有谁知道是否可以在Windows 8 VSC (虚拟智能卡)上存储属于服务帐户或计算机帐户的私钥? 据我所知,要求8个符号(至less)密码防止它。 像IIS这样的服务过程无法使用PIN对VSC进行身份validation,而且我也没有find如何为VSC设置空PIN。 有没有解决办法? 因为这个PIN码,丢失TPM为服务器端证书密钥提供的非导出function是非常可惜的。
我今天正在轮换我的AWS X.509证书和私钥(不要与ssh私钥/公钥对混淆),并决定我想在我的私钥上设置一个密码短语以更好地保护它。 所以我做了一些研究,跑了: openssl rsa -in awsprivatekey.pem -des3 -out awsprivatekey.pem.new 并input了私钥的密码。 在我尝试使用ec2 api工具后,出现错误: java.io.IOException: DER length more than 4 bytes 当我研究这个话题时,这变得很明显,发现这个链接ec2 api工具不支持带密码的私钥 我对缺乏这方面的信息感到困惑,以及拥有像Amazon EC2一样至关重要的不受保护的私钥的现状。 有关如何更好地保护我的私钥的任何build议?
我打算为我们的组织设置PKI,因为在使用自签名证书时,我们厌倦了所有这些安全警告。 我想要一个脱机根CA和两个发行CA,我想在Linux系统上设置它。 如何轻松地向最终用户分发根和身份(服务器)证书,而不必解释他们每个人如何在浏览器中安装它们? 活动目录是否通过GPO来实现呢? 如果是这样,它是否只支持Internet Explorer? 我可以做到这一点,而无需安装AD CS? 另外我想知道是否有一个CA(GUI /networking)的某种types的接口,其中服务器pipe理员可以login并根据需要请求证书? 希望这是有道理的,因为我对PKI很陌生:)我很抱歉,如果它在互联网上的所有地方,我吮吸谷歌,但我真的找不到我所需要的…
我正在为Intranet创build一个证书颁发机构。 我已经生成了根和中间CA,并使用中间CA成功签署了服务器证书。 服务器证书有CN=mysite.com 。 在将来,这个服务器证书将过期,我将需要发布一个新的。 但是,如果我使用相同的CN=mysite.com创build另一个CSR,那么当我签署它时,我会得到 failed to update database TXT_DB error number 2 如果我使用不同的CN创build一个新的CSR,这个错误就会消失,但是CN必须是相同的,否则浏览器不会说这是有效的,对吗? 我该如何解决? 编辑:我正在按照本指南 – 一切都很好,直到链接页面结束,但是当我尝试重复此页上的步骤来创build第二个证书,openssl要求我给新的证书一个不同的CN。 SUBJ="/C=$C/ST=$ST/L=$L/O=$O/OU=$OU/CN=$CN" # Generate CSR echo "$PW" | openssl req \ -config "$CAROOT/intermediate/openssl.cnf" \ -new -sha256 -subj "$SUBJ" -passin stdin \ -key "$PRIV_ENC" -out "$CSR_INT" >/dev/null 2>&1 || { >&2 echo "Could not openssl req"; exit 1; […]
我build立了一个新的2层PKI,试图用一个不再可用的CAreplace一个旧的破损的PKI。 一切似乎都在脱机的根和在线颁发的CA之间工作,但现在我试图将我的DC域控制器证书从旧的CA移到新的PKI并出现错误。 当我尝试使用新密钥在DC上手动请求时,我得到: STATUS: Request denied A certificate's basic constraint has not been observed. 我还是新来的ADCS,所以我不知道如何进一步排除故障,但看看失败的请求属性的基本约束,它显示: Subject Type=End Entity Path Length Constraint=None 而颁发CA的证书则显示: Subject Type=CA Path Length Constraint=0 我怎样才能进一步debugging,看看哪些约束是失败的,在哪里? 服务器是Windows 2012。
这是问题… 3年前,我们创build了一个多数据中心设置,尽可能less的跨DC资源依赖关系。 不同的AD网站。 不同的傀儡 不同的系统日志服务器 不同的出口防火墙 不同的DNSparsing器。 不同的出站邮件中继。 作品。 这很好,它工作得很好。 现在我正在试着安装Mcollective,这样我们就可以做一些分布式的命令,并从puppet中获取一些报告内容。 目前,规则设置了运行木偶推送的bash脚本的cron-jobs,它将输出转储到NFS共享,这似乎是mcollective之类的主要候选者。 最大的问题是两个傀儡老师使用的证书颁发机构不能链接任何东西,而Mcollective使用CAvalidation作为其authn / authzscheme的关键部分。 是否有可能重新签署与第三权威的CA证书,从而创build一个单一的证书链? 我们已经有了所有的木偶证书,如果我们能够重新使用这些证书,那真是太好了。 现在,我们将要结束两个岛屿集体环境,这意味着我们的自动化必须连接到DC特定的端点来执行指令。 如果我们有一个单一的点,那就太好了,特别是因为activemq可以处理这种架构。 以相同的序列号重新生成所有的客户端证书? 涉及-set_serial Openssl魔法? 我真的宁愿避免重新把所有在这些傀儡老师那里的百个节点重新encryption,但是如果这是唯一可以完成的方法,那就这样吧。
