我们公司正在被另一家公司收购,我们对创build一个交叉authentication/桥梁CA解决scheme所需的要求感到好奇。 交叉authentication正在发布一个交叉authenticationauthentication。 证书从Contoso的颁发CA颁发给Fabrikam的根CA. “这个跨证书颁发机构证书的作用是当证书被呈现给Fabrikam的计算机时,Fabrikam根CA出现在Contoso颁发CA的从属CA上。 有一个首选的方法,为什么?
我正在为内部使用创build一个自签名的根CA,我决定使用中间证书。 但是,我遇到了Chromium和Firefox 54.0不相信证书链的问题。 内容通过Ubuntu 16.04上的Apache 2.4.18进行托pipe,具有以下configuration: <VirtualHost *:443> DocumentRoot /var/www/html/ SSLCertificateFile /etc/apache2/ssl/server.crt SSLCertificateKeyFile /etc/apache2/ssl/server.key SSLCertificateChainFile /etc/apache2/ssl/fullchain.crt </VirtualHost> Chromium正在报告“网站证书链存在问题”,以及Firefox“错误代码:SEC_ERROR_CA_CERT_INVALID”。 Chromium和Firefox都将Root CA安装在其信任存储中,作为validation网站的可信证书。 以下是用于生成,签名和validation证书的设置 #Generate and self-sign the Root CA #=========================================================== openssl genrsa -out ca.key 2048 #openssl genrsa -aes256 -out ca.key 4096 openssl req -new -x509 -days 3650 -key ca.key -subj "/C=UK/ST=London/L=/O=SWS, Inc./CN=X1 SWS Root CA" -out ca.crt […]
我已经在包含Windows Server 2013 R2计算机的服务器场中设置了公钥基础结构,并为用户authenticationconfiguration了自动注册。 当login到一台机器,我看到错误消息导致我相信一些东西是安装错误的。 在事件日志显示的客户机上login; Cannot archive private key. The certification authority is not configured for key archival. 和 Cannot archive private key. The certification authority is not configured for key archival. 0x8009400a (-2146877430 CERTSRV_E_KEY_ARCHIVAL_NOT_CONFIGURED) 在certsrv mmc工具中,我看到了相应的(我认为)具有相同错误的消息。 我应该看什么来解决这个问题,以便我的用户证书可以成功自动注册。 请注意,这是我第一次设置PKI,所以我是这种types的新东西。 谢谢您的帮助
我正在面对一个问题来更新Windows 2003上的SubCA证书。我不断收到此错误(请参阅图像)。 我已经找了很多解决scheme,其中之一是从rootCA(这是一个独立的服务器)复制到SubCA服务器的CLR(像这样http://itcalls.blogspot.fr/2013/08/how-to-publish -new-certificate.html ),但我不确定这一点,我不想冒着知道在局域网上启用802.1x的风险。 任何人想分享他们的经验? 下面是错误: 然后select“取消”后,我有:
我正在向IIS 6.0 / Windows添加第三方OCSP Responder(Tumbleweed)插件。 我有第三方工具configuration检查撤销状态,并希望断言IIS不重复检查。 有没有一个日志(除了IIS HTTP状态码日志)来帮助确定这个? (看来,Tumbleweed依赖于CertCheckMode属性,所以我不能把它closures)。
我正在尝试(和失败)replaceADFS 2.0独立安装的证书。 我已经生成了证书并将其放置在本地机器商店中。 但是,无论我做什么,我都不可避免地会遇到ADFS启动时报告的相同错误: 在处理联合身份validation服务configuration期间,发现元素“signingToken”具有无效数据。 已configuration的证书的私钥无法访问。 以下是证书的值: 元素:签名令牌 主题:CN =签名证书 指纹:<snip> storeName:我的 storeLocation:0 联合身份validation服务标识:NT AUTHORITY \ NETWORK SERVICE … 用户操作 如果证书是从没有私钥的源导入的,请select具有私钥的证书,或者再次从包含私钥的源(例如,.pfx文件)中导入证书。 如果证书是在用户上下文中导入的,请确认上面指定的商店与证书导入到的商店相匹配。 如果证书是由未指定“机器密钥”选项并且密钥标记为可导出的证书请求生成的,请将带有私钥的证书从用户存储导出到.pfx文件,然后再将其直接导入到存储在configuration文件中指定。 如果密钥未标记为可导出,则使用“机器密钥”选项请求新的证书。 如果联合身份validation服务标识尚未授予对证书专用密钥的读取访问权限,请使用“证书”pipe理单元更正此情况。 那么,我已经遵循了上面提到的所有用户操作,而他们都没有解决这个问题。 我似乎也无法find任何人的build议,接下来要做哪些诊断步骤。 那么,现在我该怎么办? 我重新启动时遇到5个错误。 前四个如上所述,几乎没有变化:首先为Element: serviceIdentityToken和服务通信证书,然后是encryptionToken , additionalEncryptionTokens和signingToken用于我要用于解密和签名的证书,最后是: 启用联合身份validation服务的端点时出错。 使用PowerShell cmdlet修复configuration错误并重新启动联合身份validation服务。 我认为这第五个错误与前四个有关,但是如果不是,我可以为它增加更多细节。 SSL和签名证书都是由我们的域CA生成的。 我想试图获得更多的信息,所以(知道ADFS是用.NET编写的)我敲了一个.NET服务项目,试图获得相同的证书私钥,它会产生以下exception: System.Security.Cryptography.CryptographicException: Invalid provider type specified. at System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer) at System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean […]
在Ubuntu中,我可以通过命令将PubKey从OpenSSH格式转换为PKCS8格式: ssh-keygen -e -f .ssh / id_rsa.pub -m PKCS8 但在CentOS 6.4中,当我执行相同的命令时,它注意到: ssh-keygen:非法选项 – m 我在Centos 6.4上阅读了ssh-keygen的man-page,发现它没有选项“-m”。 那么,我怎样才能在Centos 6.4上完成同样的任务呢? 非常感谢你!
阅读本教程 。 他们使用openssl来生成与logstash一起使用的证书,即这个命令: sudo openssl req -subj '/CN=ELK_server_fqdn/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt 现在,logstash-forwarder.crt将被安装在将日志发送到logstash的服务器上。 我的问题是,如果我有一个Windows证书服务的基础设施设置,我可以通过Windows CA生成logstash服务器的证书? 会有这个或兼容性问题的任何陷阱? 我假设我只是从logstash / ELK服务器提交一个新的证书请求到Windows CA,并生成一个将以同样的方式工作的证书。 这可能吗?
我configuration了ssh来使用位于~/.ssh密钥文件来login。 现在我想在使用密码时安装双因素身份validation,但在使用密钥文件时不需要。 我已经看到如何在这里安装双因素身份validation: DigitalOcean:如何使用双因素身份validation保护SSH 。 但它适用于login密码和密码login,我只想用它来login密码。 我想要: 公钥 – >确定进入服务器 要么 密码 – >一次性密码 – >确定进入服务器 也许有可能用sshd_config的AuthenticationMethods做些事情? 我发现这个: OpenSSH使用(公钥或密码)+谷歌authenticator
我对ADCS非常陌生,将我们旧的Tire-2 PKI迁移到SHA-256也是一个挑战。 正如我们build议设置一个并行的SHA-2 CA,我没有问任何想法,如何继续,我可以用SHA-2创build一个脱机的根CA,但是如何发布到我目前的环境还有,如何在某个时候停止使用SHA-1证书。 尝试search博客和文章,我正在寻找任何一步一步的文件,没有find任何合适的,任何build议,将不胜感激。 谢谢