在我的开发托pipe服务器下的“受信任的根证书颁发机构”下安装CA根.cert 我的网站证书 从根.cert和.pvk生成另一个证书 在托pipe服务器上将新证书导入为.pfx文件 设置托pipe服务器在IIS中为我的站点使用新的证书 除了根证书的私钥以外,如果有人拿到这些证书,是否还有其他的数据会造成安全风险?
当试图从IIS中删除一个网站这个消息出现。 “与此站点的HTTPS绑定关联的证书也被分配给另一个站点的绑定。 删除此网站将导致其他网站的HTTPS绑定无法使用。 你是否还想继续:“我试图编辑绑定,将其删除,并得到相同的结果。 我们使用通配符绑定我们的网站。 任何build议如何删除这个? 服务器运行Windows Server 2008 R2 Standard,IIS 7.5.7600。
大多数低成本SSL证书提供商确实只validation您是否控制域名。 对于这些types的证书,而不是支付第三方来validation我是否控制域的DNSlogging,为什么不在DNS中“签名”证书? 如果我在服务器上生成密钥对,并在主机名的DNS中发布相同的公钥,我会认为这将是一个等效的安全级别。 我看到devise有两个问题,但都很小: EA证书和validation个人/公司详细信息的高级证书不能这样做。 希望在浏览器中获得绿色栏的组织可以继续这样做。 stream氓DNS服务器的恶意networking可能会将您redirect到其他主机名和不同的可信SSL证书。 也许DNSSEC可以照顾这个拒绝问题? 我没有意识到任何浏览器实现这样的东西,但它似乎是一个很好的方法,至less得到一个可信的,encryption的连接,而不显示可怕的“不受信任的证书”对话框。 除了我上面提到的问题和现有的商业authentication机构对这个想法的反对之外,还有什么其他的原因是不好的?
我是SSL证书及其设置的新手。 我还没有find任何细节,所以我问什么可能是简单的问题。 我要订购一个SSL证书,所以我想知道一个带有指定通用名称example.com的SSL证书是否适用于example.com/app1/payment 。