我正在考虑将AD CAangular色添加到我们的服务器,并使用GPO向所有内部客户端添加一个自签名的可信证书(以便于testing)…有关此问题的一些相关问题是: 如何部署内部authentication中心? 内部可信证书 我的问题是,将使用GPO“推”自签名的证书只为Internet Explorer工作,或将为客户端的任何浏览器工作? 另外,在非浏览器应用程序(如Web服务客户端)的情况下,是否允许客户端信任?
我有一个小的testingnetworking,包括Win2k8 R2机器,企业CA服务器和Exchange 2010 SP1 RU1 CAS服务器。 我想从CA颁发Exchange证书。 作为第一步,我创build了证书请求(根据OpenSSL)包含以下信息: C:\ OpenSSL \ bin> openssl req -in e.req -noout -text 证书要求: 数据: 版本:0(0x0) 主题:CN = mail.mnet.com,OU = IT,O = MNet,L =布达佩斯,ST =布达佩斯,C = HU 主题公钥信息: 公钥algorithm:rsaEncryption RSA公钥:(2048位) …略… 指数:65537(0x10001) 属性: 1.3.6.1.4.1.311.13.2.3:6.1.7600.2 1.3.6.1.4.1.311.21.20:无法打印属性 1.3.6.1.4.1.311.13.2.2:无法打印属性 请求的扩展: X509v3主要用途:关键 数字签名,密钥encryption X509v3主题备选名称: DNS:cas.int.mnet.com,DNS:mail.mnet.com,DNS:autodiscover.mnet.com,DNS:pop.int.mnet.com,DNS:imap.int.mnet.com X509v3基本约束:关键 CA:FALSE X509v3主题关键标识符: F0:7E:53:47:BE:04:0F:5C:78:FD:63:8C:D6:5C:BC:0D:45:A3:4F:48 签名algorithm:sha1WithRSAEncryption …略… 作为第二步,我想将这个请求提交给CA,但是我得到以下消息: 该请求不包含证书信息。 策略模块0x80094801拒绝,请求不包含CertificateTemplate请求属性的证书模板扩展名。 […]
我特指在我们的域控制器(Windows Server 2003 SP2)上自行创build的所有域客户端信任的用于内部使用的根CA,而不是GoDaddy,Verisign等Root CA. 也许他们之间有关系。 我见证了它在去年两次更新。 我想了解什么情况会导致它更新,除了到期…我已经检查过了,在任何情况下都没有到期,这仍然是一年。 我怎么看这个? 此CA也用于LDAPS客户端 – 当证书发生更改时,它们停止工作 – 更具体地说,Apache2 mod_ldap ldaps:// auth在发生这种情况时中断,直到域控制器(也称为根CA)重新启动。 一旦所述服务器重新启动,Java LDAPS://客户端就停止工作,重新获取根CA证书可以解决问题 – 但在重新启动之前,Java客户端非常高兴,只有Apache停止工作。 我只是想了解什么事情可以导致Windows Server 2003根CA证书更新。 这个服务器已经很老了(已经部署了将近7年了),并且在我们说话的时候被逐渐淘汰了(重新启动的时候,这是很伤脑筋的)。 几个服务(RADIUS,打印后台处理程序等)在正常运行2-3个月后停止正常工作,所以我几乎想把它写下来。 Windows更新是否会导致此问题? 更新可信CA的Windows列表导致此证书更新? (有关系吗?) 其他原因? 更新 :Java失败LDAPS身份validation的实际症状,直到其证书更新(根CA或LDAP证书 – 仍在确定…): sun.security.validator.ValidatorException:PKIXpath构build失败:sun.security.provider.certpath.SunCertPathBuilderException:无法find有效的证书path到请求的目标 更详细的说明:Java LDAPS客户端位于一个不是域成员的Linux服务器上,而是被传输到我们的专用networking中。 Apache位于域成员的Windows服务器上。
我的Win2012R2下属企业CA证书已过期。 我已经有了一个新的工作。 我如何删除过期的证书? 我在企业CA的MMC CA控制台的常规选项卡上看到过期的证书,但没有任何删除选项。 我必须在离线CA Root上吊销它,以便从Enerprise CA中消失? 这是一个正常的操作,我没有看到networking中的任何信息说过期的证书是如何从企业CA删除或撤销。
我试图设置与MySQL服务器的SSL连接。 我读过这个和更多的文章https://dev.mysql.com/doc/refman/5.7/en/using-secure-connections.html 还有一件事我还不知道,客户端证书和密钥是否必须使用相同的ca-key作为服务器证书来生成? 我没有访问服务器configuration,所以我不能做任何事情的服务器端。
