タグ付けされた質問 「certificate-authority」

暗号化では、認証局(CA)はデジタル証明書を発行するエンティティです。

6
証明機関のルート証明書の有効期限と更新
2004年に、Linux上のOpenSSLとOpenVPNで提供されるシンプルな管理スクリプトを使用して小さな認証機関を設定しました。当時見つけたガイドに従って、ルートCA証明書の有効期間を10年に設定しました。それ以来、OpenVPNトンネル、Webサイト、および電子メールサーバー用の多くの証明書に署名しました。これらすべての有効期間も10年です(これは間違っていた可能性がありますが、当時はわかりませんでした)。 CAのセットアップに関する多くのガイドを見つけましたが、その管理に関する情報はほとんどなく、特に、ルートCA証明書の有効期限が切れたときに何をする必要があるかについてはほとんど情報がありません。質問: ルートCA証明書の有効期限が切れた後に有効期間が延長された証明書は、ルートCA証明書の有効期限が切れるとすぐに無効になりますか、それとも有効であり続けますか(CA証明書の有効期間中に署名されたため)? ルートCA証明書を更新し、その有効期限をスムーズに移行するには、どのような操作が必要ですか? 何らかの方法で現在のルートCA証明書を別の有効期間で再署名し、新しく署名した証明書をクライアントにアップロードして、クライアント証明書が有効なままになるようにすることはできますか? または、すべてのクライアント証明書を、新しいルートCA証明書によって署名された新しい証明書に置き換える必要がありますか? ルートCA証明書はいつ更新する必要がありますか?有効期限が近づいていますか、それとも有効期限前の妥当な時間ですか? ルートCA証明書の更新が主要な作業になった場合、次の更新(もちろん、有効期間を100年に設定するのではなく)でスムーズな移行を確実にするために、今より良い方法はありますか? 一部のクライアントへの唯一のアクセスは、現在のCA証明書によって署名された証明書を使用するOpenVPNトンネルを介しているため、すべてのクライアント証明書を置換する必要がある場合、コピーする必要があるため、状況は少し複雑になります新しいファイルをクライアントに送信し、トンネルを再起動し、指を交差させて、後でファイルが表示されることを願っています。

6
CAルート証明書がすべてSHA-1で署名されるのはなぜですか(SHA-1は非推奨であるため)
SSL証明書はSHA-1を使用してもう署名できないことを理解しています。それでも、すべてのCAルート証明書はSHA-1で署名されています(ほとんど)。「おばあちゃんのSSLショップ」で信頼されなくなった同じアルゴリズムが、世界で最も安全な証明書としては問題ないということですか? 何か不足していますか?(キーの使用法?キーのサイズ?)

4
ワイルドカードSSL証明書を購入する場所を決定する方法は?
最近、ワイルドカードSSL証明書を購入する必要があり(多くのサブドメインを保護する必要があるため)、最初にどこで購入するかを検索したときに、選択肢の数、マーケティングクレーム、価格帯に圧倒されました。リストを作成して、大部分の認証局(CA)がサイト全体に塗りつぶしているマーケティングの仕掛けが合格したことを確認できるようにしました。結局のところ、私の個人的な結論は、CAのWebサイトの価格と快適さだけが重要であるということです。 質問:価格と素晴らしいWebサイトに加えて、ワイルドカードSSL証明書を購入する場所を決定する際に検討する価値があるものはありますか?

7
RedHatでcURL CAバンドルを更新する方法は?
私のバージョンのcURLにバンドルされているCAバンドルが古いという問題に直面しています。 curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html ドキュメントを読むことは、私が何をする必要があるか、またはそれを行う方法を理解していなかったので、私を助けませんでした。RedHatを実行していますが、CAバンドルを更新する必要があります。RedHatでCAバンドルを更新するにはどうすればよいですか?

2
エラーコード:ssl_error_rx_record_too_long
私は次のセットアップでnginxを持っています: server { listen 80; server_name site.com www.site.com; root /home/site/public_html; listen 443; #server_name site.com www.site.com; #root /home/site/public_html; ssl_certificate /root/site.pem; ssl_certificate_key /root/site.key; ただし、SSL接続を表示すると、次の結果が得られます。 An error occurred during a connection to grewpler.com. SSL received a record that exceeded the maximum permissible length. (Error code: ssl_error_rx_record_too_long) TrustWave Premium SSLSSL証明機関として使用しています。

