タグ付けされた質問 「certificate」

2台のDebianサーバーを保守する責任があります。セキュリティ証明書で何かをしなければならないときはいつでも、私はチュートリアルのためにGoogleを使い、最終的に機能するまで打ち負かします。 しかし、私の検索では、私は多くの場合、異なるファイル形式に遭遇（.key、.csr、.pem）私は、各ファイル形式の目的が何であるかの良い説明を見つけることができていたことがありません。 ここServerFaultの善良な人々がこの問題について何らかの説明を提供できるかどうか疑問に思っていましたか？

1343 certificate  pki 

私はWindowsを使用していますが、.cerファイルが与えられています。詳細を表示するにはどうすればよいですか？

112 ssl-certificate  openssl  certificate 

のような二重ワイルドカードをサポートする証明書があるかどうか知りたいの*.*.example.comですが？私は現在のSSLプロバイダー（register.com）に電話をかけたばかりで、そこの女の子はそのようなものは何も提供しておらず、とにかくそれが可能だとは思わないと言った。 これが可能かどうか、そしてブラウザがこれをサポートしているかどうか、誰にも教えてもらえますか？

93 ssl  subdomain  certificate  wildcard 

Windows Server 2008上で実行されているExchange 2007サーバーがあります。クライアントは別のベンダーのメールサーバーを使用します。それらのセキュリティポリシーでは、強制TLSを使用する必要があります。これは最近まで正常に機能していました。 現在、Exchangeがメールをクライアントのサーバーに配信しようとすると、次のログが記録されます。 ourclient.comのトランスポート層セキュリティ（TLS）証明書の検証がステータス「UntrustedRoot」で失敗したため、コネクタ「デフォルトの外部メール」上のドメインセキュアドメイン「ourclient.com」へのセキュア接続を確立できませんでした。ourclient.comの管理者に連絡して問題を解決するか、ドメインセキュアリストからドメインを削除してください。 ourclient.comをTLSSendDomainSecureListから削除すると、日和見TLSを使用してメッセージが正常に配信されますが、これはせいぜい一時的な回避策です。 クライアントは、非常に大規模でセキュリティに敏感な国際企業です。弊社のIT担当者は、TLS証明書の変更を認識していないと主張しています。検証エラーをトラブルシューティングできるように、証明書を生成した機関を特定するように繰り返し求めましたが、これまでのところ、彼は答えを提供できませんでした。私が知っている限りでは、クライアントは有効なTLS証明書を社内の認証局からのものに置き換えることができました。 WebブラウザでリモートHTTPSサーバーの証明書に対してできるように、リモートSMTPサーバーのTLS証明書を手動で検査する方法を知っている人はいますか？誰が証明書を発行したかを判断し、その情報をExchangeサーバー上の信頼されたルート証明書のリストと比較すると非常に役立ちます。

63 windows-server-2008  security  exchange-2007  certificate  tls 

IIS7を搭載したWin 2008 SP2マシンを検討してください。タスクは、このマシン上の唯一のサイトに証明書とホスト名を適用することです。サイトのホストヘッダーはabc.123.example.com 最初のステップは、.pfxをパーソナルストアにインストールすることでしたが、成功しました。 IIS7は、証明書が利用可能であると判断しますが、ホスト名の入力を許可しません。ホスト名のテキストボックスは、証明書を選択する前でも常に無効/グレーアウトされています。デフォルトのポート80バインディングも削除しました。 質問：このサイトのホスト名を設定するにはどうすればよいですか？この証明書がワイルドカード証明書であることは問題ですか？SSL要求がWebサーバーに送信され、パケットのホストヘッダーが暗号化されることを理解しています。なぜIIS6ではホストヘッダーを指定できますが、IIS7では指定できませんか？ 更新：証明書は問題の一部ではありません。マシン上に新しいサイトを作成しました。httpsバインディングを選択すると、ホスト名のテキストボックスが無効になります。

