现在,我正在执行以下操作来请求来自CEP服务器的证书: 打开gpedit.msc 在计算机configuration> Windows设置>安全设置>公钥策略下,双击“证书服务客户端 – 证书注册策略” 启用 inputCEP URI 切换到用户名/密码authentication validation(提供信誉) 打开MMC,并导入证书pipe理单元 转到证书>个人 右键单击>申请新证书 input“更多信息”(CN,DNS名称等) 提供信誉 在此之后,我有一个CEP的证书; 但是,这是一个手动操作的痛苦过程。 有什么办法可以在Server 2008(和2012)中自动化吗? 我可以find关于此的所有信息,告诉如何安装CEP服务,使服务器成为注册策略服务器(关于实际请求新证书或在客户端启用它)。 是否有可能自动化呢? 看起来这个过程在HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptography下添加了很多数据。 我可以手动添加这个(并欺骗一个GUID / ServiceID)?
我知道它已经被问到,但是尽pipe经过了很多小时的研究,我找不到一个可行的解决scheme。 我试图在我的服务器上安装我的根证书,所以内部服务可以使用SSL相互绑定。 什么应该知道新的根CA: Apache httpd和PHP OpenLDAP客户端 Node.js的 对于Apache我需要一个PHP应用程序来了解根证书,所以如果一个站点连接到另一个SSL网站(由相同的CA签名),它工作正常,它不会抱怨自签名证书。 对于OpenLDAP,我相信它和PHP一样,它使用的模块是相当老的,它是Net_LDAP2,安装了PEAR。 我尝试编辑本地openldapconfiguration,但它看起来像系统没有使用它。 最后Node.js,我用于parsoid。 node.js服务器必须信任CA才能build立良好的SSL连接。 我尝试将证书添加到/etc/pki/tls/certs/ca-bundle.crt,但成功率很低。 虽然httpd没有看到根CA,我设法使其他服务工作,如tomcat和389。 感谢您的支持。
我们的域名拥有GlobalSign域名证书。 我已经将证书安装到IIS中,并将GlobalSign域中间证书添加到本地计算机的中间证书颁发机构 似乎IIS不通过中间证书发送(在Firefox中导致错误),只是域证书。 我已经通过OpenSSL和GlobalSign自己的健康检查器等各种网站进行了validation。 在IIS中,我可以通过链接,每个证书是“好”,没有select安装任何指示他们已经是。 任何想法可能是错的?
我在使用Java 1.7的Java keytool实用程序生成带主题别名的密钥对时遇到了问题。 我试图按照这里find的说明。 我使用的命令示例如下(此示例已经过testing): keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1 然后我使用以下命令生成CSR: keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr 其中生成以下证书请求: —–BEGIN NEW CERTIFICATE REQUEST—– MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVN0YXRlMREwDwYDVQQHEwhBbnl3 aGVyZTERMA8GA1UEChMIU3BhbSBJbmMxEDAOBgNVBAsTB1NwYW0gTkExGTAXBgNVBAMTEHNwYW0u ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCExCFepag4KH+j8xgR BjI58hOEiFuSrkgbL5/1steru3+FwDb98R8XO90kKreq/Qt7s/oHbTpFOwotdkGVxA2x44/R5OYr Qdfk3v32ypJTxms/8tu0Zi9wbH2ruA/h5AhtZ9TV/xLPFSe5eFvN0pUl90p+9zfd0ZCmPQ69k3Lb JWlw7eIs7sD1yRqlYZL+HJWrsdtYTHjpqEURcZ5jN0H2YeM/eBWZr7eMKrT4xGRwotFj9AfHCiUj HH4XTJgkrbBtw96pkPYMj/C7TfUE/slCxafEBIkVKlkHLBb9ra3PVfW/QoDGsf2FjtNKOKFxyy7p A3A5ufdvrCVZ5EKWGrbbAgMBAAGgMDAuBgkqhkiG9w0BCQ4xITAfMB0GA1UdDgQWBBS1GytnaPx2 SAZCyto2BKh7Yw7bgTANBgkqhkiG9w0BAQsFAAOCAQEAIiwY6RIIJkgUQsdK2XiLJDhBnoxfsKjQ […]
我正在使用apache2(2.2.3)服务的网站,我希望有客户端证书进行身份validation。 由于我只需要validation提交特定证书的用户是否是过去提供过该证书的同一个用户,那么签署证书的CA就无关紧要了。 似乎使用SSLVerifyClient require需要SSLCACertificateFile … (或SSLCACertificatePath … ),然后apache将只接受由该文件/path中的CA签名的证书。 有没有办法让apache接受任何客户端证书,无论发行/唱歌CA? (即,validation客户端是否具有相应的提供公钥的私钥,但不打扰validation签发/签署CA)
我试图从IIS 7pipe理单元中创build一个自签名证书,但运气不大。 提示input证书的友好名称时,input名称,然后单击“确定”,然后显示: 执行此操作时发生错误。 详细信息:访问被拒绝。 我正在使用具有完全pipe理权限的帐户login。 有任何想法吗?
