我有兴趣探索如何使用半脱机的根CA来更新到子CA的CRL。 Security.SE上的这个答案提到了为此使用audio电缆。 任何人都有关于如何使用audio电缆(或类似的)来创build单向通信path的细节? 由于我是一个.Net程序员,我也开放了代码示例,驱动程序等可能使这种情况下。
我们拥有自己的CA,多年来我们已经使用它来创build数百个服务器证书和数千个客户端证书。 CA证书本身是1024bit,签名证书是1024bit 由于与我们使用的外部证书有一些关系,赛门铁克一直在向我们发送有关这种“现在更改为2048bit证书”的电子邮件,现在让我担心了。 十月会发生什么? 操作系统供应商是否会推出软件更新,使其无法与1024位证书进行交互? 如果是这样,我们有一个严重的问题,因为我们将不得不尽快replace成千上万的证书 更换新的2048bit客户端证书和CA证书本身将是一个手动的噩梦。 原来,这必须手动完成除Windows之外的所有平台(谢谢微软的GPO!),这个变化也需要我们也取代CA,或者将有现有的1024位CA证书签名2048位客户端/服务器证书是足够的“解决”这个问题
我想知道一个SSL证书是否被撤销。 该网站不再提供该证书,我只有域名和序列号。 SSL证书在到期前5个月被replace,没有解释。 这对我来说听起来并不正常,因为这个证书的生命周期中有将近25%被“抛弃”了,所以我怀疑它被吊销了。 我想知道如何检查这一点,因为我只能find方法来检查“活”证书的状态。
您可以创build和部署证书信任列表,如下所述,但我试图了解这种优势,而不是通过组策略部署根和中间证书。 我为什么要\需要这样做?
我正在使用企业PKIpipe理单元来诊断和检查MSFT PKI系统的运行状况。 有没有什么方法脚本/自动化这个工具来提醒我CRL的挂起到期或失踪的友邦?
在企业环境中,每个用户都发出一个用于encryption/签名的密钥对。 由于他们拥有私钥,这意味着他们可以解密任何为他们encryption的文件,即使在离开组织和他们的证书被吊销之后。 我想仿佛有什么方法来阻止他们使用他们的私人访问组织的文件(这是退休之前,所有员工encryption)?
编辑:我真的很抱歉,不得不说,这个问题魔术般地修复自己,我不知道为什么。 作为对其中一个答案的回应,我从CA链中删除了所有的EKU,但它不起作用。 休假回来后,我一次创build了证书链1, RootCA->VPN然后是RootCA->IntermediateCA->VPN ,最后是RootCA->IntermediateCA->ServerCA->VPN ,它仍然工作! 我不知道为什么这是工作,但我很激动。 只是为了确定这是解决EKU的问题,我回去了,把EKU随机添加到了CA的链中,然后瞧,它仍然有效……这是绝对令人愤慨的,我很抱歉所有试图帮助的人。 我发誓,绝对没有其他改变,没有人在我不在的时候触及任何东西。 结束编辑 当试图连接OpenVPN客户端(Android或Windows 7/10)到我的testing服务器时,我收到以下错误: VERIFY ERROR:深度= 1,错误=不支持的证书目的:C = CA,ST = QC,L =蒙特利尔,O =公司,OU = PKI,CN =服务器authentication中心 我在OpenBSD上运行OpenVPN 2.3.7。 我正在使用使用XCA创build的以下PKI CA层次结构: RootCA -> IntermediateCA -> ServerCA 我为我的ServerCA签署的VPN服务器创build了一个证书。 请注意深度= 1 。 这似乎不是最终的VPN服务器证书的问题。 OpenVPN正在抱怨VPN服务器证书的颁发者。 即使错误消息中的CN是ServerCA NOT的VPN服务器。 就我所能确定的,连锁中的CA没有任何其他目的而不是签署证书的要求。 这是VPN服务器的证书configuration。 请注意,根据OpenVPN的要求,旧的Netscape服务器扩展在那里: nsCertType=server, email extendedKeyUsage=serverAuth, nsSGC, ipsecEndSystem, iKEIntermediate keyUsage=digitalSignature, keyEncipherment, dataEncipherment, keyAgreement authorityKeyIdentifier=keyid, […]
我们将思科networking设备configuration为通过在具有networking保护angular色的Windows 2008R2服务器上运行的RADIUS,使用其域帐户对networkingpipe理员进行身份validation。 这对configuration设备时通过SSHlogin交换机非常有用。 我们现在正处于部署login智能卡的初始阶段。 有谁知道使用智能卡而不是域用户名和密码login思科交换机的方法吗? 我们使用的SSH客户端是Putty。 工作站是Windows 7. RADIUS在Windows 2008R2上运行。 我们在Windows 2008上运行我们自己的证书颁发机构; networking没有连接到互联网。 我们宁愿不必为此function购买额外的专有设备。
我最近重build了我的PKI,我想删除发给我networking中所有客户端机器的证书。 听起来像是Powershell的工作! 所以我写了这个脚本,由GPO分发,从SysVol运行,并在启动时在客户端机器上触发: set-location cert:\LocalMachine\My $certname = $env:COMPUTERNAME + ".domain.com" get-item * | %{ if($_.issuer -like "CN=IssuingCA*" -and $_.DnsNameList.unicode -like $certname) { remove-item .\$_.Thumbprint -Force } } 从提升的命令提示符: 当冉,脚本没有输出(只是一个新的terminal线)。 它不返回错误,证书不会被删除。 将参数-WhatIf添加到脚本中的Remove-Item命令时,不会再删除错误和证书。 当运行Remove-Item。\ CERTIFICATE-THUMBPRINT -Force时,证书将被删除。 这是一个权限问题? 有一个更聪明/更简单的方法来做到这一点? 谢谢!
在为内部使用提供PKI时,是否有专用的OID空间可以使用,而无需支付和/或注册您自己的OID范围? 考虑OID范围的RFC1918地址。