タグ付けされた質問 「certificate-authority」

Microsoftは2013年1月にWSUSからルートCAの更新を削除しました。ルートCA（基本的にはMicrosoftのCAのみ）のセットが不十分なWindows Server 2012のフレッシュインストールがいくつかありました。これは、ルートCAを具体的にインストールしない限り、アプリケーションがhttps Webサービスを呼び出すたびに失敗することを意味します。 アプリケーションではロードバランサーでSSL終了を使用しているため、これらの更新プログラムを削除するようMicrosoftに促した16 KBのSChannelの制限について心配する必要はありません。標準のルートCAをインストールおよび更新するためのリソースを見つけたいのですが。誰もがそのようなリソースを知っていますか？ 以下は、WS2012のデフォルトルートCAの画像です。

12 windows  certificate-authority 

私の会社には、現在自己署名された社内認証局があります。外部のSSLと顧客への安全な電子メールに使用を開始したいので、信頼する必要があります。 社内PKIの信頼されたルート証明書を取得するためにかかる費用について、だれでも大丈夫ですか？4桁？5桁？6桁？2000〜3000人を雇用しています。

12 email  ssl  ssl-certificate  certificate  certificate-authority 

私はそのようなクライアント証明書を使用してカールリクエストをしようとしています： curl -E my.pem https://some.site そして、私は次のエラーメッセージを受け取ります： curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca これは何を意味するのでしょうか？ この苦情は、私が接続しているサーバー、または私のcurlクライアントからのものですか？ （どのように判断しますか）このコンテキストのCAは何ですか？ caがわかるようにするにはどうすればよいですか？

12 ssl  ssl-certificate  openssl  certificate-authority  curl 

最近、Qualys SSL Server Testにアクセスして、Namecheap証明書が適切にインストールされたことを確認しました。1つのチェーンの問題（「アンカーを含む」）を除いて、すべてが正常に見えました。 （ほとんどの）信頼ストアに既に存在するAddTrust外部CAルートを削除することにより、この問題を解決できるはずです。ただし、Namecheap自身のインストール手順では、これがCAバンドルの3つの証明書の1つであると明示的に記載されています。 ComodoRSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt Namecheapの指示を無視して、AddTrust外部CAルート証明書をチェーンから削除しても安全ですか？もしそうなら、なぜNamecheapがそもそもそれを含めるのでしょうか？

11 ssl-certificate  certificate-authority 

社内のいくつかの内部サービス用に自己署名ルート認証局を作成し、それを自分で構成しました（ほとんどがHTTPS経由で提供されます）。次に、これらのサービスの証明書を作成し、このCAで署名しました。 ここで、このCAから発行された既存のサーバー証明書を無効にすることなく、x509拡張（CRL配布ポイント）をルートCAに追加します。これは可能ですか？ 私が理解しているように、対応する秘密鍵へのアクセスは証明書IDに対する「完全な権限」のために必要かつ十分であるため、私の直感は「はい」です。つまり、証明書の生成時に（おそらく）証明書に公開キーと共に組み込まれた何らかのナンスがない限りです。 私はまだSSL証明書管理にかなり慣れていませんが、標準のトラストチェーンの基本を理解しています。また、他のPKI暗号化の基本的な使用にも慣れています。SSHキーを管理し、署名と暗号化にGPGを使用します。私はコンピューターサイエンスを勉強しましたが、私は暗号学の独学者です。 オリジナルのIIRCのCSRを作成したことはありません（それはの直接出力だったと思いますopenssl req -new -x509）。もちろん、元のCAの秘密キーはまだ持っています。それを使用して、元の証明書を証明書署名要求に「逆変換」することができました。 openssl x509 -x509toreq -in MyCA.pem -out MyCA.csr -signkey private/MyCA.key これが上記のナンスを効果的に「抽出」し、証明書を再作成できるようになることを望んでいましたが、今回はcrlDistributionPointsフィールドで、したがって元のCAで署名されたすべての証明書は、この新しいCAに対して検証しますが、例外がありますそのクライアントは、フィールドで指定されたHTTP URLから（現在は空の）CRLファイルを取得します。 だから私は拡張設定ファイルを作りましたext.conf： [ cert_ext ] subjectKeyIdentifier=hash crlDistributionPoints=URI:http://security.mycompany.co.za/root.crl そして、CSRからルートCAの新しいバージョンを生成しました。 openssl x509 -extfile ./ext.conf -extensions cert_ext -req -signkey private/MyCA.key -in MyCA.csr -out MyNewCA.pem これで証明書を表示すると openssl x509 -text -in MyNewCA.pem | less 私はCRL拡張部分を見ることができます： X509v3 extensions: …

