我正在尝试启用IIS7中托pipe的WebService的相互身份validation。 我有服务器端证书设置和工作,但无法弄清楚如何获得在IIS7中创build和设置的证书信任列表,以便我可以要求和validation客户端证书。 我所有的客户端证书都是由我自己的根证书签名的,因此我需要创build一个只包含我的根证书的CTL,然后让IISvalidation客户端提供的针对CTL的证书。 谁能阐明如何做到这一点? IIS6有一个用于分配CTL的UI,但在IIS7中我找不到任何类似的东西。 更新:我现在已经成功地在向导模式下使用MakeCTL创build一个友好名称的CTL。 但是,我没有adsutil支持我的IIS7框,所以通过其他post在其他地方我试图使用'netsh http添加sslcert'命令分配CTL到我的网站。 在我可以使用这个命令之前,我必须删除分配给我的站点的现有SSL证书进行服务器authentication。 然后在我的netsh命令中,指定我删除的SSL证书的指纹,加上一个appid,加上'sslctlidentifier = MyCTL sslctlstorename = CA'。 结果命令是: netsh http add sslcert ipport = 10.10.10.10:443 certhash = adfdffa988bb50736b8e58a54c1eac26ed005050 appid = {ffc3e181-e14b-4a21-b022-59fc669b09ff} sslctlidentifier = MyCTL sslctlstorename = CA (IP地址是munged),但我得到这个错误: SSL证书添加失败,错误:1312指定的login会话不存在。 它可能已经被终止了。 我相信这个错误与CTL选项有关,因为如果我删除它,它就可以工作(尽pipe当然没有CTL被分配)。 任何人都可以帮助我采取这最后一步,使这项工作? 更新01-07-2010:我从来没有解决这个与IIS 7.0,并已经迁移到IIS 7.5我们的应用程序,并给予另一个尝试。 根据Taras Chuhay的回复,我在我的testing服务器上安装了IIS6兼容性,并尝试使用adsutil.vbs(也可以在此处find)logging的步骤。 我立即遇到了这个错误: ErrNumber:-2147023584尝试设置属性的错误:SslCtlIdentifier 运行这个命令时: adsutil.vbs设置w3svc / 1 / SslCtlIdentifier MyFriendlyName 然后,我继续尝试下一个adsutil.vbs命令logging,它失败了相同的错误。 […]
问题: 在非docker解决scheme中,SSL证书可以位于/etc/pki/CA/ ….以及在/etc/httpd/conf.d/*.conf文件中对这些文件的引用。 在一个安全的apache httpd服务器的docker镜像中如何pipe理/放置/使用这些SSL证书,而不是作为docker镜像的一部分? 目标: 使用提供的SSL证书为安全的apache httpd服务器创build一个docker映像。 想法如何解决这个问题: Docker卷可以通过使用docker run -v /HOST/SSL/PATH:/CONTAINER/SSL/PATH将证书从主机挂载到映像来解决这个问题,然后可以在映像中引用它。 这是要走的路吗,还是可以用另一种方式来解决这个问题呢?
我一直在尝试设置一个SSL证书几天,我从Namecheap.com购买它,我正在购买一个快速SSL通配符证书,我正在做以下几点: 生成一个csr – openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr 然后,我等待收到一封电子邮件,下载.crt文件 获取中间证书并将其保存到intermediatecert.crt 然后我cat intermediatecert.crt >> sslcertificate.crt 然后我将下面几行添加到我的nginx虚拟主机文件中 ssl_certificate /etc/ssl/sslcertificate.crt; ssl_certificate_key /etc/ssl/server.key; 然后,我重新启动我的服务器,并得到以下错误 [emerg]: SSL_CTX_use_PrivateKey_file("/etc/ssl/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch) 有没有人有任何想法? 固定 我解决了这个问题,不通过namecheap重新发布,直接快速重新发布并上传我的csr。
目前,我正在进行Google Apps for business 30天免费试用(付款已设置,因此即将开始免费试用)。 我试图为Google App Engine应用的自定义域名设置SSL,但是对于这些内容我有一点点小意,我收集的文件不被应用提交表单接受。 我经历了以下过程: openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key 填写完毕后, 请求信息(名称为www.mydomain.com),我有两个文件CSR.csr和privateKey.key。 我用一个SSL提供商CheapSSLs.com为我提供了一个关于这个CSR.csr的证书,并且他们已经用一个证书www_mydomain_com.crt 。 但是,在通过Google Apps信息中心 – >安全性 – >自定义域的SSL并上传www_mydomain_com.crt和privateKey.key我收到错误消息: 私钥和SSL证书都应该是未encryption的PEM格式。 任何帮助? 据我所知,他们是这样的格式:私人密钥看起来像: —–BEGIN PRIVATE KEY—– MIIEv… … …CftTU= —–END PRIVATE KEY—– 和.crt文件如下所示: —–BEGIN CERTIFICATE—– MIIFy… … …WJjk= —–END CERTIFICATE—–