因为我想在本地域中testingSSL,所以我已经使用本教程安装了Enterprise Certificate Authority。 安装成功,安装后我重新启动DC。 启动时,需要很长时间才能通过“设置用户设置”信息屏幕,而在启动后查看服务器pipe理器时,由于CA中的延迟和一个错误,我会看到各种警告: ID:91 – 无法连接到Active Directory。 Active Directory证书服务将在处理需要Active Directory访问时重试。 有谁明白我可能错过了什么导致启动延迟了吗? 任何提示解决这个问题的赞赏。 更多信息:我只是按照这篇文章中的所有技巧。 一切都很好,但在“确认基本的AD DS容器和对象的权限”部分我缺less他们在公钥服务节点中提到的2个文件夹: NTAuthCertificates对象 域计算机和域用户容器。 不知道这是否是一个问题,只是以为我提到它。 再次更多信息:我发现另一个警告:WinRM服务未能创build以下SPNs 我通过给networking服务在CN上的正确权限来解决ADSIEDIT.MSC中的这个问题。 在这之后,服务器启动得更快。 (必须重新启动并尝试修复更多的警告) 另一个编辑:又一次重新启动,延迟回来,所以SPN修复没有解决缓慢的启动问题 另一个编辑:开始build立一个辅助的DC / DNS服务器,看看是否有助于缓慢启动。 好消息,这将有助于确保许多其他的事情! 最后编辑! Ryan的build议是SPOT! 添加第二个DC / DNS服务器使这个问题马上消失!
我正在为2台Windows 2003服务器域控制器运行证书到Windows 2008 R2进行就地升级。 它会起作用吗,有没有人试过这个,之后我需要做证书服务吗? 谢谢你的帮助。
我们使用内部开发机器的自签名证书和其他内部连接encryption。 证书是使用Microsoft Certificate Server创build的。 我需要将证书服务器从一个旧的DC移到一个新的DC,我想知道证书服务器在不能validation证书并且连接开始失败之前不能使用多久。 我不相信这是直接的,但我不记得是肯定的。
我们有一个自定义的CA为我们的本地域。 根CA证书默认安装在所有公司计算机上,但有时偶尔会有人没有安装它。 如果用户a)使用http访问我们的内部网,或者b)接受服务器证书,我想将用户redirect到一个网站,告诉它发生了什么以及如何安装根CA. 我find的唯一解决scheme如下: <img src="https://the_site/the_image" onerror="redirectToCertPage()"> 这只是一个解决方法,并不是真正的解决scheme。 它可以由其他问题触发,然后丢失证书。 有没有更好的解决办法来解决这个问题?
我正在尝试使用PHP通过LDAP编辑Active Directory中的用户。 我的testing机器使用一个简单的WAMP设置,并没有连接到Windows域。 这台机器可以连接到域控制器上的LDAP就好,没有encryption。 经过反复尝试,我无法通过SSL进行连接,但是我能够使用TLS(ldap_start_tls)来更改用户密码,这是终极目标。 在testing框上没有问题。 实际的networking服务器虽然是域的成员,它拒绝工作。 与TLS的连接失败,并且域控制器报告schannel致命警报48,这意味着在cert链中存在不受信任的根CA. 我已经在Web服务器上安装了证书,并在Web服务器和DC上都安装了根CA证书,但无济于事。 我不确定该从哪里出发。 我究竟做错了什么? 为什么通过TLS的LDAP可以在域外的计算机上正常工作,但不在域的一部分上? 最近我一直在比较所有3台机器上的证书和链。 我发现的唯一区别是工作(非域)Web服务器和DC上的链是三个步骤:COMODO – > COMODO RSA域validation安全服务器CA – >我的证书域上的Web服务器是除了一切都向下移动一层,顶层证书说“USER信任” 这种差异是否导致了这个问题? 在非工作的Web服务器上validation原始证书文件上的命令:颁发者: CN=COMODO RSA Domain Validation Secure Server CA O=COMODO CA Limited L=Salford S=Greater Manchester C=GB Subject: CN=cjtrainor.com OU=COMODO SSL Unified Communications OU=Domain Control Validated Cert Serial Number: bd4d0f693ab0104ac9f1b45003d6138d dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = […]