我试图configuration一个后缀的邮件服务器使用SMTP的TLSencryption(和IMAP与dovecot,但我还没有到那一点)。 它运行在Fedora 14机器上,我使用webmin来pipe理它。 我有一个Windows域的DC也设置为Microsoft证书颁发机构,我创build了一个GP作为受信任的根CA添加CA. 我有Web服务安装,所以我可以去localhost / certsrv请求新的证书。 无论如何,我想使用Microsoft CA为postfix邮件服务器创build私钥,公钥和CA Cert。 目的是所有使用SMTP(和IMAP)连接到服务器的用户都将使用SSL / TLS,并且会信任服务器,因为他们信任CA. 让我知道如果你需要更多的信息或任何build议。
我已经在2008 R2上build立了一个Microsoft独立CA作为根CA. 我正在尝试设置从属企业CA. 我生成了证书请求,并将其提交给根CA. 然后,我运行以下命令将到期date设置为20年(请求标识为5): certutil -setattributes 5 "ValidityPeriod:Years\nValidityPeriodUnits:20" 然后,我批准了这个请求,但是失败了。 请求状态代码是: The specified time is invalid. 0x8007076d (WIN32: 1901) 请求处理消息是: Denied by Policy Module 0x8007076d, The requested validity period is invalid. Confirm that the validity period or expiration data and time specified in the request does not extend beyond the validity period of the CA […]
我试图让我的IPA证书由openca签署,由于主机名而被拒绝。 The following hostnames were rejected because the system couldn't link them to your account, if they are valid please verify the domains against your account. Rejected: Certificate Authority 是否有人知道如何手动生成证书,以便可以包含所有的信息,或者如果有一些设置,我错过了导致这个错误在ipa服务器的初始安装。 主机是centos 6.3我用dns安装了ipa-server
我们有一个运行独立CA(证书颁发机构)和Web注册的Windows 2008 R2,因此用户可以访问http:// [server-name] / certsrv websote以获取请求证书。 高级证书请求表单(/certsrv/certrqma.asp)允许请求一个带有“标记密钥为可导出”的证书(checkbox)。 见图片: https : //dl.dropboxusercontent.com/u/3724852/web-enroll.png 我想知道是否有一种方式从CA来确定用户是否勾选了“标记键为可导出”选项? – 例如来自CA Pending Requests列表: 见图片: https : //dl.dropboxusercontent.com/u/3724852/ca_pending_requests.png 我们的目标是拒绝“标记密钥为可导出”请求,所以用户不会导出证书并将其安装到另一台计算机中。
我正在开始将我们的内部Microsoft证书颁发机构迁移到支持SHA-2的过程,并且一直未能find有关此过程的后果的答案。 我已经find了这个过程。 看起来内部证书的迁移过程很简单。 但是,我们有多个由我们的CA签署的支持无线连接等设备的证书。 这些服务将需要一些时间才能将新证书复制到远程设备,然后才能使用它,因此我们需要将迁移到证书之外的新证书迁移到SHA-2。 我需要知道的是,如果证书颁发机构上已经存在的SHA-1证书仍然存在,并且如果我们执行迁移过程以迁移到域证书上的SHA-2,将继续运行。
是否有可能在服务器上运行W2k8 Enterprise(AD集成)证书颁发机构,而不是域控制器 – 我现在是一个DC,我不记得这是否是一个要求? 如果是这样,我可以运行dcpromo降级目前是DC的服务器并运行CA而不会使该CA无效? 我认为我的第一个问题的答案应该是“是”,因为服务器只是RODC,但我需要确保不会意外地破坏CA.
我们有一个Microsoft企业证书颁发机构,我想开始签发几个代码签名证书。 但是我不能确定的是:因为我们所有的域/林机器都信任内部的CA,所以当我发出代码签名证书时:所有的客户机系统都会自动地信任代码签名证书来执行任何代码,还是我需要将个人用户的代码签名证书添加到客户的“可信人员”商店(就像您对自签名或第三方证书所做的那样)?
我有一个Windows 2003域控制器失败。 电力供应去了,并采取了一切。 幸运的是,我有2个其他域控制器。 唯一的问题是失败的服务器是证书颁发机构。 我不打算更换服务器。 我需要有证书颁发机构吗? 如果我不replace它会怎么样?
我已经使用以下命令在我的fedora系统上生成了一个根CA证书和密钥: openssl req -new -x509 -extensions v3_ca -keyout \ /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 然后我生成了一个自签名证书,并用上面的代码对Apache进行了签名。 我现在想在我的系统上信任CA,但一直无法这样做。 我已经尝试将cacert.pem复制到/etc/pki/ca-trust/source/anchors并运行已成功运行的/bin/update-ca-trust ,但是当浏览到该网站时仍然不受信任。 我可以手动导入在铬本身的CA,它的工作原理,但我需要一个系统范围的解决scheme。 谁能帮忙?
我最近在一个Windows 2012 R2服务器上设置了一个新的域,并join了独立CA,这个服务器可公开访问并且可以正常validation,但是撤销的证书似乎仍然是validation的。 实际的服务器端撤销过程正常工作,因为撤销的证书在发布后被添加到CRL中,但证书仍然对客户端进行身份validation。 我已经添加了可从外部访问的CDP和AIA位置,并使用以下命令清除了本地CRLcaching客户端: certutil -urlcache CRL delete & certutil -setreg chain\ChainCacheResyncFiletime @now 我知道最后一条命令的最低操作系统要求。 客户端是Windows 7以上。 我正在使用一个简单的testing应用程序在客户端configuration为使用一个证书,所以如果撤销将停止工作,但不是在这种情况下。 如果我从本地证书存储中删除证书,那么它会停止工作,以确信它依赖于这一个证书。 到目前为止,所有的networkingsearch都导致了上述命令,并确保CDP可以在外部parsing,但是我已经介绍了这些问题。 我欣赏和build议