我需要制定操作程序来审计和理解为什么特定请求被Active Directory证书服务(ADCS)策略模块拒绝。 我试图打开GUI中的所有日志logging(checkbox),并检查Eventlog。 我只看到一个事件日志条目每个失败的请求,但我没有一个明确的方式来确定是什么导致它失败。 下面是一个失败的例子: Active Directory证书服务拒绝了请求4,因为证书颁发机构的证书包含无效数据。 0x80094005(-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)。 请求是CN = Issue01a,CN = Bits.com,OU =对于电子邮件安全,O = Bits LLC,C = US。 其他信息:政策模块拒绝 上面的例子是一个sub-ca,故意有一个有效期会超出父CA的有效期。 我希望从上面的错误代码或其他位置得出这个原因。 我所做的:在谷歌search错误“2146877435”,导致这个非常后期被拉起。 前几页没有任何结果是错误代码和原因的列表。
我已经使用SHA1哈希安装了一个新的SSL证书。 我使用由GeoTrust SSL CA – G2的安全证书,但与WebServices通信我得到一个PKIX错误。 下一页: https://www.geocerts.com/ssl_checker 这是给我的下一个信息: 证书链完成? 无法find有效的根CA证书,证书可能会显示浏览器警告。 我希望有一个人可以帮助我。
我们有一个现有的内部根CA独立,为我们的域mycompany.com颁发证书。 我们有从这个CA安装在整个公司的多个证书。 我们面临的问题是,我们有一个思科VPN,需要相信这个CA的移动设备VPN,但返回一个错误,因为根CA的有效期超过2038年,不接受它。 现在问题是如何去解决这个问题? 如果我在2038年前使用相同的私钥/公钥和失效date来更新根CA,我是否需要更新已经由CA颁发的证书? 我们正在考虑的第二个select是安装从属颁发CA,在这种情况下,问题是此CA能够颁发域名mycompany.com的证书吗? 任何关于如何摆脱PKI专家的这个混乱的build议,将不胜感激。
问题: 当我使用用于HTTPSnetworking服务器的证书签署消息时,OpenSSL不想validation它。 签署消息: 回声“TestMessage”| openssl smime \ -标志 \ -inkey server-key.pem \ -signer server-crt.pem \ -certfile server-crt.pem \ -noattr -nodetach \ -outform DER \ -out signedmessage.dat validation消息: openssl smime \ validation\ -in signedmessage.dat \ -inform DER \ -signer server-crt.pem \ -CAfile ca-crt.pem \ validation失败 34379118248:错误:21075075:PKCS7例程:PKCS7_verify:证书validation错误:/ usr / src / secure / lib / libcrypto /../../../ […]
在Windows中,有一个证书存储区,用户和pipe理员(取决于设置)可以进行更改:添加根CA,修改CRL等等。这似乎是系统安全中相当重要的地方。 所以我来回答这个问题: Windows可以设置为将对证书存储的更改logging到其标准日志functionEventLog中? 到目前为止,我只设法从CertificateServicesClient-Lifecycle日志中获得证书删除事件(ID 1004),但没有添加证书或其他任何东西。 更新:我尝试了Windows Server 2012 R2和Windows 10,并得到相同的结果。 Upd.2:刚试过一个新的Windows 8安装:得到相同的结果。 应该configuration什么来启用这些日志?
我正在用自己的CA创build一个站点,并用它来签署客户端证书。 客户需要将我的CA作为可信来源添加,但出于安全原因,我不希望他们盲目信任可能用CA密钥签名的所有内容,所以我想强制限制来build立客户的信任。 所以我想限制CA的能力,只签署客户端证书,并启用https访问。 我不确定我应该在证书创build中施加什么限制。 最好的办法似乎是名称限制 ,并使用白名单来限制使用,这显然是现在尊重 。 所以我尽pipe我必须使用dns(比如说xyz.com),所以CA签名不会被google.com f.ex接受,并且也会将其放在每个客户端证书的SAN中,所以客户端证书是认为有效并且不被拒绝。 显然这不是它的工作原理。 我已经试过这个,但是我一直无法使它正常工作。 另外,我从Windows获得警告…也许是因为所有可能的名称约束types必须存在 ? 所以我的问题是: 我应该如何configurationCA证书? 我应该在CA证书中应用什么限制来限制其被滥用的能力? 如果涉及名称限制,为什么我的示例在图像中不起作用? 在客户端证书中是否还有额外的工作要做,比如增加一个额外的SAN? 编辑 理想情况下,我的CA证书中应该有一些东西强制它只签署客户端证书并执行https服务器身份validation。 我看不出如何去做这个限制,我认为这是不可能的。 对于使用名称约束,我已经允许使用xyz.com ,并且我认为只有我的CA和SAN xyz.com签名的证书才能被接受(否则我可以使用SAN创build一个证书xyz.com和google.com并可能在访问google.com时工作)。 所以我使用了由我的CA签署的客户端证书,没有SAN xyz.com ,我被接受了。 不知道名称约束是否适用于这种情况。
我试图在两个不信任的森林之间build立一个信任关系,我想使用交叉证书或Bridge CA解决scheme(不使用AD信任或CEP)。 我发现很多build议说可以做到,但是我可以find任何关于如何去做的事情。 (图片似乎没有显示 – 这里他们在谷歌幻灯片: 从下面3张图片 ) 这是我有: 我想添加一个这样的信任: 为了达成这个: 绘制这些图片后,我可以看到我错过了一些东西,我无法看到交叉authentication链接将如何或在哪里存储。 到目前为止,我完全没有让一个CA签名任何东西(证书,CA,请求)源自另一个CA的层次结构。 我正在以正确的方式进行吗? 任何关于如何交叉签名的指针,或者我的图表是否正确都是很好的。 对不起,这有点含糊,但我真的不知道要走到哪里。 谢谢, 吉姆
我正在尝试为Microsoft CA提供CRL发布期,用户证书将用于数字签名。可能会有用户证书可能被吊销的情况。 通常是什么时间来定义,以便我可以在那个时期检查。 目前他们已经把它设置为一个月来发布s-ca的下一个crl
我们有一个openssl脱机根CA与Windows 2008 R2 AD集成SubCA。 Openssl根CA已发布到ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN使用certutil -dspublish -f root.cer RootCA 一切都可以,除了一件事。 到目前为止,两个客户端(都是XP)出现了没有将根CA证书导入到受信任的企业根证书颁发机构存储中。 在我的工作站上,我得到以下输出: C:\>certutil -store -enterprise root 402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version ================ Certificate 0 ================ Serial Number: f818516373f917e8 Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Signature matches Public Key Root Certificate: Subject matches […]
我在两个独立的森林中有两个Active Directory域,全部在Windows Server 2008 R2function级别上。 域之间存在双向森林信任。 域A包含Windows Server 2008 R2企业根证书颁发机构; 其根证书受域中所有计算机的信任; 自动注册策略可以自动向域中的每台计算机颁发一个计算机证书(像往常一样向DC发送多个计算机证书)。 域B不包含证书颁发机构,但域A的CA的根证书通过组策略分配给域中的所有计算机作为受信任的根证书,所以任何由该CA颁发的证书都被视为有效。 我能否在域B中configuration自动注册策略,以便域B中的每台计算机自动向域A中的证书颁发机构请求并获取证书? 如果是的话,怎么样?