1
信頼できないCAを信頼する-システムがそれを信頼する方法を制限できますか?
(プログラミングコードよりもOS構成に関係していると感じているため、StackOverflowではなくServerFaultに投稿されています)。 現在、サードパーティのWebサービスに接続するシステムを保守する責任があります。このWebサービスには十分なクライアント認証証明書が必要ですが、Webサービス自体は、自己作成ルート証明機関証明書(クライアント認証証明書を作成するのと同じルート)によって作成された自己署名証明書で保護されます。 現在のサービス証明書を既知の信頼できるリストに追加し、自己作成の認証局証明書を無視するだけで十分です。残念ながら、サービス証明書は定期的に変更されるため、認証局証明書は信頼できる必要があります。サービス証明書が更新されます。 ただし、Webサービスを実行している会社での経験に基づいて(個人的に)CA証明書を信頼していません-Webに漏洩しても驚かないでしょう-心配なことに、CA証明書にはキー使用制限がありません(外部のMITM攻撃は可能ですが、リモートではありますが、コード署名に使用される証明書の漏えいについてより懸念しています)。 コンピューター(現在はサーバーボックスですが、将来の通常のデスクトップクライアントボックス)にCAを信頼するように指示することはできますが、特定のキー使用法と可能なサブジェクト名(ドメイン名) )? サーバーは現在Windows Server 2012 R2ですが、デスクトップコンピューターはすべてWindowsボックスですが、Linuxボックスで実行できます。

4
FirefoxにシステムCA証明書を信頼させる方法は?
ネットワーク管理者は最近、ファイアウォール/ルーターでHTTPS検査を有効にしました。IEユーザーの場合、ドメインに参加しているマシンのActive Directoryを介してすべての証明書が配布されているため、これは問題ありません。ただし、実際にはすべてのHTTPSサイトで証明書エラーをスローしているFirefoxユーザーが多数います。 Firefoxは独自のCAストアを使用しており、彼らもそれを誇りに思っています。Firefoxにデフォルトでシステム証明書ストアを信頼させる方法はありますか?Linuxでこれを行う方法に関する記事はたくさんありますが、Windowsには何もありません。 私はこの投稿からそれは不可能だと思うが、その投稿はほぼ4歳である。

5
CAの秘密キーを保護する方法は?
私は自分の認証局(CA)を内部使用のみに実装しようとしています。 現在、CAプライベートが悪用されることは決してないという問題があります。そのため、現在、秘密鍵は暗号化されています。 秘密鍵のセキュリティを強化するために他に何ができますか?

3
電子メール暗号化用に独自のS / MIME証明書を作成できますか?[閉まっている]
閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか? 質問を更新することがありますので、話題のサーバー障害のため。 去年閉鎖されました。 ここで少し問題があります。これは「正しい質問をしていない」場合がありますので、ご容赦ください。 背景:Apple Mailの使用。電子メールを暗号化/復号化したいが、GPGMail(および明らかにPGP)はSnow Leopardではサポートされていません。 基本的に、電子メールの暗号化で使用するS / MIME証明書を作成する必要があります。私は認証局を望んでいませんし、気にしません。私はただ、手っ取り早い証明書が欲しいだけです。これも可能ですか(OPENSSLなどを使用)、またはプロセス全体が上位の機関に依存して、本格的なCAをセットアップするか、証明書を取得する会社(Verisign、Thawteなど)に対処する必要がありますか?私の基準はすぐに満足し、無料です。 ベスト。


2
letsencryptではなくDNSレコードを使用して自己署名証明書を検証しない理由
私はただ疑問に思っていました。多くのSSL証明書を使用します。最近では、ほとんど専らletsencryptを使用しています(ありがとう!)。これらの証明書の要点は、証明書のドメイン名の所有権の証明は、これらのドメインの下でDNSレコードまたはWebサイトを操作する力に由来するということです。DNS証明は、いくつかのキー(letsencryptで指定)をTXTレコードとしてDNSに追加することから得られます。 したがって、ドメインのDNSレコードを変更できる十分な証拠であれば、DNSのフィンガープリントで自己署名証明書を使用してみませんか? DNSベースのletsencrypt(およびその他のCA)の手順とまったく同じ信頼性が得られると思います。 自己署名CAを作成します(さまざまな方法の手順に従うだけです) いくつかのドメインの証明書を作成します 手順1のCAを使用して手順2の証明書に署名します。これで、信頼されていないCAによって署名された基本証明書が作成されました。 TXT(または専用)レコードを各ドメインのDNSに追加して、このCAでこのドメインの証明書に署名したことを示します。いいね: 'CA = -fingerpint of CA-' ブラウザは証明書をダウンロードし、CAのフィンガープリントとCA証明書を特定のドメインのDNS内のデータと比較することにより、証明書を検証します。 これにより、基本的なSSL証明書と同じ信頼レベルで、第三者の干渉なしに信頼できる自己署名証明書を作成できます。DNSにアクセスできる限り、証明書は有効です。暗号化などのDNSSECを追加して、CAとSOAレコードからハッシュを作成し、DNSレコードの変更で信頼が失われるようにすることもできます。 これは以前に考慮されましたか? ジェルマー

2
MS証明書サービスはOpenSSLで作成されたCAの下位になれますか
ドメインのエンタープライズ証明機関をセットアップしたい。そのため、さまざまな目的で証明書を発行できます。オフラインCAをルートとして持つベストプラクティスに従い、エンタープライズCAを下位としてセットアップしたいと思います。しかし、このタスクのためにWindowsの完全なコピーのライセンスを取得するのはばかげているようです。 私ができることを望んでいることは、ライブディストリビューションをUSBフラッシュディスクにインストールしてから、opensslをインストールし、フラッシュドライブにCAをセットアップすることです。ルートキー/証明書を作成する準備ができたら、コンピューターをネットワークから切断し、ネットワークに接続されたコンピューターでそのUSBディスクを使用することはありません。 WindowsエンタープライズCAの下位CA証明書を適切に署名して作成できますか。これは使用可能になります。CAを構築し、下位CA証明書に適切に署名するためにOpenSSLで使用する必要があるオプションは何ですか。 私はウェブを検索しようとしましたが、これはこの件について見つけることができる唯一のものでした。しかし、それは2008年より前であり、その人物がすべて成功したかどうかは完全にはわかりません。

