我有一个已经绑定到SAN的新SSL证书的站点(4个附加名称)。 证书有一个2048位的密钥。 问题是,它可以在一些浏览器/操作系统组合上运行,但不能在其他浏览器/ IE7 / Win XP – 失败 IE6 / Win 2003 – 失败 IE8 / Win XP /公司代理 – 确定 IE8 / Win 7 /其他公司代理 – 失败 IE9 / 10 / Win 7 – OK Chrome / Win 7 – 确定 Firefox / Win 7 – 确定 Chrome / Android – 确定 注意:两个公司代理人在两个不同的国家是非常不同的组织。 […]
我目前有服务器SSL的地方,以便客户端有一个安全的连接到我的networking服务器。 我期待实现客户端SSL证书,除了定期的用户名/密码login,但我很难理解究竟需要发生什么。 每个用户应该收到自己的证书吗? 这应该创build用户帐户时生成? 用户是否应该为他们使用的每个设备收到单独的证书? (即手机,平板电脑,电脑) 证书DN中的字段应该是什么? 对于每个用户证书,是否应该有对应的私钥或所有证书的单个密钥? 这些用户证书是如何分发的? 有没有一种自动的方式来安装它们? 他们是否应该存储在服务器上下载?
我有一个关于SSL证书的问题。 我使用Openssl来生成证书:我遵循这个教程 。 我的目标是产生: .CRT 。键 .PEM 有可能使用keytool获得相同的文件?
我成功地使用SSLconfiguration了tomcat,并使用了自签名证书。 最近出现了一个问题,就是让客户“接受/信任”我们的证书并不容易。 我们最终为该服务器购买了verisigin证书。 我已将新证书添加到密钥存储区的证书中。 我更新了tomcat的server.xml文件以使用别名来获取新的证书。 我已经重新启动了Tomcat和服务器。 每次我连接到服务器,我得到旧的证书。 Enviornment: Windows 2008 R2 – 64位 Tomcat 6.0.29 – 作为服务安装 Java 1.6.0_23 来自server.xml的 连接器 : <Connector port="443" maxThreads="150" scheme="https" secure="true" SSLEnabled="true" keystoreFile="keystore.keys" keyalias="webapps2013" keystorePass="Redacted" clientAuth="false" sslProtocol="TLS" protocol="HTTP/1.1" /> 我甚至尝试改变密钥存储,通过将旧证书移动到不同的别名,并添加我的新的证书,旧的别名是什么。 我已经从多个浏览器和工作站尝试过了。 (清除我的caching。) 那么我需要做些什么才能让tomcat获取并提供新的证书? 更新: 在其中一个评论的build议之后清除tomcatscaching。 我停止了tomcat,删除了$ {CATALINA_HOME} / work并重新启动了tomcat。 它仍然在服务旧的证书。 更新2: 我查看了jakarta_service_date.log catalina.date.log manager.date.log stdout.date.log和stderr.date.log我没有看到任何证书错误。 虽然我正在看到会话序列化的一个奇怪的错误。 Dec 11, 2013 […]
我需要使用Active Directory证书颁发机构在IIS中为SSL绑定颁发证书。 据我所知,它应该有Purpose = Auth服务器,并包含私钥/可导出。 但是, https://dc.domain.local/certsrv/certrqma.asp中的 Template = Web Server具有checkbox“将键标记为可导出”,但未被选中和禁用。
当我为内部CA构build自签名证书时,是否应该使发布者DN与请求中的DN匹配,是否应该不同,还是没有任何约定?
我们的最终用户在Outlook中收到以下对话框,指出不正确的内部域名(domain.internal)。 如果使用Outlook Anywhere,则不会收到对话框。 点击查看证书显示使用互联网域名(domain.org.au)正确安装的SSL证书。 是否需要将内部域名添加到SSL证书中? 如果是这样,怎么样? 还是有另一个修复?