47 windows-server-2008  iis  iis-7  ssl-certificate  certificate 

ペリカンのブログを機能させようとしています。lftpを使用して実際のブログをサーバーに転送しますが、常にエラーが発生します。 mirror: Fatal error: Certificate verification: subjectAltName does not match ‘blogname.com’ lftpはSSLをチェックしており、Pelicanのクイックセットアップでは、FTPにSSLがないことを含めるのを忘れていました。 これはPelicanのMakefileのコードです： ftp_upload: $(OUTPUTDIR)/index.html lftp ftp://$(FTP_USER)@$(FTP_HOST) -e "mirror -R $(OUTPUTDIR) $(FTP_TARGET_DIR) ; quit" ターミナルで次のようにレンダリングします： lftp ftp://username@blogname.com -e "mirror -R /Volumes/HD/Users/me/Test/output /myblog_directory ; quit" これまで管理してきたのは、Makefileを次のように変更してSSLチェックを拒否することです。 lftp ftp://$(FTP_USER)@$(FTP_HOST) -e "set ftp:ssl-allow no" "mirror -R $(OUTPUTDIR) $(FTP_TARGET_DIR) ; quit" 実装が正しくないため、正しくログインします（lftp username@myblog.com:~>）が、1行の機能が動作しなくなり、ミラーコマンドを手動で入力する必要があります。 mirror …

46 ssl-certificate  certificate  ftp  verification 

私の会社は、サーバーベースの製品用のWindowsインストーラーを配布しています。ベストプラクティスに従って、証明書を使用して署名されます。伴い、マイクロソフトのアドバイス、我々は使用したGlobalSignコード署名証明書のMicrosoftの主張は、すべてのWindows Serverのバージョンによって、デフォルトでは認識されています、。 サーバーは、で構成されていない限りさて、これはすべてうまく機能コンピュータの構成/管理用テンプレート/システム/インターネット通信の管理/インターネット通信の設定は、/自動ルート証明書の更新をオフにする：グループポリシーとして有効。 初期のベータテスターの1つがこの構成で実行されていたため、インストール中に次のエラーが発生しました。 キャビネットファイル[cabファイルへの長いパス]に無効なデジタル署名があるため、必要なファイルをインストールできません。これは、キャビネットファイルが破損していることを示している可能性があります。 システムがこのように構成された理由を誰も説明できなかったため、これを奇妙なものとして書き留めました。ただし、ソフトウェアが一般的に使用できるようになったため、顧客の2桁（パーセント）がこの設定で構成されているように見え、誰もその理由を知りません。多くの人は設定を変更したがりません。 お客様向けにKB記事を作成しましたが、実際にカスタマーエクスペリエンスを重視しているため、問題がまったく発生することは望ましくありません。 これを調査中に気づいたいくつかのこと： Windows Serverの新規インストールでは、信頼されたルート証明機関のリストにGlobalsign証明書が表示されません。 インターネットに接続されていないWindows Serverでは、ソフトウェアのインストールは正常に機能します。インストールの最後に、Globalsign証明書が存在します（弊社がインポートしたものではありません）。バックグラウンドでは、Windowsは最初の使用時に透過的にインストールするように見えます。 だから、ここに再び私の質問があります。ルート証明書の更新を無効にするのはなぜ一般的なのですか？更新を再度有効にすると、潜在的な副作用は何ですか？お客様に適切なガイダンスを提供できるようにしたいと思います。

40 windows  group-policy  certificate 

独自のCAで作成し、この方法で自己署名SSL証明書を生成できます。しかし、ブラウザに証明書を「拡張検証SSL証明書」として表示させるには何が必要ですか？ 自分で作成して、ブラウザにEVとして表示するように教えることはできますか？

34 ssl-certificate  https  certificate 

ウェブメールやphpMyAdminなどにログインするとき、安全な接続が必要です。 そのため、OpenSSLで独自のSSL証明書に署名し、ポート443でリッスンするようApacheに指示しました。 これは実際に安全ですか？私のすべてのパスワードは本当に安全でセキュアなレイヤーを介して送信されますか？VerisignからSSL証明書を購入するか、自分の証明書に署名すると、どのような違いが生じますか？結局、すべてのデータは私のサーバーに保存されます。それで、大きな違いは何ですか？