我的Win7盒子上的证书存储是不断悬挂的。 注意: C:\> 1.cmd C:\> certutil – ? | findstr /我平 -ping – Ping Active Directory证书服务请求界面 -pingadmin – Ping Active Directory证书服务pipe理界面 C:\>设置PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-ping命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadmin命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:05:28.79)> set PROMPT = $ P $ G C:\> 说明: 第一个命令显示了certutil的–pingadmin和–pingadmin参数 尝试任何ping参数失败,30秒超时(在提示中看到当前时间) 这是一个严重的问题。 它在我的应用程序中将所有的安全通信都locking 如果有人知道如何解决这个问题,请分享。 谢谢。 PS 1.cmd只是这些命令的一批: […]
在testing环境中,由于Windows拒绝信任我们在我们的自签名证书,因此我目前正在testing一些需要很快部署的事情(实际上已经是事实,但是您知道截止date将如何…)孤立的testing环境。 虽然我可以用“真正的”证书和一些DNS技巧来解决这个问题,但是出于安全/条块分割的原因,我没有证书。 我试图连接到一个名为Zimbra的基于Linux的电子邮件服务器; 它使用自动生成的自签名OpenSSL证书。 虽然谷歌已经特别提到的页面是指具有IIS自签名证书的IIS网站,但我认为生成它的方法并不重要。 根据我在这里和这里find的说明,这应该是将证书安装到本地计算机的受信任根证书颁发机构存储中的一个简单问题。 我所做的,以及手动复制证书,并通过MMCpipe理单元直接导入。 注销和重启不会改变任何东西。 这是我每次获得的证书错误: 这里是authenticationpath(扰stream板:它只是证书本身): 最后,证书安全地藏在本地计算机的证书存储区中,正如我发现的说明应该是这样: 这些指令特别引用了Vista(当然,第二个没有提到OS)和IIS,而我正在使用Server 2012 R2连接到基于Linux的服务器; 在导入向导中有一些不同之处(比如我可以select导入当前用户或本地系统,虽然我已经尝试了两种),所以也许有一些不同之处,我必须在这里做? 一个地方的设置,我没有发现,必须改变,使它真的相信我已经告诉它信任的证书? 使Windows Server 2012 R2信任自签名证书的正确方法是什么?
我怎样才能限制(RDP)访问Windows服务器不仅通过用户名/密码,而且还与客户端证书? 想象一下,创build一个证书并将其复制到我想从中访问服务器的所有计算机。 这不会像基于IP的规则那样受到限制,反而会增加一些灵活性,因为不是每个电脑/笔记本电脑都处于某个域或修复IP范围。
我有幸每周处理5个SSL CSR,在将它们传递给我们的CA之前检查其有效性。 我在Ubuntu机器上使用OpenSSL来检查它们是否有效,testing诸如正确的OU名称,合理的CN,密钥大小> = 2048位等等,因为我们的请求有时是不正确的。 有一天,我收到一个IIS7机器的更新请求。 我不知道如何阅读这个,使用OpenSSL。 这是有效的,因为我的CA已经接受了… 'file(1)'表示这是一个“RFC1421安全证书签名请求文本”,这就是我说的约50%的CSR(其余是“PEM证书请求”)。 $ head iis7rcsr —–BEGIN NEW CERTIFICATE REQUEST—– MIIQsQYJKoZIhvcNAQcCoIIQojCCEJ4CAQExCzAJBgUrDgMCGgUAMIIJegYJKoZI hvcNAQcBoIIJawSCCWcwggljMIIIzAIBADCB2zELMAkGA1UEBhMCTloxDTALBgNV BBEMBDkwNTQxDjAMBgNVBAgMBU90YWdvMRAwDgYDVQQHDAdEdW5lZGluMRwwGgYD … … openssl req ,它读取CSR(PKCS#10)无法理解它… $ openssl req -in iis7rcsr -text unable to load X509 request 5156:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1316: 5156:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509_REQ_INFO 5156:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:748:Field=req_info, Type=X509_REQ 5156:error:0906700D:PEM routines:PEM_ASN1_read_bio:ASN1 lib:pem_oth.c:83: 本文来自MSDN博客上的Andreas Kleinbuild议IIS7更新CSR是一个PKCS#7容器,具有基于当前证书的CSR和签名…但是我仍然无法读取它。 […]