我目前正在为从SHA1到SHA2兼容证书pipe理的各种网站升级SSL证书。 迄今为止,我们一直使用“RSA”作为SSL证书的密钥交换机制,因此我决定在生成replace证书的证书签名请求时继续这样做。 在我的开发环境中,我已经replace了几个证书,并在Web服务器上优先考虑基于SHA256(SHA-2)的密码套件。 我注意到Google Chrome 42和Firefox 37.0.2仍在select基于SHA1的密码套件TLS_RSA_WITH_AES_256_CBC_SHA 。 (我还没有正确testingInternet Explorer) 为了确定Chrome 42和Firefox 37.0.2支持的密码套件,我已经执行了一个networking跟踪,并在ClientHellofind了TLSCipherSuites 。 Chrome 42: TLSCipherSuites: Unknown Cipher TLSCipherSuites: Unknown Cipher TLSCipherSuites: Unknown Cipher TLSCipherSuites: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 { 0xC0,0x2B } TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 { 0xC0,0x2F } TLSCipherSuites: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 { 0x00, 0x9E } TLSCipherSuites: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA { 0xC0,0x0A } TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA { 0xC0,0x14 } TLSCipherSuites: TLS_DHE_RSA_WITH_AES_256_CBC_SHA { 0x00, […]
我的Linux / Apache网站上有一个即将到期的VeriSign证书。 我打算从VeriSign购买续约。 用Apache续签证书的最佳方法是什么? 我是否必须生成新的请求并重新开始? 我应该留意哪些缺陷?
除了定价之外,我应该在购买代码签名证书时考虑哪些因素。 每年在Comodo约100美元,Goddady约200美元,在Verisign约为500美元 为什么这个高差? 除了价格,我还有什么标准? 为什么我不应该购买comodo证书? http://codesigning.ksoftware.net
我试图设置SQL Server在一些敏感数据上使用单元级encryption。 在MSDN上的这个例子看起来很简单: 使用强密码创build主密钥。 创build一个证书。 用证书创build一个对称密钥。 按照需要使用EncryptByKey函数对数据进行encryption,如下所示: EncryptByKey(Key_GUID('SensitiveData_Key_01'), MySensitiveDataColumn) 使用DecryptByKey函数解密数据,如下所示: CONVERT(varchar, DecryptByKeyAutoCert(cert_ID('MyCertName'), NULL, MySensitiveDataColumn)) 所以考虑到上面的用法,假设我的服务器死了。 我需要在全新的Windows机器(或VM)上重新安装SQL Server,并从备份恢复数据库。 如果我恢复数据库备份将encryption/解密继续正常工作? 如果没有,我需要保存/备份哪些数据才能在发生灾难性故障的情况下恢复数据? 从另一个关于encryption层次结构的MSDN文章的图表来看,我的猜测是我需要备份下面的一些或全部内容: 主密钥的密码 主密钥? 证书? 对称密钥?
我经常在我的一个EC2实例的Windows错误日志中看到这个错误: Certificate for local system with Thumbprint aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa is about to expire or already expired. 看来EC2使用自签名证书与EC2networking上的某个Active Directory服务进行通信。 它使用上面的证书与此进行通信,并尝试定期自动更新。 看来这个机制失败了。 这会产生什么问题? 我该如何解决? 我试图按照这里的说明: http : //technet.microsoft.com/en-us/library/cc774595(WS.10).aspx 但是找不到证书 – 指纹是MD5或更典型的SHA1哈希。 我在mmc / Certificates中search了这两个标准,但都没有find。 我该如何解决这个问题呢?
我们有一个自定义的CA为我们的本地域。 根CA证书默认安装在所有公司计算机上,但有时偶尔会有人没有安装它。 如果用户a)使用http访问我们的内部网,或者b)接受服务器证书,我想将用户redirect到一个网站,告诉它发生了什么以及如何安装根CA. 我find的唯一解决scheme如下: <img src="https://the_site/the_image" onerror="redirectToCertPage()"> 这只是一个解决方法,并不是真正的解决scheme。 它可以由其他问题触发,然后丢失证书。 有没有更好的解决办法来解决这个问题?
