服务器 Gind.cn

Articles of pki

Apache:“黑暗networking”上的中级CA(无法访问Internet)

背景:Apache 2.4(服务器)和Windows 7 Internet Explorer(客户端)使用PKI; 两台机器都处于“黑暗networking”(没有互联网接入)。 问题:在SSL握手中,客户如何接收中间CA? 它不能使用Apache提供的吗? 我的尝试: Apache服务(1)服务器证书,(2)中间CA,(3)根CA到客户端 客户尝试通过互联网validation链,失败,本地检查 故障排除:我已经运行了Fiddler和netsh跟踪,客户端尝试 – 虽然明显失败 – 联系中间CA权限。 最终,SSL连接成功。 我试图了解客户端如何validation中间的CA没有互联网访问,没有本地保存的证书。

PKI – AD证书服务中注册机构(RA)的等效性是什么?

AD证书服务中注册机构(RA)的等效性是什么? 我正在阅读TechNet上的文档(有史以来最好的jk),并解释说NDES在技术上是RA的替代品。 它是否正确?

使用haproxy捕获并转发扩展的PKI证书属性(例如UPN)

我试图拉相互authenticationscheme中的客户端证书属性,并将其设置为后端请求中的HTTP标头。 见下面的fig 1 。 图。1 [用户证书正确] | | 1.提供具有正常v1属性的证书 | 有额外的“扩展”属性 | 含。 包含“主题名称” | “用户主要名称”(UPN看起来像一个电子邮件地址) | [example.com:443 haproxy] –app1 / app2 CNAMEd到example.com | | 2.阅读主题备用名称 | 3.正则expression式或parsing出UPN | 4.将REMOTE_USER头设置为UPN | 5.传递给后端(S) | ┌——————┬ | | | | | | | | VV [app1svr:80] [app2svr:80] 通常,这很容易,你只需要使用内置的function就可以得到你想要的属性: 前端https 绑定*:443名称https ssl crt ./server.pem ca-file ./ca.crtvalidation必需 http-request set-header […]

拉主题Alt名称 – Apache反向代理PIV CAC身份validation

我创build了一个运行在红帽子上的apache 2.2反向代理。 该代理将需要接受客户端证书,提取所需的信息,并将其传递给标题中本地运行的应用程序。 NameVirtualHost *:443 <VirtualHost *:443> ServerName SearchHead SSLEngine on SSLVerifyClient require SSLVerifyDepth 5 SSLCACertificateFile /etc/pki/ca-chain.cert.pem ProxyPass / http://127.0.0.1:8000/ retry=0 ProxyPassReverse / http://127.0.0.1:8000/ RequestHeader set SSL_CLIENT_S_DN "%{SSL_CLIENT_S_DN_CN}s" RequestHeader edit SSL_CLIENT_S_DN CN=([^,]+) $1 <Proxy *> AddDefaultCharset off Order deny,allow Allow from all </Proxy> </VirtualHost> 根据文档: https : //httpd.apache.org/docs/2.2/mod/mod_ssl.html我看不到任何东西,将允许我拉这个。 不幸的是,我们不能支持基于PHP的解决scheme,也不支持红帽企业Linux 6 Repos不支持的任何内容。 国防部中间件国家http://www.cac.mil/docs/DoD-CAC-Middleware-Requirements-Release-4.0_v1.01_16Nov2012.pdf智能卡login(1.3.6.1.4.1.311.20.2.2)它位于主题Alt证书的名称。 有什么想法吗?

无法在Chrome中从ADCS生成和导入用户证书

我们正在使用ADCS使用基于证书的身份validation。 所以为了让用户访问一个内部网站,他们需要自己的签名证书。 使用ADCS,用户可以以CRT文件(user1.crt)的forms获得他们的签名证书,这些文件可以用来打开受限制的网站。 当用户尝试通过点击“用户证书”并点击提交来从Chrome申请证书时,他们会得到以下错误。 但是对于Firefox来说,它的function完美 然后,我们理想的是去Firefox或Safari来申请一个证书,并得到一个签名的CRT文件。 直接在Firefox和Safari中导入CRT文件似乎完美,但是当我们尝试在Chrome中导入时,它给出错误:“私钥不关联”。 有没有什么办法可以直接导入类似于Firefox或Safari的Chrome中的CRT文件? 任何帮助将不胜感激 ! 🙂

为什么在安装根证书之后,ssl证书可能无法validation?