3
Windows 2008 R2 CAと自動登録:100,000を超える発行済み証明書を削除する方法
私が持っている基本的な問題は、100,000を超える役に立たないマシン証明書がCAに散らばっていることです。そこ。 これは、エンタープライズルートCA(2008 R2)でいくつかのデフォルトを受け入れ、GPO証明書を使用してクライアントマシンを自動登録802.1xして企業のワイヤレスネットワークへの認証を許可した結果として生じました。 デフォルトでComputer (Machine) Certificate Templateは、マシンがすでに持っている証明書を使用するように指示するのではなく、マシンが再登録できるようになります。これは、ワークステーションがリブートされるたびにログとしてではなく、認証局を使用することを望んでいた男(私)に多くの問題を引き起こしています。 (横のスクロールバーは横になっています。下にドラッグすると、画面が一時停止し、次の数十の証明書が読み込まれます。) Windows Server 2008R2 CAから100,000程度の有効な既存の証明書を削除する方法を知っている人はいますか? 今すぐ証明書を削除しようとすると、有効なため削除できないというエラーが表示されます。したがって、理想的には、一時的にそのエラーを回避する何らかの方法があります。MarkHendersonが、ハードルが解消されたらスクリプトで証明書を削除する方法を提供したからです。 (それらRevoked Certificatesを表示する必要があるだけで、取り消された「フォルダ」からも削除できないため、それらを取り消すことはオプションではありません。) 更新: @MarkHenderson linkedのサイトを試してみました。これは有望であり、証明書の管理性がはるかに優れていますが、まだ十分ではありません。私の場合の摩擦は、証明書がまだ「有効期限が切れている」(まだ期限切れではない)ようであるため、CAは証明書を存在から削除したくないため、これは失効した証明書にも適用されるため、失効しますそれらをすべて削除してから削除することもできません。 また、Google-Fuでこのtechnetブログを見つけましたが、残念なことに、実際の証明書ではなく、非常に多くの証明書要求のみを削除する必要があるように見えました。 最後に、今のところ、CAを前方にジャンプして、削除する証明書の有効期限が切れているため、サイトのツールを使用してマークリンクを削除することはできません。手動で発行する必要があります。したがって、CAを再構築するよりも優れたオプションですが、優れたオプションではありません。

2
このSSL証明書チェーンは壊れていて、その修正方法は?
ドメインexample.comのSSL証明書の場合は、いくつかのテストは、チェーンが不完全であることを教えてとFirefoxは、独自の証明書ストアを保持するので、それは、Mozilla(に失敗することがあります1、2、3)。他の人は、それは結構です教えて証明書チェーンは大丈夫であることを私に告げるのFirefox 36は、同じように、。 更新:Windows XPとMacOS X Snow Leopardの両方でOpera、Safari、Chrome、IEでテストしましたが、すべて正常に動作します。両方のOSのFirefox <36でのみ失敗します。Linuxでテストすることはできませんが、このWebサイトでは訪問者の1%未満であり、ほとんどがボットです。したがって、これは「このセットアップはMozilla Firefoxで警告を表示するかどうか」および「このSSL証明書チェーンは壊れているかどうか」という元の質問に答えます。 したがって、問題は、どの証明書をssl.caファイルに配置して、Apacheで提供してFirefox <36が窒息しないようにする必要があるかを見つける方法ですか? PS:補足説明として、証明書のテストに使用したFirefox 36はまったく新しいインストールでした。同じチェーンを使用するサイトへの前回の訪問の間に中間証明書をダウンロードしたので、文句を言わなかった可能性はありません。

2
CAがサポートしていない場合、どのように証明書の透明性を設定できますか?
皆さんの多くは、実際にGoogleの証明書の透明性に関するイニシアチブを聞いたことがあると思います。現在、イニシエーブには、何らかのCAによって発行されたすべての証明書の公開ログが含まれています。これはある程度の作業であるため、すべてのCAがまだ設定しているわけではありません。たとえば、StartComは既に、彼らの側から設定するのは難しいと言っていましたが、適切な設定には数か月かかります。それまでの間、すべてのEV証明書はChromeによって「標準の証明書」に「ダウングレード」されます。 ダウングレードを防ぐために必要な記録を提供する方法は3つあると述べられました。 x509v3拡張、CAにのみ明らかに可能 TLS拡張 OCSPステープル 現在、2番目と3番目は発行元CAからの対話を必要としています(いいえ?)。 質問: CAがサポートしていない場合、Apache Webサーバーで証明書の透過性サポートを設定できますか?また、可能な場合はどうすればよいですか?

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.