33 security  ssl  openssl  certificate 

リモートデスクトップサービスファームをセットアップしていますが、使用する証明書の構成に問題があります。私が見ている問題のデモンストレーションは、ステップ4にあります。 この時点で、ユーザーインターフェイスに問題があると確信しており、それらを回避する方法を探しています。リモートデスクトップサービスで証明書を構成して、設定を保持してGUIに反映する方法はありますか？そうでない場合、設定が正しいことを確認する方法はありますか？ ステップ＃1-使用する証明書を作成します。 RD Webアクセスで使用する証明書を構成しました。証明書はRD接続ブローカーの証明書MMCに保存され、そのコンピューターからファームを構成しています。 RD Webアクセスに独自の証明書を生成させることで、次のプロパティが必要であることがわかりました。 強化されたキー使用法 サーバー認証 クライアント認証 これは必須ではありませんが、自己署名証明書には含まれています。 キーの使用法 デジタル署名 キー契約 サブジェクトの別名 DNS Name = domain.com 自己署名証明書の生成に関する迂回 手っ取り早い方法として、powershellを使用して自己署名証明書を作成する際の問題を回避することができました。New-RDCertificateコマンドレットのドキュメントには、次の例があります。 PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx" これをシェルに入力すると、関数Get-Serverが見つからないというエラーメッセージが表示されます。使用する前にNew-RDCertificate、でRemoteDesktop Moduleをインポートする必要がありますImport-Module RemoteDesktop。 ステップ＃2-すぐに使用できる動作を観察する [サーバーマネージャー]-> [リモートデスクトップサービス]-> [コレクション]に移動し、[コレクション]グループの[タスク]ドロップダウンリストから[展開プロパティの編集]を選択して[展開プロパティ]ダイアログボックスに初めてアクセスすると、次の画面が表示されます： levelフィールドが「未構成」としてリストされているため、このウィンドウは誤解を招きます。正しく理解できれば、3つの役割サービスすべてが自己署名証明書を使用しています。RD Webアクセスロールの場合、これはWebサイトにアクセスして確認できます。 …

32 ssl-certificate  remote-desktop  certificate  windows-server-2012  remote-desktop-services 

実行中のssh-agentに追加するPEMファイルがあります。 $ file query.pem query.pem: PEM RSA private key $ ssh-add ./query.pem Identity added: ./query.pem (./query.pem) $ ssh-add -l | grep query 2048 ef:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ./query.pem (RSA) ファイルから直接キーの指紋（ssh-agentに表示されます）を取得するにはどうすればよいですか？ssh-keygen -l -f some_key「通常の」sshキーで機能することは知っていますが、PEMファイルでは機能しません。 .pemファイルでssh-keygenを試してみると、次のようになります。 $ ssh-keygen -l -f ./query.pem key_read: uudecode PRIVATE KEY----- failed key_read: uudecode PRIVATE KEY----- failed ./query.pem is not a …

30 ssh  openssl  certificate  fingerprint 

このトピックに関するリソースはたくさんありますが、この少し特殊なケースをカバーするものは見つかりませんでした。 4つのファイルがあります。 privatekey.pem certificate.pem Intermediate_rapidssl.pem ca_geotrust_global.pem そして、それらを新しいキーストアにインポートしたいと思います。 一部のサイトではDER形式を使用し、それらを1つずつインポートすることを提案していますが、キーが認識されないため失敗しました。 別のサイトは、インポートのために実行する特別な「ImportKey」クラスを提案しましたが、これはチェーンが壊れていることがわかるまで機能しました。つまり、証明書のチェーンの長さは1で、中間とcaを無視します。 PKCS7を推奨するサイトもありますが、そこからチェーンを得ることさえできません。他の人はPKCS12形式を提案していますが、私のテストでは、チェーン全体を取得するのに失敗しました。 アドバイスやヒントは大歓迎です。

29 certificate  openssl  x509  keystore 

私の顧客は、アプリケーションが機能するために自己署名証明書を使用しています。動作するには、証明書の署名に使用したルート証明書をインストールする必要があります。 1つのドメインに対してのみ検証するようにルート証明書を構成することは可能ですか？

28 certificate  restrictions 

最近、ドメイン用のワイルドカードSSL証明書を購入しました。すべての証明書をJavaキーストアに変換しましたが、今は後で使用するためにどこに保存するかを自問しています。 これらのタイプのファイルにBitBucketのようなソース管理を使用するのか、それが必要なときに毎回生成するのか、それとも何か他のものですか？ これらの証明書を将来の使用に備えて保存するための標準的なソリューションまたは「ベストプラクティス」があるのか​​どうか疑問に思っています。

26 ssl-certificate  certificate  best-practices 

.p12ファイルから.keyファイルと.crtファイルをどのくらい正確に生成しますか？

24 apache-2.2  ssl  certificate  openssl