Articles of certificate authority

签署通配符证书的子域

我想使用我的已发布的通配符证书为子域Eg * .bar.com – > foo.bar.com生成SSL证书 原因是我想尝试防止多个应用程序在同一个域上运行导致的一些XSS弱点。 我不知道这是否可能,希望有人能告诉我,如果是或不是。

我需要什么样的SSL证书,我在哪里得到它?

我想要在我的域中使用SSL的子域名。 主要区别在于每个子域由不同的公钥/私钥对托pipe。 我举个例子来说明一下: 用户发送他的公钥并从foo.com请求子域名 用户被添加并分配了子域名栏(bar.foo.com)。 用户公钥存储在bar.foo.com以供将来validation 用户转到bar.foo.com并查看validation的SSL连接。 从我所收集的信息来看,这意味着我需要创build一个CA,这很好。 问题是,从我记得,一个CA需要一个特殊types的SSL证书。 我怎么去得到这个?

CA证书推荐或不推荐一个博客包含网站?

我正在使用Apache构build一个简单的博客网站,并按照如何在我的服务器上启用SSL / TLS: http : //docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html 对于本网站的目的,最佳做法是获得CA可信证书吗? 在服务器上启用SSL / TLS并使用自签名证书的操作是否会提高安全级别,而不是仅使用HTTP或使用SSL / TLS,而没有CA也没有意义? 任何反馈将不胜感激,以获得更多的理解。

有没有办法在Windows上或浏览器级别的任何主stream浏览器上完全禁止与操作系统级别的SSL相关的警告?

我明白为什么需要SSL警告,以及为什么用户,即使是经验丰富的用户,应该防止轻易忽视它们。 我也明白,一般来说,在您的日常工作站上工作时,“白名单”或值得信赖的不可信的根CA方法是最好的方法,您也可以通过银行或交易或通过电子邮件发送信息。 也就是说,如果我在一个没有访问互联网的全新configuration的testing盒上使用Internet Explorer 8 ,我不需要经常点击一个或两个button来pipe理服务器, https://my-vm-213.goofy.local或任何情况下可能。 如果我们正在处理那些要大量上下左右的主机,那么我花费一点时间来添加根本的CA,这是愚蠢的,并且没有理由在其中存在小时。 我的问题是:有没有办法“永远通过”SSL检查: 在Windows操作系统级别? (由Certificates mmc GUI和certutil等pipe理的同一个子系统 在浏览器级别? – 适用于任何主stream浏览器,尤其是Internet Explorer 在类Unix系统上尽可能低的水平? (我认为这是OpenSSL但我不知道) 对我来说,这将是这样的: ( X ) Always validate SSL certificates (DANGEROUS!) 下面更合理化 如果您知道您在实验室环境或新开通的环境或小型企业环境中工作,严格遵守与系统有关的事项,那么当您始终抑制保密性或完整性(或者意识到缺乏)时, SSL警告,因为你已经知道他们将出现。 我想你可能会争辩说:“好吧,如果有人知道你对此非常松懈,并通过专门针对那些你想压制的东道主来利用它,那么这个论点只有在下列情况下才有效:a)有明显的手段利用IE8浏览器兼容性testingIntranet应用程序,b)虚拟机networkingconfiguration错误,实际上允许它通过网关发送或接收数据包等等,但最重要的是, c)你曾经做过任何事情因为这个警告的结果不同 ,你知道会发出警告 。

如何设置用于OS X和iPad的802.1X基础架构?

在我的工作场所,我负责为我们的Apple设备设置基于802.1X无线authentication的机器证书。 这似乎在客户端,这将由configuration文件处理(特别是系统configuration文件,因为它是我们希望颁发证书的设备,而不是用户,因为设备没有分配给单个用户)。 但是我还没有弄清楚如何设置其他必需的组件,特别是RADIUS服务和Macauthentication机构。 我发现其证书助理中的钥匙串访问能够创build证书颁发机构,但是这适合企业使用吗? 它是否链接到开放目录? 或者,如果更简单,我怎样才能将Mac连接到基于Windows的802.1X基础设施? 我们有一个Server 2008 R2证书服务和networking策略服务(RADIUS)服务器,它已经validation了我们的Windows客户端。 我尝试按照Apple( http://support.apple.com/kb/HT5357 )的这些说明进行操作,但是无法使其工作(尝试安assembly置文件时,客户端无法获取证书 -计算机证书部分中的第10步)。 我们正在运行OS X 10.8.5 Mountain Lion(尽pipe我们希望有一个解决scheme可以和新的10.9 Mavericks一起工作,因为我们预计由于它是免费的,所以在某个时候可以转换到这个版本),而且我们有一台Mac OS X Server安装了Open Directory的主机,也绑定到我们的Windows Active Directory。

