我们在天青网站上托pipe一个网站。 我们托pipe的服务有6个实例。 在该服务上,我们添加了一个覆盖该站点的证书,并具有如下所示的身份validation链: our certificate Comodo RDAOrganisation Validation Secure Server CA (2014 – 2029) Comodo RSA certification Authority (2000 – 2020) USERTrust (2000 – 2020) 我们可以在浏览器中看到我们所做的任何请求,这个链似乎正确存在,SSL握手可以完成。 我们有一位客户报告说他们有一些问题远程连接到我们。 他们一直在使用openssl来validation这个来源。 如果我的知识在解释这个输出的时候出现,我想知道是否可以帮助我们找出差异,或者确定下一步 – 无论是为我们还是我们的客户。 运行的命令是 $ openssl s_client -CApath /etc/ssl/certs/ -connect <our service uri> 成功案例的输出结果如下: CONNECTED(00000003) depth=3 C = SE, O = AddTrust AB, OU = AddTrust External […]
我正在为Intranet构build一个openssl证书颁发机构。 我有root.crt ,由root签名的intermediate.crt和由中间者签名的server.crt 。 我可以根据根来validation中间件 #> openssl verify -CAfile root.crt intermediate.crt && echo ok ok 在Ubuntu上,我可以安装根证书 #> mv root.crt /usr/local/share/ca-certificates/my-root.crt #> update-ca-certificates Updating certificates in /etc/ssl/certs… 0 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d… done. done. 但是,如果我试图validation服务器对中间,它失败 #> openssl verify -CAfile intermediate.crt server.crt && echo ok error 2 at 1 depth lookup:unable to get […]
我试图validation一个特定的用户,我已经颁发了一个证书来使用所提到的证书来validation我的Web代理。 我想我已经尝试了几乎20种以下选项的组合,而且没有任何东西可以用于我。 在Apache文档页面中,ssl客户端authentication的所有示例通常基于<Location>指令。 我的情况是从来没有提到,在这一点上,我想知道是否有可能: <VirtualHost *:8080> ProxyRequests On SSLCACertificateFile /etc/apache2/myca/ca.cer <Proxy "*"> SSLVerifyClient Require SSLVerifyDepth 10 SSLOptions +FakeBasicAuth +StrictRequire SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ and %{SSL_CLIENT_S_DN_O} eq "MyComp" \ and %{SSL_CLIENT_S_DN_OU} eq "IT" \ and %{SSL_CLIENT_S_DN_Email} eq "[email protected]") </Proxy> ErrorLog ${APACHE_LOG_DIR}/proxy_error.log CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined </VirtualHost> 通过上面的configuration代理工作,但不要求authentication,每个人都可以使用它。 我试图把SSLVerifyClient Require放在Proxy指令之外,没有任何改变 我已经删除了SSLRequire ,没有任何改变 我已经删除了SSLOptions ,没有任何改变 我已经在Proxy指令中添加了Require ssl-verify-client […]
我有以下几点: OpenSSL生成的自签名内部CA证书 OpenSSL生成的内部CA签名的通配符证书 这个证书保护我们的内部网站。 例如“myservice.corp.example.com” 在本例中,通配符证书具有以下注意字段: CN =“. corp.example.com”DNS =“. abc.corp.example.com”DNS =“* .xyz.corp.example.com” (即最后两个是SAN) 为了使CA链可以被OS接受,我在工作站上安装了CA证书。 这在macOS上正常工作。 “好”==“浏览器中的绿色网站是安全的图标”。 我在站点范围内的keychain中安装CA证书,并将Trust设置为“Always Trust” 但是,在Windows 10上,我通过证书pipe理单元(或通过右键单击证书 – >安装)来安装CA证书。 无论我做什么,我都会在证书中得到以下错误通知: 证书 – >一般 – >“证书的完整性不能保证,证书可能被破坏或者可能被修改。 证书 – >证书path – >证书状态 – >“这个证书有一个无效的数字签名” 最后,RSA密钥是2048位,CA证书和自签证书上的签名algorithm都是sha256 我search了网页,但是找不到可以帮助我的任何解决scheme,但看起来可能是下列之一: 发行人和主题不能匹配。 或者必须匹配? 不确定。 (他们匹配我的CA证书) 最小密钥长度不满意。 (虽然我们正在使用2048位) 别的东西? 我的问题是我甚至不知道如何在Windows上解决这个问题。 我是一个Linuxpipe理员。 因此,请求故障排除步骤和可能的解决
我需要从证书颁发机构提取crl位置,以便在validation证书时使用它。 这可能使用openssl实用程序,而不是使用-text选项,并尝试parsing输出(这似乎容易发生漏洞)?
