我们有我们网站的内部testing版本,可以通过www.mysite.com.test(通过内部DNS区域)获得 我想为www.mysite.com.test创build一个SSL证书,以便我们的testing人员不会收到无效的证书警告(“真实”证书绑定到www.mysite.com) 我知道如何使用OpenSSL创build自签名证书,但是我想知道是否有某种方式将证书颁发机构与我们的Active Directory域相关联,这样,属于域成员的PC上的任何用户都将接受自签名证书,而不必显式安装它(或将自签名证书颁发机构明确安装为受信任的颁发机构) 有任何想法吗?
我正在尝试在Windows Server 2008 R2上创build一个SSTP VPN,我安装了networking策略和访问服务以及AD证书Autority服务, 我创build了我的根证书并生成了一个服务器身份validation证书(以服务器的FQDN命名),validation并将其安装在服务器上,我还在需要连接的客户端上安装了CA证书,但是当我尝试连接,我得到这个错误 无法为xxx.netyxia.net-DC-CA的CA证书0构build证书链。 证书链处理完毕,但终止于信任提供程序不信任的根证书。 0x800b0109(-2146762487)。 (xxx.netyxia.net是(改变的)主机名),证书被部署在服务器和客户端上..我search了几个小时…没有:( 有什么想法吗? 谢谢
我的目标是在组织中实现Java部署规则集,但是当我们有一个通过Active Directory运行的工作CA时,我不想为代码签名证书支付第三方authentication机构。 我已经按照我认为是正确的程序来完成这一任务,但是当我最终去运行任何Java小程序时,我收到以下错误: 无法validation自签署的部署规则集jar 我遵循的步骤是: 导出我们的根CA证书 在JRE安装path中将根证书导入到cacerts中 将根证书导入到个人密钥库 使用keytool为个人密钥库的新证书生成CSR 使用certreq将CSR提交给企业CA,并使用“代码签名”模板 将该证书导入个人密钥库 创build了一个非常基本的部署规则集,并将其编译为jar 从第6步起,在个人密钥库中签署带有证书的jar 将签名的jar复制到\ Windows \ Sun \ Java \ Deployment \ 上述步骤都完成没有错误 – 没有关于无效证书链或类似的。 我可以在Java控制面板中看到根CA证书,当我点击控制面板中的部署规则集链接并查看其证书时,我会看到来自步骤6的证书以及它的父CA,它们都有将来的过期date并据我所知可以更正信息。 但是在运行任何小程序时我仍然收到validation错误 所以 – 是不是可以做到这一点,我们必须支付证书? 还是我(希望)做错了什么? 如果有人有任何的见解,将不胜感激,谢谢!
通过“通过使用”我的意思是: 是MTA代理商从我的服务器接收电子邮件将拒绝我的电子邮件 如果没有,他们会为我的电子邮件做出其他types的不好的待遇 (标记为垃圾邮件,不安全,所以…)? …还是坚持使用非encryption电子邮件是更好的主意?
我在看这个网站 ,出于兴趣,我正在浏览Windows 8.1上的Chrome 32中的证书,并查看了证书。 我看到了这个奇怪的意图,除了平时: 确保远程计算机的身份 向远程计算机certificate您的身份 我也看到了这个: 2.16.840.1.113733.1.7.23.6 这是什么意图/许可,它是做什么的?
我从来没有在网站上使用HTTPS,现在想试试它。 我做了一些研究,但不知道我是否理解了一切。 非常感谢答复和更正。 开始了: 要使用https,我需要为我使用的Web服务器生成“私有”和“公共”密钥。 在我的情况下,它是apache(手册: http : //httpd.apache.org/docs/2.0/ssl/ssl_faq.html ) Https协议应绑定到端口443。 问:怎么做? 是否默认完成? 我在哪里可以检查configuration? joinhttps。 问:如果我在浏览器中看到https,是否意味着页面上的数据stream量被encryption了? 页面上的任何表单都会通过https提交数据? 虽然所有的数据都会被encryption,但浏览器仍然会显示难看的红色信息。 这只是因为他们对我的证书一无所知。 他们有大约一百个预先安装的证书,但我显然不是其中之一。 但数据是由httpsencryption的。 如果我想让浏览器识别我的证书,我需要由预先安装证书(例如thawte,geotrust,rapidssl等)的证书颁发机构(ca)签名。 UPD:阅读关于ssl / tsl: HTTPS连接的第一个毫秒 ,我发现它非常丰富。 这里发布了如何在服务器端使用ssl / tslencryption的PHP代码示例。
要使用openssl创build一个包含主机替代名称(SAN)的证书请求,我可以使用像这样的configuration文件(剪切): [req] req_extensions = v3_req [ v3_req ] subjectAltName = @alt_names [alt_names] DNS = xyz.example.com 如果我需要提供专有名称或用户主体名称,应如何为用户证书申请configurationalt_names部分? 例如,我试了一下 [alt_names] UPN = [email protected] 但是我得到这个错误: Error Loading request extension section v3_req 5356:error:22075075:X509 V3 routines:v2i_GENERAL_NAME_ex:unsupported option:.\crypto\x509v3\v3_alt.c:557:name=userPrincipalName 5356:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:.\crypto\x509v3\v3_conf.c:93:name=subjectAltName, value=@alt_names
当证书颁发机构到期时,它是否消失了? 有没有办法更新它? 或者我应该只是生成一个新的证书? 我真的不想做一个新的,因为这个authentication机构已经被我们的许多客户所信任。 我正在处理一个传统的混乱,只是发现我们的CA将在2015年到期。 谢谢!
活网站上的自签名证书有任何好处吗? 我知道在IIS 7中,你有能力自签名证书,我想知道如果使用它作为从CA购买一个先驱,是一个好主意。 您是否从CA签名的证书中获得了相同的encryption权益,或者我是否会混淆术语? (运行https协议)
我在使用nginx进行OCSP装订时遇到了麻烦。 所以我启动openssl ocsp守护进程,然后访问我的站点。 然后它说无效的请求。 我正在使用私人PKI和CA. SSL密钥:8192bit DH密钥2048bit root@wilhelm:/etc/ocsp# openssl ocsp -index index.txt -port 9999 -rsigner oscp.crt -rkey oscp.key -CA cacert.pem -text -out log.txt Waiting for OCSP client connections… Invalid request root@wilhelm:/etc/ocsp# ls cacert.pem index.txt index.txt.attr index.txt.attr.old index.txt.old log.txt ocsp.crt ocsp.key oscp.crt oscp.key root@wilhelm:/etc/ocsp# 服务器正在工作,但我用openssl ocsp -CAfile ../cacert.pem -issuer ../cacert.pem -url http:// * url *:9999 -resp_text […]