我想从X.509证书中提取原始的hexASN.1数据。 我知道,我可以通过使用DER格式和hexdump来做到这一点。 我对“主题”,“发行者”和他们的原始hexASN1数据等特定部分感兴趣。
我有困难获得客户端x509证书从Apache使用mod_proxy转发到Tomcat。 从观察和阅读一些日志,似乎Apache客户端正在接受客户端x509证书。 但是,当Apache向Tomcat发送SSL请求时(它具有clientAuth =“want”),看起来不像在ssl握手期间传递客户端x509证书。 在Tomcat握手过程中,有没有一种合理的方法来查看Apache使用客户端x509证书所做的工作? 以下是我正在使用的环境:Apache / 2.2.3 Tomcat / 6.0.29 Java / 6.0_23 OpenSSL 0.9.8e 这是我的Apache VirtualHost SSLconfiguration: <VirtualHost xxx.xxx.xxx.xxx:443> ServerName xxx ServerAlias xxx SSLEngine On SSLProxyEngine on ProxyRequests Off ProxyPreserveHost On ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel debug SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /usr/local/certificates/xxx.crt SSLCertificateKeyFile /usr/local/certificates/xxx.key SSLCertificateChainFile /usr/local/certificates/xxx.crt SSLVerifyClient optional_no_ca SSLOptions +ExportCertData CustomLog […]
使用以下方法查看证书的详细信息: openssl x509 -noout -text -purpose -in mycert.pem 我发现了一堆目标标志(我发现它们是通过连接到证书的各种扩展设置的)。 其中一个目的标志是“任何目的”。 我似乎无法find此标志上的任何文档,为什么或为什么不设置。 你们有没有人知道我在哪里可以find更多关于这个目的的信息? 谢谢,
我一直在寻找通过RFC 5280,1034和1123试图找出最大string长度是多less,但我找不到它。 我想知道你们有没有碰巧知道 对于那些了解X509v3证书的人员,您知道可以在证书中包含主题备用名称(SAN)。 有不同types的SAN:电子邮件地址,DNS名称,目录名称等 我将DNSNametypes的SAN添加到我的证书中,我无法确定DNSNametypes的SAN的最大长度。 你们有没有人知道?
我需要在Windows Server上快速生成一个自签名证书。 我想使用随附的标准CLI工具。 我知道我可以使用openssl。
有谁知道如何将IIS Expressconfiguration为需要客户端证书进行访问? 我正在尝试debugging使用客户端证书进行身份validation的有问题的ASP.NET应用程序。
我试图设置OCSPvalidation例程,所以首先要对环境感到舒适。 在例如OpenSSL中find优秀的教程:根据OCSP手动validation证书 。 出现多个问题,请耐心等待。 自从那个教程以来有了一些变化,但我认为主要是: 1)抓住你想validation的证书,例如 openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/—–BEGIN/,/—–END/p' > wikipedia.pem 2)build立证书链,例如 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem 然后进行适当的编辑。 我发现上面没有提供自签名的CA证书GlobalSignRootCA,所以join了。 3)确定ocsp URI,例如 openssl x509 -noout -ocsp_uri -in wikipedia.pem 哪个返回 http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4)调用openssl ocsp客户端,例如 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 哪个返回 [woody@oc2042275410 testCerts]$ […]
你能想到用于保存HTTPS服务器提供的证书的任何linux命令行方法吗? 沿curl / wget / openssl行的东西做一个SSL连接,并保存证书,而不是HTTP响应内容。 相当于我正在寻找的gui将浏览到HTTPS网站,双击浏览器的“安全网站”图标,并导出证书。 除了这里的目标是非交互式的。 谢谢,吉姆
关于这个话题有很多资源,但是我没有发现哪个涵盖了这个稍微特殊的情况。 我有4个文件; privatekey.pem certificate.pem intermediate_rapidssl.pem ca_geotrust_global.pem 我希望将它们导入新的密钥库。 某些站点build议使用DER格式,并逐个导入它们,但由于密钥未被识别而失败。 另一个网站build议一个特殊的“ImportKey”类来运行导入,这工作,直到我看到链断了。 即在证书链长度是1,忽略中间和约。 一些网站build议PKCS7,但我甚至不能得到一个链。 其他的build议PKCS12格式,但就我的testing失败,以及获得整个链。 任何build议或提示都非常受欢迎。
我可以从根CA获得证书,然后我可以使用它来签署我自己的Web服务器证书吗? 如果可能,我会使用签名证书作为中间人签署其他证书。 我知道我必须用“我的”中间证书以某种方式configuration我的系统,以便向我的客户提供关于信任链的信息。 这可能吗? 根CA是否愿意签署这样的证书? 这个很贵吗? 背景 我熟悉SSL的基础知识,因为它涉及通过HTTP保护Webstream量。 我还对信任链的工作方式有了一个基本的了解,因为如果您使用具有有效链的证书进行encryption,那么根据浏览器的确定,networkingstream量将被“默认”保护/ OS供应商。 我也知道,许多根CA已经开始用中级证书为最终用户(如我)签名证书。 这可能需要在我的一端更多的设置,但否则,这些证书将正常工作。 我想这与保护CA的全部有价值的私钥以及如果我曾经被盗用过的灾难有关。 例子 https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs 现在,我们绝对不是这些组织的规模,但他们似乎正在做这样的事情。 这肯定会使这些证书的pipe理更加可口,尤其是考虑到我们正在扩大电子商务平台的范围。