我正在为Intranet构build一个openssl证书颁发机构。 我有root.crt ,由root签名的intermediate.crt和由中间者签名的server.crt 。 我可以根据根来validation中间件 #> openssl verify -CAfile root.crt intermediate.crt && echo ok ok 在Ubuntu上,我可以安装根证书 #> mv root.crt /usr/local/share/ca-certificates/my-root.crt #> update-ca-certificates Updating certificates in /etc/ssl/certs… 0 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d… done. done. 但是,如果我试图validation服务器对中间,它失败 #> openssl verify -CAfile intermediate.crt server.crt && echo ok error 2 at 1 depth lookup:unable to get […]

DirectAccess和新的PKI更新SSL?

我们在我们的networking中部署了DirectAccess,用于Windows 7/10客户端,这非常棒。 问题是,DA服务器/客户端证书是基于我们正在退役的内部PKI; 我们已经构build了另一个PKI(两层,离线rootca和从属ca),我们正在将所有证书迁移到其中。 我的问题是将我们的DA基础设施迁移到新的PKI。 我将需要向客户端计算机发放一个新的计算机证书模板(与旧计算机证书一起保留其现有的DAfunction); 那么一旦所有的客户端都有来自新的PKI的计算机证书,我将更新DA服务器上的证书。 我遇到的问题(或缺乏知识)是什么? 客户能否使用新的PKI颁发的新证书重新连接到DA服务器? 或者,这会打破严重,直到他们在networking上获得最新的GPUPDATE。 任何人经历过这样的事情都想分享他们的经验? 我最好的行动是什么?

阻止ADCS中的主题替代名称

我正在pipe理Windows 2008 ADCS CA,并意识到使用SAN颁发证书时存在安全风险。 所以我testing了在请求中发布一个带有SAN的PKCS10文件,并且在它应该被阻塞的时候它与SAN一起发布了证书。 可以肯定的是,我使用命令certutil -setreg policy \ EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2(注意减号)删除SAN标志,如果它存在,而不是。 图片 然而,这样做,阻止添加额外的请求属性使用类似这样的SAN: san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com 那么是否有办法完全阻止已颁发证书的SAN,而不pipe它们在哪里指定?

在AD CS中将证书颁发给IP地址

我们试图让Sophos XG 210通过LDAPS连接到Active Directory域服务(AD DS)/域控制器(DC)服务器,但是这样做会失败,出现以下两个错误: 设备 – AD服务器连接testing失败 连接到AD服务器%privateIPAddress%失败,错误主机名与对等证书中的CN不匹配 我联系了Sophos和他们的高级技术支持: validation证书configuration(安装在Sophos XG 210上的AD CS根CA证书和安装在其自身上的DC服务器证书)。 build议SFOS 16(不是SFOS 15)只能通过IP地址连接到DC服务器,所以我们必须使用基于IP地址的证书,而不是标准的基于名称的证书。 build议SFOS 16通过名称连接到DC服务器的能力被他们的开发团队视为function请求,因此没有ETA。 我们如何让AD CS向IP地址颁发证书? 更新2017/08/23 17:58: 我有: 读: 1A。 Microsoft的支持文章如何将主题替代名称添加到安全LDAP证书 1B。 微软TechNet文章如何使用自定义主题备用名称申请证书 1C。 微软博客如何申请证书而不使用IIS或Exchange 创build具有以下内容的文件RequestPolicy.inf : [版] Signature =“$ Windows NT $” [NewRequest] Subject =“CN =%DC_Server_FQDN%” 可导出= FALSE KeyLength = 2048 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet […]

.CER文件在证书的AIAlogging中应具有什么格式?

我正在更新我的最终实体的AIAlogging中引用的.cer文件。 我应该保存文件的格式是什么? Windows默认允许我保存为 DER编码的二进制X.509(.cer) Base-64编码的X.509(.cer) 我也有能力保存为.P7B,但不认为这是AIA证书支持的select。
Intereting Posts
阻止来自MS Exchange中新创build域的电子邮件 为什么IIS匿名身份validation与pipe理UNC驱动器访问一起使用? 我有一个在Mac上运行的Flask应用程序,需要在samba共享上操作文件,我如何确保它始终可以访问? 如何在Linux中findRAID:cat / sys / block / sda / device / raid_level vs dmraid -s in Redhat? ZFS条纹在硬件RAID 6之上。什么可能出错? 服务器在Linux CentOS 6.3上使用NTPclosures1小时 sysctl:不能stat / proc / sys / net / ipv4 / netfilter / ip_conntrack_max:没有这样的文件或目录 rsync通过SSH从Linux到Windows SBS 2003协议不匹配 后缀获取本地主机IP地址 你需要重新调整linux的tcp设置后重新启动吗? 如何在Windows Server 2008上实现高可用性PostgreSQL? 如何find名称服务器是权威的所有域名? redirect(MT)媒体寺域到godaddy服务器? 来自IIS的响应在中间“随机”插入了http头信息 我可以用AzurereplaceWindows Server 2012(AD)吗?