综上所述: 我有一个工作的脱机根CA和AD集成CA工作正常 我用同一个私钥重新证书,一切都很好 然后我用一个新的私钥更新证书,而且我不能再发布撤销列表。 HTTP已发布,但LDAP不是。 AIA LDAP和http都可以 然后,我重build了下属,并用一个新的私人钥匙重新开始,并使AIA和CRL都失败了 然后我重build了下属,并再次使用相同的私钥进行续订,AIA和CRL都可以发布到HTTP和LDAP。 HTTP确实创build了具有“(1)”索引的第二个证书文件 – 但是,针对AIA的CRL和LDAP没有(1)索引 所以虽然我这样做,我张贴这个,看看有没有我错过的东西。 我有一个Windows Server 2008 R2从属CA与AD集成,我有一个离线根CA签署下属的证书。 脱机根CA的CRL存储在可访问的http位置。 这是我有两个CA – 他们的工作和PKIView.MSC(用来)列出的所有状态的确定。 下属具有LDAP和HTPP AIA和CRL位置,也使用DeltaCRL根具有HTTP CRL位置,没有DeltaCRL。 我刚刚更新了下属的钥匙,批准了请求,并将证书重新安装在我的下属CA. 当我尝试发布CRL时,出现以下错误错误ID 66 Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260). 和以下错误ErrorID 74 Active Directory Certificate […]
在我的环境中,外部实体提供根CA和中间CA. 他们发行数千个带有PKI证书的智能卡进行身份validation。 它们在扩展密钥用法中提供了客户端authentication(OID 1.3.6.1.5.5.7.3.2),使用替代名称字段。 这包含用户的唯一ID号码,例如[email protected],其目的是作为用户的Active Directory userPrincipalName(UPN)。 这些智能卡可以发行30天或3年,利用UPN进行身份validation,用户可以在智能卡过期/中断时保持访问,并获得新的智能卡,将其证书关联到Active Directory中。 上述authenticationscheme在Windows工作站,服务器,Linux服务器上工作,并且是不可变的(不受控制)。 现在,我们正在尝试使用SSL / TLS客户端身份validation来设置HTTPD以使用其PKI证书对这些用户进行身份validation。 在对用户进行身份validation的基本级别,如果他们具有由中间体签名的PKI令牌,并且不会被CRL或OCSP工作撤销。 我们所要做的就是将他们的PKI会话与他们的活动目录帐户相关联,因此我们可以根据Active Directory安全组成员进行授权。 我们可以提取UPN,但似乎没有办法将mod_ssl客户端身份validation桥接到mod_authnz_ldap授权scheme中。 以下是我们对httpdconfiguration概念的certificate。 Listen 443 https <VirtualHost _default_:443> SSLEngine on …. standard SSL options …. <Location /secure-pki> SSLVerifyClient require SSLVerifyDepth 2 # How do we map the SSL_CLIENT_SAN_OTHER_msUPN_0 environment variable so mod_authnz_ldap uses it? AuthLDAPBindDN "[email protected]" AuthLDAPBindPassword "apassword" AuthLDAPURL "ldaps://ldap1.example.com […]
运行Windows 2012 R2的Microsoft PKI的默认安装包括CRL分发点(CDP)和授权信息访问(AIA)中的LDAP URL。 我想在我的组织之外颁发证书,但是我不希望证书中包含内部LDAP地址。 有没有理由认为从我的扩展中删除LDAP地址现在或将来会造成伤害?
在Windows计算机上使用基于802.1x证书的身份validation时,是否应为每台计算机使用不同的证书? 在networking中运行RADIUS服务器,机器使用EAP-TLS与networking交换机通信。 如果我应该如何为数百台电脑分发这些证书? 这是否总是需要人工干预? 我在想,没有证书的PC不能连接到networking,所以这样的任务不能使用GPO轻松编写脚本。 我可以想象这是添加新计算机或颁发新证书时出现的问题。