我正在研究使用ECDHE-ECDSA,有很多关于为什么( https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/ )和( http:// blog例如,.cloudflare.com / ecdsa-the-digital-signature-algorithm-of-a-better-internet )。 显然,浏览器的支持并不好,但Chrome 30,Windows 8上的Internet Explorer 11,OS X 10.9上的Safari 7以及Firefox 26都支持TLS 1.2。 我已经看过几个CA,只有几个ECDSA(Verisign / Symantec)的签名证书。 我的问题是:如果我获得了ECDSA的证书并在我的密码链中正确回退,那么较旧的浏览器是否可以使用RSA? 我有这样的感觉,答案是否定的,因为如果你签署了RSA证书,你不能使用ECDSA,但是我想确定之前我排除了ECDHE-ECDSA。 保罗
我想知道一个SSL证书是否被撤销。 该网站不再提供该证书,我只有域名和序列号。 SSL证书在到期前5个月被replace,没有解释。 这对我来说听起来并不正常,因为这个证书的生命周期中有将近25%被“抛弃”了,所以我怀疑它被吊销了。 我想知道如何检查这一点,因为我只能find方法来检查“活”证书的状态。
如果有人能指点我一个工具或方法来从实时HTTPS连接(直接从networking)或networking跟踪文件(pcap文件)中提取SSL / TLS证书,我将不胜感激。 我尝试使用ssldump,但我无法提取证书。 我也可以使用Wireshark(手动),但我想以自动的方式做到这一点。 我为此使用Linux平台。 谢谢 编辑:我想提取的SSL证书比服务器发送到客户端(浏览器)在SSL握手期间。 我想使用networking嗅探器(tcpdump)来捕获networking中的SSL连接,然后从生成的pcap文件中提取证书(或者直播)。
我有一个连接到端口5061上的Lync Edge服务器的lync客户端。连接时出现无效的证书错误。 当我运行wireshark时,在TLS安装期间,在证书内部,我看到一个意外的发行者,具有Cisco Inc, STG, _internal_pp_ctl_phoneprocy_file的RDN序列Cisco Inc, STG, _internal_pp_ctl_phoneprocy_file 我有点困惑,这可能意味着什么,为什么这是目前。 我从零开始构build了这个服务器,从来没有在任何地方安装过思科证书 我认为这是思科防火墙或交换机的一些function(因为思科呼叫pipe理器曾经存在于环境中) 任何人都可以提供解释和可能的补救措施? 预期的发行人是“用户信任”/“networking解决scheme”/“networking解决schemeauthentication机构”,因为我在此Lync主机上使用通配符证书。
我想查看安装在机器级别的证书,如果我打开certmgr.msc。 我知道,我们可以打开一个mmc和应用程序snapmgr certmgr。 但我不想这样。 我知道我们可以使用certmgr.exe和-s和-r开关来实现相同的function。 但我不想这样做。 我想要的是,开始| 运行| certmgr.msc(有一些命令行选项 – 如果有的话)查看机器级证书。 目前默认为当前用户。 在IIS 7 / Win 2K8上,当我导入证书时,它被添加到HKLM。 我期待与certmgr.msc控制台类似的function。 如果我打开certmgr.msc,而不是打开当前的用户证书,我想打开机器级证书。 当我将证书导入受信任的根目录时,我希望将其添加到机器级别,而不仅仅是用户级别。 这种错误去mmc并添加一个pipe理单元。 如果我有一个(IIS6 / Win2K3)而不是(IIS 7 / Win 2K8) – 我将如何去添加certitifcate到机器级存储,而不是用户级存储使用certmgr.msc? 如果这个问题听起来不合理,那就是我想要达到的目标。 想法/想法赞赏。 根据mil bauer的回答于2015年10月30日编辑 – 如果您使用Win 8 / Server 2012 R2,请尝试使用certlm.msc打开证书 – 本地计算机。
我们正在开发一个Web项目,我们需要能够绑定到一个活动的目录域,然后将用户的凭据传递给域,以确保用户在我们允许他们访问我们的Web应用程序之前成功通过身份validation。 我们有HTTPS正常工作的前端接受凭据。 我们遇到的问题是我们的服务器和活动目录服务器之间的连接。 活动目录服务器由IT部门的不同部门维护,我们无法访问它。 此活动目录服务器正在使用自签名证书,并且没有完全限定的域名(即people.local)。 我读了很多地方谈论设置TLS_REQCERTvariables永远不会; 然而,我担心中间人的攻击,并不愿意离开这样的设置。 我还阅读了一些文章,讨论如何从Linux命令行查询活动目录服务器,查看自签名证书,将自签名证书保存到本地Linux服务器,然后使用此证书作为信任所以您不必将TLS_REQCERT设置为从不。 我不确定如何从Linux命令行查看和保存自签名证书。 我有一些我们正在运行的CentOS服务器,我们需要使其运行。 任何帮助,你可以提供将不胜感激。 提前致谢。