我想保留我们网站的SSL密钥。 它存储在2个USB存储棒上,一个放在保险箱里,另一个保持安全。 然后我是唯一一个将它应用到Web服务器的人,因此它是完全安全的。 除… 在IIS上至less可以导出密钥。 所以,任何pipe理员都可以获得密钥的副本。 有没有办法解决? 或者按照定义,所有pipe理员都可以完全访问所有密钥? 更新:我有我完全信任的系统pipe理员。 导致这种情况的原因之一是他们中的一个退出了(他们有一个小时的通勤时间,5分钟到新的通勤时间)。 虽然我信任这个人,但正如我们在某人离开时禁用他们的Active Directory帐户一样,我想我们应该有办法确保他们不能保留使用我们的SSL的能力。 而最简单的是,如果我是唯一拥有它的人。 我们的证书在一月份到期,所以现在是时候改变做法了。 根据答案,看起来我们不能。 因此,这导致了一个新的问题 – 当有人获得证书的时候,获得新的证书并撤销现有的证书是标准做法。 或者,如果离开的人是值得信赖的,那么我们是否继续拥有我们所拥有的证书?
我们需要SSL证书来方便less数员工进行远程访问和pipe理。 我不想让一群非技术用户在他们的家用电脑上安装一个自己发布的证书,所以我宁愿从一个值得信赖的供应商处购买一个。 我们不会把它用于任何types的电子商务或类似的东西,所以似乎很难certificate支付一些大牌供应商所要求的价格。 谁是一些很好的低成本提供者考虑? 在不同价位的产品之间有什么重要的区别? (证书业务真的和现在一样多吗?)
我想知道如何手动(使用openssl而不是puppet ca命令)创build可以由Puppet使用的CA? 目标是创build这样的CA,将其部署到多个puppetmasters上,而不是通过puppet cert命令在其上创build证书。 任何想法如何做到这一点? 我只能find这样的东西: https ://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster但它没有工作 – 在创buildCA和客户端证书并将其应用到puppetmaster后,它抱怨: Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both the […]
任何人都可以推荐一个免费和简单的Windows或Linux的OCSP服务器?
对于域example.com上的SSL证书,有些testing告诉我这个链是不完整的,而且由于Firefox保留了自己的证书存储,所以在Mozilla( 1,2,3 )上可能会失败。 其他人告诉我很好 ,就像Firefox 36,它告诉我,证书链是好的。 更新:我在Windows XP和MacOS X Snow Leopard上对Opera,Safari,Chrome和IE进行了testing,它们都正常工作。 它只在两个操作系统上的Firefox <36上失败。 我没有访问Linux上的testing,但对于这个网站,不到1%的访问者,大多数可能是机器人。 因此,这回答了原来的问题“这个设置是否会在Mozilla Firefox中显示警告”以及“这个SSL证书链是否被破坏?”。 因此,问题是如何find我需要在ssl.ca文件中放置哪些证书,以便Apache可以保证它们保持Firefox <36不被窒息? PS:作为一个侧面说明,我用来testing证书的Firefox 36是一个全新的安装。 没有抱怨的机会,因为它在上次访问使用相同链的站点时下载了中间证书 。
我的一个SSL证书(仅限简单域validation)即将在Windows 2003 IIS 7.0服务器上过期。 我从另外一家供应商那里得到了更好的报价,而最初签发我的证书的人不想谈判更低的价格。 无论如何 – 通过IIS中的证书向导,我可以select“更新”或“卸载”,然后安装新的证书。 所以 – 我可以使用“更新”选项创build一个证书请求,并将其传递给新的供应商,或者我需要从“新”请求开始? 对于新供应商来说,以前的证书是否由另一个签名者签发? 问题是,我不想停止服务器(至less是安全部分),因为删除了旧的证书并创build了新的CSR,并等待新的证书安装。 或者,是否可以select在不删除旧证书的情况下准备新的CSR?
在Windows 2003中很简单,可以使用winhttpcertcfg.exe( 下载 )为“NETWORK SERVICE”帐户访问证书。 我现在使用Windows Server 2008 R2与IIS 7.5,我无法find在哪里以及如何设置证书存储区中的证书的权限访问权限。 本文介绍了如何在Vista中执行此操作,并将winhttpcertcfgfunction添加到证书mmc中,但似乎无法与导入的证书一起使用,或者在Server 2008 R2上无法使用。 那么有没有人有任何想法如何让IIS 7.5从证书存储区读取证书的正确权限? 还有什么帐户从IIS 7.5需要权限。
我的puppet.conf上的主人 [master] certname = myname.mydomain.com ca_server = myname.mydomain.com certdnsnames = puppet;puppet.local;myname.dyndns.org;hivemind.local; 我的理解与certdnsnames定义如下应该工作: puppet agent –server myname.dyndns.org –test 但我得到以下错误: err: Could not retrieve catalog from remote server: hostname was not match with the server certificate 如何避免这个错误? 如何正确定义certdnsnames? 我发现有关这个不同的文档,但没有一个简单的例子。 ii使用“,”分开我不能签字。 我也看过类似的语法 certdnsnames = puppet:puppet.intra.myserver.fr,puppet.myserver.fr:puppet,puppet:puppet,puppet.intra.myserver.fr,puppet.myserver.fr http://projects.puppetlabs.com/issues/5776 但是对于我来说,还不清楚何时添加“傀儡”,何时不能。
运行Exchange 2007和IIS6.0的SBS 2008 公司A有两家在同一屋檐下经营的公司。 为了适应电子邮件,我们有3个Exchange帐户每个用户来pipe理这个。 所有用户使用他们的公司A帐户login到域。 CORP \ user [email protected] CORP \ user-companyb [email protected] < – 仅用于电子邮件 CORP \ user-companyc [email protected] < – 仅用于电子邮件 电子邮件在内部和通过OWA工作正常。 为需要访问companyB和companyC电子邮件的远程用户设置Outlook时存在此问题,Outlookpopup证书错误。 SSL证书SAN具有以下DNS名称: webmail.companyA.com www.webmail.companyA.com CORP-SBS CORP-SBS.local autdiscover.companyA.com 远程访问公司C电子邮件地址的用户告诉我,这从来没有发生过。 这开始于首席执行官自己改变DNS提供商,并在这个过程中原来的DNS设置丢失。 他提到了一些正在创build的SRVlogging,这个logging纠正了这个问题,但这是关于它的。 寻找如何正确解决这个问题的指导。
我正在IIS 7.5中创build自签名SSL证书供内部使用。 我所面临的问题是我想要创造它们,使它们保持10年,因为它只是一个开发环境。 我在IIS 7.5中看不到选项,您可以在其中指定证书的有效时间。 默认情况下,它会创build一年内过期的证书。 有没有办法可以改变这个,所以创造它们,所以它们有效10年?