EFS文件访问问题

在我的组织中,我有一个使用AD CS部署EFS的最后期限,而且我正在使用一个单独的 Windows Server 2003框(它是根CA),并且是负责证书注册的相同服务器。 所有的configuration,注册,发行等工作都很好,除了创build文件并对其进行encryption之后, 只有文件创build者和恢复代理才能访问该文件 。 即使在将证书添加到文件之后 ,其他人也会得到“拒绝访问”错误。 我已经使用虚拟环境(vmware)一遍又一遍地重新创build相同的场景,并且它完美地工作 ,但是当我在真实服务器中应用相同的步骤时,除了其他用户在其他用户获得“访问被拒绝”试图访问encryption的文件。 难道我做错了什么? 这可能是什么原因? 如果你需要任何细节,请问我 。 谢谢

无法使用orapki将JKS密钥库转换为Oracle Wallet

我已经使用keytool生成jks密钥库,并使用jks密钥库我有csr。 我已经发送给Signing权限的同一个csr。 签名机构已经使用keytool命令给出了我已经导入的可信证书(根,中间和服务器)。 导入后,我了解了Oracle Wallet上的密码策略限制(字母数字,特殊字符和最小长度为8的组合),并且要将jks转换为钱包,密码必须相同。 我已经使用以下命令更改了密钥库密码(storepasswd,keypasswd): keytool -keypasswd -alias <Alias> -keystore KEYSTORE.jks keytool -storepasswd -keystore KEYSTORE.jks 这我已经成功了。 我使用OHS orapki工具使用以下命令将jks keystore转换为oracle钱包: orapki wallet jks_to_pkcs12 -wallet <WALLET> -keystore KEYSTORE.jks 我得到以下例外 Exception : oracle.security.crypto.util.InvalidFormatException: Malformed attribute type 我在网上寻找这个例外,但没有find一个很好的参考。 请提供一些帮助,问题是在哪里或我犯了什么错误?

如何保持客户端证书的恢复列表

我有一个运行在Windows Server 2012,IIS的网站。 用户使用客户端证书进行身份validation。 我曾经使用证书颁发机构MMCpipe理单元颁发客户端证书。 由于用户数量增长迅速,我正在使用BouncyCastle库和一些C#代码批量创build客户端证书。 我相信我也可以使用Makecert或Openssl来做到这一点。 在这些证书中,我将撤销列表条目设置为“证书颁发机构”pipe理单元使用的相同值。 IIS接受这些证书就好了。 我的问题涉及证书撤销。 在服务器上发布的客户端证书很容易被使用MMCpipe理单元吊销,但假设我需要撤销这些新的证书。 尽pipeIIS接受这些证书,但它没有任何logging,所以显然我不能使用证书颁发机构pipe理单元撤消它们。 此外,看起来没有办法导入这些证书,使其显示在“证书颁发机构”pipe理单元中。 那么最好的办法是什么呢? 我是否需要在其他地方为这些证书设置撤销列表(CRL)?

如何使用OpenSSL更改CRL的到期date?

我目前正在试用我自己签名的CA. 但是为了让我的设备工作,我需要一个有效的CRL。 我将CDP设置为CDN托pipe提供商之一。 由于我只有5个证书发出,所以我几乎没有机会将其中一个撤销,所以我想要发布一个长的有效性CRL并根据需要更新它。 我怎样才能用OpenSSL做到这一点,以及如何计算默认的到期时间? 我看到crlnumber文件增加,certutil显示类似 Base CRL(1014) time:11

根证书更新解决scheme – Windows Server 2008

我们有一个应用程序尝试通过networking上的http运行许可证检查。 该软件驻留的机器是Server 2008 vm,没有configuration域。 在通过Fiddler2跟踪正在发生的事情之后,在初始隧道到安全站点之后,会发生此根证书更新尝试,并且我们阻止了此外部stream量,因此它提供了: Request Header: GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab HTTP/1.1 HTTP/1.1 502 Fiddler – DNS Lookup Failed Date: Thu, 09 Apr 2015 15:30:19 GMT Content-Type: text/html; charset=UTF-8 Connection: close Cache-Control: no-cache, must-revalidate Timestamp: 11:30:19.171 [Fiddler] DNS Lookup for "www.download.windowsupdate.com" failed. System.Net.Sockets.SocketException No such host is known 问题的根源在于它似乎无法解密数据来读取要validation的许可。 有没有办法我可以手动安装证书? 我努力了: 通过解压>右击authroot文件和“Install CTL”手动安装文件(msdownload / update / v3 […]