我有一个托pipe服务帐户,需要在其个人存储中的证书进行解密。 我尝试打开证书pipe理单元并指向该服务,但是当我右键单击“个人”存储时,请求新证书选项不可用。 我只有导入…和高级操作>创build自定义请求。 我尝试了许多不同的方式创build一个自定义的请求,但是证书的主题字段中列出了我的用户DN,而私钥在当前用户的证书注册请求存储中结束。 我宁愿不放弃使用托pipe服务帐户,但在这一点上,似乎我可能不得不。 任何见解将不胜感激。
有没有人尝试使用Windows证书服务生成的证书使用OpenVPN? 理论上这应该起作用。 提供的easy-rsa PKI对于许多用户来说pipe理起来并不是很舒服。 我已经有一个ActiveDirectory设置,我最好想有证书AD集成。 我遵循本指南为用户组设置自动注册。 但是我甚至不能确定相应的用户是否已经成功地分配了一个证书。 对我来说似乎过于复杂。 http://www.isaserver.org/img/upl/vpnkitbeta2/autoenroll.htm
因此,我们是一家中型企业,它正在刷新我们的Microsoft PKI,并希望能够在很多方面大力利用它。 即服务器到服务器/工作站encryption,无线TLSencryption/authentication(Aruba),内部SSL Web服务,来自服务器和客户端应用程序的域控制器SLDAP等等。 我们是客户端的50/50 MAC-Windows和70/30 CentOS / Windows服务器端。 签署algorithm:RSASSA-PSS -Signature哈希algorithm:sha256 那么MAC OS X Mavericks将不会和SSL证书发挥出色,Oracle JDK 8 SSL Lib不会支持,我们需要提供一个备用库,Aruba Clearpass看起来可能有问题。 Firefox的新版本是balking。 无论如何,有没有人最近经历了这个,并有任何build议提供。 与MS打电话获取一些咨询信息,我们有一个与苹果开放的票。 打开build议。 谢谢
目前我正在为公司build立一个PKI,虽然我提出了一个很好的布局,并且计划了颁发证书的总体方针,但我仍然对CRL扮演的angular色感到困惑。 通过查看安装在浏览器中的其他根CA证书,我们得出结论:我们可以没有撤销列表为我们的根CA. 我们也基于这样一个事实,即我们的证书链将安装在我们客户站点的严格防火墙和封闭环境中,这意味着从HTTP站点检索CRL将不起作用。 不要在根中包含CRL是一个坏主意? 而应用程序(IIS,IE,Firefox)performance不好或需要额外的configuration才能正常工作? 我知道,由于没有CRL,我失去了吊销证书的能力,但目前这不是问题。 问题涉及根源,根据我们的CP,下属CA将会或可能拥有CRL,取决于类别(等级1 =生产,等级3 =testing等)。
我已经使用Windows Server 2008 R2创build了一个两层的CA. 用于创build此独立根和企业子CA的.inf文件位于本文末尾。 根安装好,并向SubCA颁发证书。 SubCA会自动向域控制器颁发证书。 我的PKI健康是绿色的,所有链条都有效,CRL发布。 但是,当我尝试为我的Exchange服务器注册SAN证书时,请求不被接受。 事实上,根本没有错误信息。 我正在关注( http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority)[ “如何颁发SAN证书从一个私人证书颁发机构到Exchange 2010],总之: 在Exchange命令行pipe理程序中: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true 我去我的分CAnetworking证书服务http://subca/certsvc 申请一个证书 提交高级证书请求 通过使用Base-64编码的CMC或PKCS#10文件提交证书请求 将步骤1中的请求粘贴到保存的请求框中 select证书typesWeb服务器 点击提交 没有什么…页面刷新,再次显示相同的页面。 页面或日志中没有错误,并且未提交请求。 我已经尝试通过certsrv MMC提交cer文件到下级CA,我右键单击CA – >所有任务 – >提交新的请求 – >selectcer文件,并点击确定。 没有任何事情发生,没有错误,没有待处理的请求,日志里什么都没有,什么都没有。 ; CAPolicy.inf example file for the Root CA [Version] Signature= "$Windows […]