我们有一个现有的内部根CA独立,为我们的域mycompany.com颁发证书。 我们有从这个CA安装在整个公司的多个证书。 我们面临的问题是,我们有一个思科VPN,需要相信这个CA的移动设备VPN,但返回一个错误,因为根CA的有效期超过2038年,不接受它。 现在问题是如何去解决这个问题? 如果我在2038年前使用相同的私钥/公钥和失效date来更新根CA,我是否需要更新已经由CA颁发的证书? 我们正在考虑的第二个select是安装从属颁发CA,在这种情况下,问题是此CA能够颁发域名mycompany.com的证书吗? 任何关于如何摆脱PKI专家的这个混乱的build议,将不胜感激。
我试图停止一台主机为DC,NPS和CA的Server 2008机器。 我部署了两台新的服务器作为根CA和RADIUS服务器(两台新服务器都是2012R2)。 新的根CA正在颁发证书(DCauthentication自动注册),新的NPS服务器已经用我们现有的configuration恢复。 由于我将NPS服务器从DC移走,我需要从我的新CA颁发RAS和IAS Server证书。 当我尝试select要创build的证书颁发时,界面仅列出了可用于发布的模式版本为1的证书模板。 这是由于我的域function级别(2008年)? 或者我仍然有一个授权的CA运行Server 2008标准的事实? 还是我错过了别的? – 编辑1:为我的目的,事实certificate,一个普通的旧计算机证书允许RADIUS进行身份validation。 我仍然想知道为什么我不能在此configuration中发布模式版本2/3的证书模板。 编辑2:我已经从Server 2008 CA删除所有证书模板。 当我从2012R2 CApipe理模板时,可以看到V2&3证书,但是当我input“证书模板发布”屏幕时,只列出了V1模板。 编辑3:模板示例: 重复的计算机模板 (创build版本2模板) 常规:更改显示名称,检查Active Directory中的发布证书 安全性:确认已validation的用户已阅读,所有其他权限默认 所有其他设置默认
我们正在尝试设置OpenDirectory。 它似乎想要创build自己的CA,然后创build一个中间CA,并使用自己的CA签名的证书。 我宁愿从我们现有的内部CA中生成一个中间CA证书,然后让它使用它。 这将带来一些好处(现有的CA证书已经分发到机器上,因此在将客户joinOD时,不需要点击信任新的证书)。 但是,我找不到这个证书的任何configuration,也没有提及任何其他的方式。 这是一个合理的事情要做,如果是的话,我该怎么做呢?
我正在使用Squid 3.4.8作为一个反向代理转发请求到一个特定的服务器。 Squid和服务器之间的通信采用HTTPS。 服务器使用的证书是自签名的 ,这意味着我创build了一个CA证书 ,并使用该证书对服务器证书进行了签名。 我想通过使用我的CA证书正确validation服务器证书(而不是将sslproxy_flags设置为DONT_VERIFY_PEER,这是不安全的)。 我如何configurationSquid来做到这一点? 我想我必须将sslproxy_flags设置为NO_DEFAULT_CA,然后使用一些特定的acl来允许由我的CA颁发的所有SSL证书,但在阅读文档后,我有点困惑。 谢谢
我的一个合作伙伴想要做客户端SSL证书authentication。 他们希望我们使用认可的CA签署证书。 我的印象是,对于客户端SSL证书authentication,使用自签名的CA会做。 但是,他们坚持认为这应该由认可的CA来完成。 有这样的事吗?