11 ssl-certificate  openssl  certificate-authority 

ソースとして使用している外部NTPサーバーの1つ（現在はプライマリサーバー）は、NTP呼び出しに応答していないようです。残念ながら、コアルーター（Cisco 6509）では、NTP機能は予想どおりにセカンダリNTP外部サーバーに切り替わりませんでした。その結果、主要な内部NTPソースであるコアルーターは2分遅れています。 外部NTPソースを現在動作しているものにすることで、外部ルーターの問題を修正する予定です。 2分間の変更がユーザーとサービスにどの程度影響するのでしょうか？特に最近では、証明書ベースの認証に大きく依存しています。 私たちはWindows / Ciscoのショップです。 内部NTPセットアップ： [コアルーター1 / Cisco 6509]： 2つの外部NTPサーバー（プライマリサーバーがNTP呼び出しに応答していない）を監視 [コアルーター2]： コアルーター1（プライマリ）と同期、動作中の外部ルーター（セカンダリ） [その他のシスコネットワークデバイス]： コアルーター1（プライマリ）、コアルーター2（セカンダリ）との同期 [ドメインコントローラー]： コアルーター1との同期 [すべてのWindowsクライアント/サーバー]： ドメインコントローラーとの同期

11 time  ntp  certificate-authority 

FirefoxでVerisign Universal Root Certificate Authorityを表示すると、2037年に有効期限が切れていることに気づきました。 （Settingsタブ-> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View） なぜ23年の寿命があるのですか？ なぜ彼らはそれを早く期限切れにしないのですか？または後で？

11 ssl-certificate  certificate-authority 

どういうわけか、パペットエコシステムに、独自のCAではなく、既存のMicrosoftエンタープライズCAを利用させることができるかどうかを調査しています。 パペットはすべてのシステムが「標準SSL」であると宣伝しているので、パペットをあまり変更せずにこれを完全に実行できると思いますが、パペットを編集して企業に適切な呼び出しを行わない限り、手動による大きな頭痛の種になる可能性があります。 CA。 これまでに誰かがこれを試しましたか？「こっちはドラゴンよ、背を向けろ！」状況？

10 ssl-certificate  puppet  certificate-authority 

どういうわけかちょうど今日ちょうど私のseafileクライアントはこのエラーを投げました。私のopensslがまったく同じエラーをスローするので、私はそのシーファイルの問題を信じていません： user@nb-user:~$ echo |openssl s_client -connect seafile.mydomain.ch:443 CONNECTED(00000003) depth=1 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Class 2 Primary Intermediate Server CA verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/description=5RygJ9fx8e2SBLzw/C=CH/ST=Thurgau/L=Frauenfeld/O=mydomain GmbH/CN=*.mydomain.ch/emailAddress=postmaster@mydomain.ch i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate …

10 apache-2.4  openssl  certificate-authority 

これは、さまざまな種類のMicrosoft認証局に関する正規の質問です Microsoft ADCS Enterprise CAとスタンドアロンCAの違いに関する情報を探していますか？ 各CAタイプをいつどこで使用すればよいですか？私はこの質問をググってみましたが、スタンドアロンCAがActive Directoryを楽しんでいないという答えが1つだけ見つかりました。選択する前に何を考慮すべきですか？

10 certificate-authority 

これまでのところ明確です：コード署名証明書自体の有効期限が切れると、タイムスタンプで署名された場合に備えて、署名されたコードが検証/受け入れられます。そうでない場合、署名されたコードも期限切れになります。 しかし、私のCA自体が期限切れになるとどうなりますか（ルートCA、つまり発行CA）。 タイムスタンプが付けられていても、コードは受け入れられますか？ 期限切れのルート証明書と発行CA証明書がまだ存在している必要がありますか（信頼されたルートCA証明書ストアなど）？これは私の仮定ですが、CAが降格されても、署名されたものを実行するクライアントはCAを信頼する必要がありますか？そうでなければ、信頼チェーンは壊れますよね？ CRLまたはAIAの欠如は問題を引き起こしますか？