对于我的公司,我开始pipe理越来越多的域名; 并为这些领域提供越来越多的证书。 存储生成的基本KEY和CSR文件的好方法是什么? 我正在考虑在我们的私人代码服务器上的git回购。 虽然这似乎不够安全。 你会build议和其他系统,或者如何可以像git一样的源代码pipe理系统安全地做到这一点? 另外:是否有意义的存储使用的CRT文件和CA文件?
我试图连接到多个不同的LDAPS服务器。 我见过的很多文档build议TLS_REQCERT never设置TLS_REQCERT never ,但是这TLS_REQCERT never我感到非常不安全,无法validation证书。 所以我已经设定demand 。 我见过的所有文档都说我需要用指向.pem文件的TLS_CACERT指令更新ldap.conf。 我已经得到了来自LDAP服务器#1的证书设置的.pem文件,并且ldaps连接正常。 我现在必须与另一个使用不同证书的组织中另一个分支机构中的另一台LDAP服务器进行安全通信。 我没有看到如何做到这一点的文件,除了1页说,我可以简单地把多个(不链)的证书在同一个.pem文件。 我已经完成了这一切,一切工作hunky dorey。 但是,当我告诉一位同事我做了什么时,他听起来好像天空正在坠落 – 将两个非链式证书放入一个.pem文件显然是自从…以来最糟糕的事情。 有一个更可接受的方式来做到这一点? 或者这是唯一被接受的方式?
我只是尝试通过https进行SVN服务器的SSLauthentication。 我希望客户证书允许授权人员检查他们的存储库。 <VirtualHost 37.187.96.147:443> ServerName toto.com:443 DocumentRoot /var/www/html/ SSLEngine on SSLProtocol all SSLCipherSuite HIGH:MEDIUM SSLStrictSNIVHostCheck on SSLCertificateFile /etc/ssl/certificate-authority/certs/svn-webserver.crt SSLCertificateKeyFile /etc/ssl/certificate-authority/private/svn-webserver.key ErrorLog /var/log/httpd/svn-error_log CustomLog logs/svn-access "%t %u %{SVN-ACTION}e" env=SVN-ACTION SSLCACertificateFile /etc/ssl/certificate-authority/certs/ca.crt SSLVerifyDepth 5 SSLVerifyClient require SSLVerifyDepth 1 LogLevel debug <Location /svn/> DAV svn SSLOptions +FakeBasicAuth +StrictRequire SSLRequireSSL AuthName "Depot SVN namek" AuthType Basic AuthBasicProvider file AuthUserFile […]
我的团队最近已经将Windows 7移植到我们的开发者机器上。 我们正在尝试configurationIIS进行应用程序testing。 我们的应用程序需要SSL和客户端证书才能进行身份validation。 我做了什么: 我已将IISconfiguration为要求使用SSL,并在SSL设置下要求(并尝试接受)证书。 我已经创build了https绑定并将其设置为正确的服务器证书。 我已经在当前用户和本地机器商店中正确安装了软证书的所有根和中间链证书。 问题 当我浏览到网站时,SSL连接build立,并提示我select一个证书。 问题是证书是我的公司创build的证书,在应用程序中使用是无效的。 我没有给我使用MMC和IE安装的软证书。 我们能够将我们开发机器的软件证书用于承载应用程序的Windows 2008服务器。 我做了什么: 我试图将根CA复制到公司证书根目录所在的当前用户和位置机器账户存储的每个文件夹位置。 我的问题: 我可以在其他地方错误地处理证书吗? 是否有可能阻止其他证书使用的本地/组策略? 对于IIS,从2008年起,Windows 7上应该做什么(如果有的话)不同? 谢谢你的帮助。