我有一个现有的PKI,我试图集成一个OpenVPN服务器。 我已将CRL分发点包含在链中的每个CA证书中,并在可从我的OpenVPN服务器访问的位置发布CRL。 问题在于OpenVPN服务器似乎完全忽略了CRL分发点扩展,而采用了它自己的–crl-verify选项。 如果我为用户吊销一个证书并发布一个新的CRL,OpenVPN会很乐意继续让这个客户端连接。 我不明白为什么OpenVPN不会阅读这些扩展名,因为它们完全是为了这个目的而添加的。 我只能想到2种替代方法来检查我的CRL: 1)我可以有一个cronjob将CRL复制到OpenVPN服务器并使用–crl-verify选项。 但是由于我有一系列的CA,我怎样才能把所有的CRL都放到一个文件中呢? 如果我使用–crl-verify的文件夹模式, –crl-verify链中的每个CA都有自己的序列号scheme是一个问题吗? 2)我试图避免调用任何外部脚本,而只使用内置的东西,假设我手动做的越多,越有可能引入安全弱点。 我错了吗? 是写我自己的脚本来检查我的CRL是正确的select? 有没有什么办法可以让OpenVPN检查我的证书链中包含的CRL分发点 ,最好是使用内置于OpenVPN本身的机制? 编辑:这也很高兴知道是否有任何方法在客户端也这样做(即,为客户端检查OpenVPN服务器的证书的有效性)。 如果–crl-verify带了一个URL,那将会非常简单。
我有一个证书模板发布在我的域join服务器2016企业CA – 我试图为我们的内部networking服务器设置证书自动注册。 当模板具有直接授予计算机帐户的读取/注册/自动注册权限时,有问题的计算机可以自动注册。 当读取/注册/自动注册权限分配给内置组“域计算机”时,(任何)join域的计算机也可以自动注册。 将安全权限分配给包含计算机帐户作为成员的全局安全组时,这些计算机将无法自动注册。 从计算机的证书pipe理器使用“请求新证书”时,可以select有问题的模板,但会失败,并显示错误“证书模板上的权限不允许当前用户注册此类证书”。 在计算机上执行GPUpdate时,我可以看到CA上的故障。 我怀疑我错过了一些愚蠢的东西 – 任何build议检查?
我最近安装了Windows 2003证书服务并安装了五年的证书。 我现在正在和一个需要我们的公共CA密钥的供应商合作,以便他们可以信任我们生成的所有证书,但他们不会接受它,因为他们接受的证书的最大长度是3年。 有什么办法可以缩短CA密钥的长度吗?
我正在为我的客户评估PKI解决scheme,以及其他更多的技术属性,我希望能够报告每个解决scheme的几个侯爵用户。 许多项目列出了知名用户或链接到媒体发布或白皮书,但我似乎无法在openxpki.org上find任何这样的列表(我是盲目的?),即使它似乎是一个相当成熟(或至less长-lived)项目。
在MS-Win 2008 SP2中,我试图find组CERTSVC_DCOM_ACCESS。 我跟着这个链接MS-CA请求指令中的错误,但我似乎无法find该组。 在哪里? 它有不同的名字吗?
我对使用Direct Access感兴趣,因此我可以将GPO应用到移动客户端,并控制这些用户拥有的“域体验”。 问:直接访问是否允许最终用户以这种方式透明地工作? 我正在build立一个testing实验室, 学习PKI和IPV6,因为它们是DA的要求。
我已经读过,一旦TLS-PSKencryption与TLS-PKI同等安全。 两者的安全级别取决于input的用于configurationencryption的数据。 你能确认吗? 以下是我感兴趣的要点: TLS-PKI和TLS-PSK有什么区别? 哪个encryption标准更安全,为什么? 如果我希望保护我对服务器的访问权限,TLS-PSK就足够了吗? TLS-PSK的configuration速度要快得多。 谢谢。
根据我阅读文献的方式,带有脱机根CA的双层PKI提供冗余和额外的安全层,以防下属CA的私钥遭到破坏。 但是这是如何工作的? 假设我有一个脱机根CA,并使用它来签署从属CA,然后使用从属CA签署一个内部Web服务器。 现在让我们说从属CA的密钥被攻破。 根据文献没有问题。 你只需要焚烧你的下属,build立一个新的。 然后,你启动根CA,并签署新的下属,你又回来了。 问题在于Web服务器使用现在无效的从属CA证书进行签名,信任链被破坏。 那么我是否还需要用新的下属的密钥重新签署Web服务器? 如果我必须与新的下属重新签署所有协议,那么将脱机根CA放在第一位的目的是什么? 显然我不是在这里理解的东西。
现在, AWS Route 53 允许创buildCAAlogging,以限制可能为域颁发证书的证书颁发机构。 我想使用issue指令来限制我的域的证书问题,如下例所示: example.org. CAA 128 issue "letsencrypt.org" 我从Amazon的证书pipe理器(ACM)获取我的域的证书。 我应该如何configuration一个域来限制证书颁发给这个服务? 我不想让这个错误的情况下,我打破了证书的自动更新!
我在Active Directory域中有两台服务器。 这两个服务器都有在Tomcat中运行的应用程序。 我为这两台服务器订购了PKI证书。 服务器是AD域“ourInternalNetwork.com”的成员。 该域中的大多数系统不能从公共互联网访问。 这两个服务器将可以从“networking”访问。 出于政治原因,我们没有注册“ourInternalNetwork.com”,而是我们有“ExternalNetwork.com”域名。当我们进入系统属性时,服务器将自己标识为“server1.ourInternalNetwork.com”和“server2.ourInternalNetwork”。 COM”。 但是,我们希望Internet连接用户通过“server1.externalNetwork.com”和“server2.externalNetwork.com”访问服务器。 这需要一个主题替代名称,对吗? 我的理解是,如果我们创build没有SAN的CSR,CSR将用于“server1.ourInternalNetwork.com”,而我们的CA不会颁发给我们“server1.ExternalNetwork.com”的证书? 但是,如果我们指定一个SAN,那么我们的CA将为“server1.ourInternalNetwork.com”和“server1.ExternalNetwork.com”颁发证书。 我有这个权利吗?