我使用这个参考在CENTOS 6.3上用apache 2.2在同一个ip上设置多个ssl ceritificates <VirtualHost *:443> ServerAdmin webmaster @ localhost ServerName www.domain1.org ServerAlias domain1.org DocumentRoot /var/www/vhosts/domain1.org/ #SSL引擎开关: #启用/禁用此虚拟主机的SSL。 SSLEngine上 #可以通过安装创build一个自签名(snakeoil)证书 #ssl-cert包。 看到 #/usr/share/doc/apache2.2-common/README.Debian.gz了解更多信息。 #如果密钥和证书都存储在同一个文件中,则只有 #SSLCertificateFile指令是需要的。 SSLCertificateFile /home/tmp/ssl/domain1.crt SSLCertificateKeyFile /home/tmp/ssl/domain1.key </虚拟主机> <VirtualHost *:443> ServerAdmin webmaster @ localhost ServerName www.domain2.org ServerAlias domain2.org DocumentRoot /var/www/vhosts/domain2.org/ #SSL引擎开关: #启用/禁用此虚拟主机的SSL。 SSLEngine上 #可以通过安装创build一个自签名(snakeoil)证书 #ssl-cert包。 看到 #/usr/share/doc/apache2.2-common/README.Debian.gz了解更多信息。 #如果密钥和证书都存储在同一个文件中,则只有 #SSLCertificateFile指令是需要的。 SSLCertificateFile /home/tmp/ssl/domain2.crt SSLCertificateKeyFile /home/tmp/ssl/domain2.key […]
我试图使用Postfix(RHEL6上的版本2.6.6)通过内部networking上的邮件中继来连接和发送邮件。 我想在端口25上连接STARTTLS(端口465在此服务器上不可用)。 邮件中继使用自签名的SSL / TLS证书,因此我需要使用证书颁发机构来跳过证书validation。 我发现smtp_tls_security_level = fingerprint ,它不检查信任链,到期date等,而是使用证书指纹进行validation。 我认为这是一个完美的解决scheme,但是当我尝试发送电子邮件时,我仍然在/var/log/maillog发现错误,说postfix/smtp[15182]: certificate verification failed for xxxxxxxxxxxx[zz.zz.zz.zz]:25: untrusted issuer 。 我认为fingerprint安全级别的要点是跳过证书validation。 我误解了这个选项的意思吗? 还有什么我需要configuration? 以下是main.cf中的相关行: relayhost = [xxx.xxx.xxx] smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl-passwords smtp_sasl_security_options= smtp_generic_maps = hash:/etc/postfix/generic smtp_use_tls = yes smtp_tls_security_level = fingerprint smtp_tls_fingerprint_digest = sha1 # fingerprint changed for ServerFault. just an example. smtp_tls_fingerprint_cert_match = c1:d3:54:12:00:r0:ef:fa:42:48:10:ff:ac:1e:75:13:dd:ad:af:3e […]
我试图创build一些证书使用MySQL和一切正常,如果我使用sha1algorithm。 如果我添加-sha256开关或-sha384我不能连接到MySQL! 我得到这个错误: 错误2026(HY000):SSL连接错误:ASN:坏的其他签名确认 我在这里发现了一个类似的问题,但接受的解决scheme是使用-sha1。 我想使用sha2,因为微软,谷歌和Firefox不推荐使用sha1了。 这是我用来创build密钥的。 如果我删除了-sha256开关它使用sha1工作正常。 我也尝试了与2048位密钥,同样的问题 openssl genrsa 4096 > ca-key.pem openssl req -sha256 -new -x509 -nodes -days 10000 -key ca-key.pem -out ca-cert.pem openssl req -sha256 -newkey rsa:4096 -days 10000 -nodes -keyout server-key.pem -out server-req.pem openssl rsa -in server-key.pem -out server-key.pem openssl x509 -req -sha256 -in server-req.pem -days 10000 -CA ca-cert.pem -CAkey […]