我在一家小型软件解决scheme公司(50名员工)工作,最近我负责试验networking服务。 由于我们主要提供Windows解决scheme,所以我开始使用微软的WCF 4(.NET 4.0)。 基本上,这些networking服务将最终被我们的客户通过互联网消费。 我们也将通过我们的内联网在内部使用它们。 保护这些Web服务是我现在处于亏损状态的地方。 我想用一个在支持/维护方面造成最小负担的scheme。 基本上,我想确保只有我们(例如付款给我们的客户)“authentication”的客户才能使用我们的networking服务。 使用Windows Identity Foundation(WIF)的联合身份validation看起来非常整齐,我有几个使用自签名证书和自托pipe服务(Web服务和STS)的工作示例。 如果我使用Federatedscheme,这些将最终托pipe在IIS中。 根据我的理解,STS将拥有由根CA颁发的证书。 Web服务以及客户端也将具有由相同的根CA颁发的证书。 然后,客户端可以通过STS通过证书authentication来使用Web服务。 现在,我的问题是: 我们公司没有PKI。 如果我们拥有一个CA(以及一个可用的PKI所需的全部内容),我们域外的客户是否可以使用我们的Web服务和我们的CA颁发的证书? 这是我仍然泥泞的地方。 这将如何工作? 客户如何申请证书? 他们能够将我们的CA添加到他们信任的CA吗? 他们将如何访问我们的CRL? 我正在考虑使用Active Directory证书服务的Windows Server 2008 R2。 我在这里走了吗? 有什么简单的吗? 谢谢
我正在build立一个最初将在内部使用的PKI。 由于我们可能会增加对此的使用,因此我select了三级层次结构 – 脱机根和策略CA(目前供内部使用的一个策略CA)和在线颁发CA. 我们最初讨论的是使用我们的域控制器作为颁发CA,而不是build立专用的CA。 我现在开始怀疑是否让我们的区议会签发证书是个好主意。 我们有不到1000个用户,所以我们的区议会没有被征税。 有没有人有任何build议或反对这样做? 我们目前正在运行Windows 2003 Active Directory,但将在未来一年升级到Windows 2008。 我正在设置Windows 2008 PKI。
我使用openssl为内部testing使用创build了一个自签名根CA证书。 这已成功安装,并在许多机器和平台(Windows,Linux,各种Java / .NET /浏览器客户端)上用作可信CA。 一个用户(运行WinXP SP3 / IE8)在尝试将CA证书导入其受信任的根存储时收到以下错误:“此证书已被其证书颁发机构吊销” CA确实引用了我自己创build的CRL,但它是空的。 用户可以手动访问和查看CRL并确认它是空的。 在IE浏览器中禁用CRL检查,但是我猜这个设置在填充证书存储时可能不适用。 什么可以解释这个? 有没有办法从不同的CA,但具有相同的指纹撤销证书可以导致我的CA证书被标记为撤销?
我林中的域控制器工作正常(通常情况下,故事)。 然后突然,我不能用我的智能卡login。 相反,我接到以下消息: 系统无法login您。 无法确定用于智能卡身份validation的域控制器证书的撤销状态。 我几乎不知道这里发生了什么事情。 作为一个尝试快速修复,我删除了从客户端和DC的CA发出智能卡的证书的根证书。 然后从有问题的区域中input一个新输出的区域。 同样的问题。 我在微软的论坛上发现了一些相关的文章,还有惠普的支持文档。 每一个都没有多less亮点,因为它显然是一个通用的错误信息。 说完所有这些,其他智能卡(从其他DC发行)工作正常。 所以我不知道这个是怎么回事
在CA侧签署CSR时,如何通过自定义值覆盖特定的DN字段? 我想忽略在CSR中写的东西。 例如在C =和O =字段中,并用静态的东西replace它们。 其他值,如CN = ,应该被CSR接受。 openssl / ca / policyconfiguration只支持匹配和提供的选项。