我试图在IIS 8上实现客户端证书身份validation。我已经在开发计算机上部署了我的configuration,并validation了它在那里按预期工作。 然而,在服务器上设置后,每当我导航到该网站,并提示客户端证书,我select它,并立即得到403.16错误。 失败的请求日志提供错误代码2148204809和消息“证书链已处理,但终止于不受信任提供程序信任的根证书”。 我有一个有效的客户证书和一个有效的CA证书。 CA证书安装在服务器和客户机的计算机帐户上的“受信任的根机构”中,客户机证书安装在客户机上“当前用户”帐户的“个人”区域中。 客户端证书由根CA直接签名,正如我所说的,两者都是有效的。 在链中没有其他证书,并且“受信任的根证书颁发机构”区域中没有中间证书。 IISconfiguration具有sslFlags = SslNegotiateCert,并启用了iisClientCertificateMappingAuthentication。 服务器没有configuration发送一个CTL,我们有SendTrustedIssuerList = 0。 我不明白为什么客户端证书不应该被信任。
我在臭名昭着的“ 安全证书已过期或尚未有效 ”的消息,我知道这是由于我们的(多域名证书,或者我认为这被称为SAN证书?权利)证书已经过期了我们的本地服务器的DNS名称: servername.domainname.local 我发现GoDaddy已经自动更新了我们的证书,通常看起来像是一个小小的办法来导入它,并希望“安全证书已过期或尚未生效”消息消失所有的Internet Outlook客户端,但servername.domainname .local dns不在自动更新的证书上,而是我们的外部DNS名称:mail.domainname.md 从我一直在读我现在需要将servername.domainname.local更改为mail.domainname.md,这使我不幸意识到我必须去手动更改所有Outlook客户端指向新的外部DNS …这也使我认为这意味着与Exchange服务器位于同一networking上的所有INTERNAL Outlook客户端将会去INTERNET获取他们的邮件并返回,而我不想这样做。 我只想让他们直接到本地的Exchange服务器。 这个新的“没有本地域名证书注册”规则是否意味着Outlook客户端(2007)之间的通信stream量从内部到内部到外部到外部到内部的邮件stream量是否发生了变化? 如果是,这是否意味着我必须手动触摸每个Outlook 2007客户端并更改服务器名称以减轻“安全证书已过期或尚未生效”消息? 我是否可以简单地重新运行我已经find的某些证书自签名Powershell脚本,并生成一个新的本地证书,以便摆脱popup消息,让用户暂时避免注册带有外部DNS名称的证书? 如果我需要更改所有outlook客户端引用他们的电子邮件的Exchange服务器名称是否正确,我可以使用此过程来更改它: Exchange 2010:Outlook客户端拒绝更新到新的CAS服务器 我真的很希望有人回答“某事”是可行的。 我不能是唯一一个面对这个问题的人,在证书更新和证书内部/外部规则改变之前,一切都很好。 我有大约60个要求苛刻的用户,有些只是不能容忍ALL的popup窗口。
我有一个网站www.domainname.com和一个已发布的webmail.domainname.com的Exchange地址。该网站是异地托pipe的,Exchange服务器是本地的。 我需要对网站进行扩展validation,但是可以使用Exchange的单域一级证书。 我想购买网站的EV证书,并使用Exchange的StartSSL证书。 这会工作吗? 该EV证书不会破坏自动发现? Exchange如何知道使用StartSSL证书并忽略EV?
我正在考虑部署一个内部CA来replace我们用于内部电子邮件encryption的GlobalSign证书: 内部CA将使用两层架构中的ADCSbuild立,而不是其他软件,即OpenSSL 它将用于的客户端:Outlook 2013,Outlook for Mac 2011 我更喜欢S / MIME格式 我的问题是,Mac客户端能否请求并使用来自CA的证书?
我正在寻找解决我的问题与桑巴回收站.. 我有用户a1,a2和a3,他们都属于集团companya。 具有以下configuration的Samba服务器。 [global] workgroup = WORKGROUP server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 # for syslog logging the following parameter to something higher. syslog = 0 # Do something sensible when Samba crashes: mail the admin a backtrace panic action = […]
在我们的环境中,我们正在推出802.1x。 这样说,有相当多的客户端恢复到一个较旧(过期)的证书,防止他们进行身份validation和获取networking访问权限。 过期的证书是否可以从AD中删除,否则会导致CRL问题? pipe理层希望推进这个项目,但这个authentication问题是一个交易断路器… 谢谢 法案
有一些我无法理解Apache SSL conf上的SSLCACertificateFile参数。 举个例子,我有一个ROOT证书“A”,颁发了中间证书“B”。 然后,我用B产生了几个叶证书,比如说“L1”,“L2”。 现在,根据文档,如果我只想信任L1和L2,我应该把“B”和“A”放在SSLCACertificateFile指向的文件中(如果我只放了证书“B”,Apache给出一个无法find的文件,发行者错误)。 现在,让我们生成另一个从“A”(根)派生的证书“C”。 apache会信任使用证书C的对等方吗? 对我来说,这是一个“是的,它会的”,因为Apache会在SSLCACertificateFile里find“C”的发行者,那就是“A”! 但我不想信任C,我只想相信L1和L2。 我错过了什么吗? 非常感谢!
我有一个由VisualSVNpipe理的svn存储库。 我创build了一个新组,并向该组添加了两个新用户。 当我将这个组附加到现有的存储库并设置读写权限时,这些权限在子目录上不起作用。 我必须在每个子目录上设置权限。 但即使如此,这个组的用户只能读取存储库,他们不能写任何东西。 它适用于新用户,当我创build一个新的存储库。 用户使用tortoisesvn并在尝试写入这个存储库时收到这样的消息 https://开头MYSERVER:8443 / SVN /子目录/应用/主干 access to /svn/subdir/!svn/act/76a4c6fd-fa15-594a-a419-18493dacaf51' forbidden
我需要使用SSL证书来保证我的RDP连接到一个Win2k8服务器,并且我希望使用一个可以在服务器上生成的自签名证书。 我最后一次(在Win2k3机器上)试过这个,在安装证书之后,我不能再使用本地主机访问服务器上的IIS站点,而不使用SSL。 这是一个问题,因为我有很多进行locahost请求的本地进程,并没有指定https作为协议。 我想安装一个SSL证书,只保护我的RDP连接,并不影响IIS。 有没有人有这样的经验?
我在Windows 7上创build了一个自签名证书,并部署了一个带有此证书的网站来试用。 当我configurationHTTPS端点并使用HTTPS协议访问站点时,我得到了预期的“不可信任的证书”错误。 然后,我尝试使用以下PowerShell代码在我的机器上使此证书成为可信的证书: $cert = (get-item cert:\CurrentUser\MY\1D5B3DEF207B70C7426953315A8C06EB38E50FAA) $store = get-item cert:\LocalMachine\Root $store.Open("ReadWrite") $store.Add($cert) $store.Close() 它没有工作,我仍然得到同样的错误。 然后,我从可信任的证书列表中删除它,并再次尝试下面的代码: $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\certs\foo2.foo.cc.cer") $store = get-item cert:\LocalMachine\Root $store.Open("ReadWrite") $store.Add($cert) $store.Close() 那也行不通。 我错过了什么?