哪个CA商店提供了一个允许您签署自己的SSL证书的产品? (称为子域名)有没有可行的select? 附加信息: 我们正在部署一个带有安全networking接口的产品,以便在不同客户的地点进行大量安装。 客户端用户将从任何普通的Web浏览器访问他们的门户。 由于replace/更新这些证书是不可行的,长达十年或更长的失效date是理想的。 可能的选项(和缺点): – 使用自签名证书(用户将看到浏览器错误/警告) – 使用通配符或多个cn证书。 (由于PK在不信任的客户端之间共享,所以安全性较低) – 成为链接的证书颁发机构并签署证书(昂贵的) – 为每个安装购买单个/批量证书(昂贵且麻烦)
我有3个网站: aaa.my-domain.com , bbb.my-domain.com和ccc.my-domain.com都使用IIS 7.5上的单个通配符证书*.my-domain.com Windows Server 2008R2 64位。 该证书在一个月内到期,我的服务器上准备了新的通配证书*.my-domain.com 。 我希望所有这些域都使用新的通配符证书,而不会显着停机。 我尝试通过用户界面通常取代aaa.my-domain.com证书开始: 但是当我按下确定,我得到以下错误: —————————编辑网站绑定——————– ——- 至less有一个其他站点使用相同的HTTPS绑定,并使用不同的证书configuration绑定。 您确定要重新使用此HTTPS绑定并重新分配其他站点以使用新证书? —————————是否——————— —— 当我单击是时 ,我收到以下消息: —————————编辑网站绑定——————– ——- 与此绑定关联的证书也被分配给另一个站点的绑定。 编辑此绑定将导致其他站点的HTTPS绑定不可用。 你还想继续吗? —————————是否——————— —— 此消息告诉我, https://bbb.my-domain.com和https://ccc.my-domain.com将变得不可用。 而且至less在我完成这两个领域的证书replace之前,我将会有宕机,对吗? 我在想,这样做肯定有一个更明智的方法。 可能通过命令行立即replace所有网站的新通配符证书。 我在网上找不到任何资源如何做到这一点。 有任何想法吗? 与通配符和绑定相关的站点: http://www.diaryofaninja.com/blog/2010/09/01/binding-multiple-domains-to-a-wildcard-ssl-on-a-single-ip-in-iis-75 http://www.computer-howto.com/2011/08/running-multiple-ssl-iis-sites-iis7-75/ https://stackoverflow.com/questions/3895675/how-to-install-wildcard-ssl-cert-on-iis-7-5 http://blogs.msdn.com/b/asiatech/archive/2010/12/27/setting-up-a-wildcard-certificate-in-iis-7-how-to-avoid-those-certificate-mismatch- errors.aspx 与从命令行绑定证书相关的站点: IIS7从命令行添加证书到站点 https://stackoverflow.com/questions/591597/how-to-assign-a-ssl-certificate-to-iis7-site-from-command-prompt
通常,当我移动服务器时,我会重新请求CSR并安装证书。 希望如果有一个更快的方式,我可以导出/导入SSL证书,当我把我的网站移动到另一台服务器。 我正在使用Windows Server 2008(R2)。
在Server 2003上的IIS 6中,我可以访问网站的属性并通过向导来生成新的证书请求。 一旦我完成了请求并在网站上安装了证书,我就可以进入证书存储区并使用私钥导出证书,设置密码并将其保存为PFX文件。 当我在2008R2的IIS 7中执行类似的过程时,我可以生成CSR并完成请求。 但是,证书存储区中的证书不能使用私钥导出并保存为PFX文件。 是否有一些选项或步骤我在过程中丢失,以便私钥可以在IIS 7中导出?
从Exchange 2003升级到Exchange 2010之后,我试图创build一个可以在内部和外部(由员工)使用的证书。 以前在Exchange 2003中,我们不需要内部使用的证书,所以我们只需从内部CA创build一个证书,并使用OWA的外部主机名的CN。 但是,使用Exchange 2010,Outlook也在内部使用RPC over HTTPS。 除非我错过了某些东西,否则看起来好像带有Windows服务器的内部CA不允许使用SAN创build证书。 内部使用的证书需要由Windows CA所信任的CA创build。 但是为了允许员工的家用PC通过HTTPS通过RPC进行连接,似乎不可能configurationOutlook来连接,因为证书错误0x00000010 (FLAG_CERT_CN_INVALID) 如果我可以将外部CN包含为SAN,这将得到纠正。 由于只有一小部分员工希望在任何地方使用Outlook,我们宁可不必购买外部信任的SSL证书。 这是可能的,还是我们需要花一些现金来实现这个目标?
我在IIS / Windows 2008R2上托pipe一个带有通配符ssl证书的ASP.NET网站。 虽然Chrome在我的网站上正常工作,并且https连接显示绿色locking,但https详细信息提到了“过时的encryption”: 我认为这是由于SHA1,这也是在同一窗口中的铬提到的。 但是,根据Digicert的SSL证书检查器,应该使用SHA256: 现在我不确定发生了什么,以及如何解决这个问题。 看来这个博客文章描述了这个问题的解决方法,但是解决方法似乎很模糊(1.步骤:安装OpenSSL?),我无法想象这是在Windows 2008 R2上使用它的官方方式。 我应该如何继续摆脱ssl证书警告? 编辑:应用由Grant推荐的脚本后,我的SSLabs已经从C改进到A,Chrome使用TLS 1.2而不是1.0。 但是,“过时的密码学”警告仍然存在。
我正在尝试使用以下subjectAltName生成证书: hostname *.hostname hostname.mydomain.local *.hostname.mydomain.local 我通过OpenSSL生成CSR,然后从Microsoft Active Directory证书服务获取证书。 证书适用于以下替代名称: hostname hostname.mydomain.local *.hostname.mydomain.local 但是, *.hostname只是不起作用。 使用Curltesting,我得到以下输出: % curl https://m.example/ curl: (51) SSL: certificate subject name '*.example' does not match target host name 'm.example' 另一方面,如果我添加“m.example”作为subjectAltName ,那么它就起作用了。 所以,缩短主机名的通配符拒绝工作。
当我使用certutil它会返回这个错误: certutil: function failed: security library: bad database. 例如,我不能列出证书或密钥 我怎样才能解决这个问题?
我们有一个用例,我们希望为以下项目提供SSL证书: auth.SOME_ID.example.com 但是,会有多个SOME_ID的值。 是否允许auth.*.example.com使用SSL通配符证书,还是通配符必须是最高级别的子域?
我只有mycert.jks文件。 现在我需要提取并生成.key和.crt文件,并在apache httpd服务器中使用它。 SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 任何人都可以列出完成这一切的所有步骤。 我search,但没有具体的例子来理解,混合和匹配的步骤。 请build议! [编辑]从下面的答案按照下面的步骤后得到错误。 8/21/2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid 140151694997376] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: TRUSTED CERTIFICATE) […]