9 certificate  certificate-authority  ad-certificate-services  expired 

最近PKIを再構築しましたが、ネットワーク上のすべてのクライアントマシンに発行された証明書を削除したいと思います。Powershellの仕事のように聞こえます！そのため、このスクリプトはGPOによって配布され、SysVolから実行され、起動時にクライアントマシンでトリガーされるように記述しました。 set-location cert:\LocalMachine\My $certname = $env:COMPUTERNAME + ".domain.com" get-item * | %{ if($_.issuer -like "CN=IssuingCA*" -and $_.DnsNameList.unicode -like $certname) { remove-item .\$_.Thumbprint -Force } } 管理者特権のコマンドプロンプトから： Ranの場合、スクリプトは何も出力しません（単に新しい端末行）。エラーは返されず、証明書は削除されません。 スクリプト-WhatIfのRemove-Itemコマンドに引数を追加しても、エラーは発生せず、証明書は削除されません。 Remove-Item。\ CERTIFICATE-THUMBPRINT -Forceが実行されると、証明書が削除されます。 これは権限の問題ですか？これを行うためのよりスマートで簡単な方法はありますか？ ありがとう！

9 powershell  windows-server-2012-r2  certificate-authority  pki 

私はそれがすでに尋ねられたことを知っています、しかし何時間もの研究にもかかわらず私は実用的な解決策を見つけることができませんでした。ルート証明書をサーバーにインストールしようとしています。内部サービスがSSLを使用して相互にバインドできるようにしています。 新しいルートCAについて知っておくべきこと： Apache httpdおよびPHP OpenLDAPクライアント Node.js Apacheの場合、ルート証明書について知るにはPHPアプリケーションが必要です。そのため、サイトが別のSSL Webサイト（同じCAによって署名されている）に接続する場合、サイトは正常に機能し、自己署名証明書について不満はありません。 OpenLDAPの場合、それはPHPと同じだと思います。使用するモジュールはかなり古く、PEARとともにインストールされるNet_LDAP2です。ローカルのopenldap設定を編集してみましたが、システムで使用されていないようです。 最後のNode.js。これはパーソイドに使用します。node.jsサーバーは、適切なSSL接続を確立するためにCAを信頼する必要があります。 /etc/pki/tls/certs/ca-bundle.crtに証明書を追加しようとしましたが、ほとんど成功しませんでした。 httpdにはルートCAが表示されませんが、tomcatや389などの他のサービスを使用してなんとかすることができました。 ご支援いただきありがとうございます。

9 centos  ssl  ssl-certificate  certificate-authority  certificate 

この質問が今後の訪問者を助けることはほとんどありません。それは、地理的に狭い地域、特定の瞬間、またはインターネットの世界中のオーディエンスに一般的に適用できない非常に狭い状況にのみ関連しています。この質問をより広く適用するためのヘルプについては、ヘルプセンターにアクセスしてください。 7年前休業。 私はDebian（レニー）を実行しています。 これを実行すると： curl --ssl https://www.google.com 私はこのエラーを受け取ります： curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can …

9 debian  ssl  debian-lenny  certificate-authority 

現在、CEPサーバーに証明書を要求するために次のことを行っています。 gpedit.mscを開きます [コンピューターの構成]> [Windowsの設定]> [セキュリティの設定]> [公開キーのポリシー]で、[証明書サービスクライアント-証明書の登録ポリシー]をダブルクリックします。 有効にする CEP URIを入力してください ユーザー名/パスワード認証に切り替え 検証（信用の提供） MMCを開き、証明書スナップインをインポートします [証明書]> [個人]に移動します 右クリック>新しい証明書のリクエスト 「詳細情報」（CN、DNS名など）を入力します 信用を提供する この後、CEPから証明書を取得しました。ただし、これは手動で行うには面倒なプロセスです。Server 2008（および2012）でこれを自動化する方法はありますか？これについて私が見つけることができるすべての情報は、サーバーを登録ポリシーサーバーにするためにCEPサービスをインストールする方法を示しています（実際に新しい証明書を要求したり、クライアント側で有効にすることについては何もありません）。これを自動化することは可能ですか？ このプロセスにより、HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Cryptographyの下に多くのデータが追加されるようです。これを手動で追加できますか（GUID / ServiceIDを偽装できますか）？

9 group-policy  powershell  certificate  certificate-authority  powershell-v3.0