タグ付けされた質問 「certificate」

EC2インスタンスで実行されているUbuntuサーバーがあります。そのサーバーにログインするには、パスワードなしで証明書ファイルを使用します。 vsftpdをインストールして設定し、/ bin / false sshターミナルを設定したユーザーを作成して（「testuser」と呼びましょう）、sftp経由でのみ接続し、自宅のファイルにアップロード/アクセスできるようにします。ディレクトリ。 ただし、コンピューターからサーバーに接続しようとすると、 sftp testuser@my-ec2-server 私は得る 許可が拒否されました（公開鍵）。 接続が閉じられました メッセージが表示されるため、ログインできません。 このユーザーのみの証明書要件を削除するにはどうすればよいですか（つまり、「ubuntu」ユーザーは証明書ファイルを使用してssh経由でログインする必要があります）、通常のsftpクライアントはユーザー名とパスワードを使用して接続できますか？ ありがとうございました。 PSマイクロインスタンスでの正規の64ビットからのUbuntu Server 10.10公式AMIを使用。

14 ubuntu  certificate  cloud-computing  sftp 

実稼働環境の3台のマシンにハードウェアの問題があり、廃止されました。インフラストラクチャチームはそれらを再インストールし、同じホスト名とIPアドレスを与えました。目的は、これらのシステムでPuppetを実行して、これらを再度試運転できるようにすることです。 試行 1）古いPuppet証明書は、次のコマンドを発行してPuppetmasterから削除されました。 puppet cert revoke grb16.company.com puppet cert clean grb16.company.com 2）古い証明書が削除されると、再インストールされたノードのいずれかから次のコマンドを発行して、新しい証明書要求が作成されました。 [root@grb16 ~]# puppet agent -t Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml Info: Creating a new SSL certificate request for grb16.company.com Info: Certificate Request fingerprint (SHA256): 6F:2D:1D:71:67:18:99:86:2C:22:A1:14:80:55:34:35:FD:20:88:1F:36:ED:A7:7B:2A:12:09:4D:F8:EC:BF:6D Exiting; no certificate found and waitforcert is disabled [root@grb16 ~]# 3）証明書要求がPuppetmasterで表示されると、証明書要求に署名するために次のコマンドが発行されました。 [root@foreman …

14 ssl  puppet  certificate  puppetmaster  puppet-agent 

ドメインexample.comのSSL証明書の場合は、いくつかのテストは、チェーンが不完全であることを教えてとFirefoxは、独自の証明書ストアを保持するので、それは、Mozilla（に失敗することがあります1、2、3）。他の人は、それは結構です教えて証明書チェーンは大丈夫であることを私に告げるのFirefox 36は、同じように、。 更新：Windows XPとMacOS X Snow Leopardの両方でOpera、Safari、Chrome、IEでテストしましたが、すべて正常に動作します。両方のOSのFirefox <36でのみ失敗します。Linuxでテストすることはできませんが、このWebサイトでは訪問者の1％未満であり、ほとんどがボットです。したがって、これは「このセットアップはMozilla Firefoxで警告を表示するかどうか」および「このSSL証明書チェーンは壊れているかどうか」という元の質問に答えます。 したがって、問題は、どの証明書をssl.caファイルに配置して、Apacheで提供してFirefox <36が窒息しないようにする必要があるかを見つける方法ですか？ PS：補足説明として、証明書のテストに使用したFirefox 36はまったく新しいインストールでした。同じチェーンを使用するサイトへの前回の訪問の間に中間証明書をダウンロードしたので、文句を言わなかった可能性はありません。

13 ssl  ssl-certificate  https  certificate  certificate-authority 

私は手動で（puppet caコマンドの代わりにopensslを使用して）Puppetで使用できるCAを作成する方法を疑問に思っていますか？目的は、puppet certコマンドを使用して証明書を作成するのではなく、複数のpuppetmasterに展開するために、そのようなCAの作成をスクリプト化することです。 方法についてのアイデアはありますか？私はそのようなものを見つけることができました：https : //wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster-それは動作しません-CAとクライアント証明書を作成してpuppetmasterに適用した後、それは文句を言います： Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both …

13 ssl  puppet  certificate  openssl 

ユーザー名/パスワードだけでなく、クライアント証明書を使用して、Windowsサーバーへの（RDP）アクセスを制限するにはどうすればよいですか？ 証明書を作成し、これをサーバーにアクセスできるすべてのコンピューターにコピーすることを想像してください。 これはIPベースのルールほど制限されませんが、すべてのコンピューター/ラップトップが特定のドメインにあるわけではなく、IPの範囲を修正するわけではないため、柔軟性が追加されます。

13 security  authentication  rdp  certificate 

SSL証明書の1つ（単純なドメイン検証のみ）がWindows 2003 IIS 7.0サーバーで期限切れになりそうです。 私は他のベンダーからより良いオファーを得ました、そして最初に私の証明書を発行した人はより低い価格を交渉したくありません。 とにかく-IISの証明書ウィザードで、「更新」または「アンインストール」して新しい証明書をインストールするオプションがあります。 だから-「更新」オプションを使用して証明書要求を作成し、これを新しいベンダーに渡すことができますか、または「新しい」要求で開始する必要がありますか？新しいベンダーにとって、以前の証明書が別の署名者によって発行されたことは重要ですか？ 問題は、古い証明書を削除して新しいCSRを作成するためにサーバー（少なくともセキュリティで保護された部分）を停止し、新しい証明書がインストールされるのを待たないことです。 または、古い証明書を削除せずに新しいCSRを準備するオプションはありますか？

13 iis  ssl  certificate  renew 

* .domain.comを名前として使用して、SSL証明書を作成できます。 しかし、残念ながら、これはhttps://domain.comをカバーしていません これに対する修正はありますか？

13 ssl  certificate  openssl  wildcard 

keytoolJava 1.7のJava ユーティリティを使用して、サブジェクトの別名を持つキーペアを生成する際に問題が発生しています。ここにある指示に従おうとしています。 私が使用しているコマンドの例は次のとおりです（この例はテスト済みです）。 keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1 次に、次のコマンドを使用してCSRを生成します。 keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr 次の証明書要求が生成されます。 -----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVN0YXRlMREwDwYDVQQHEwhBbnl3 aGVyZTERMA8GA1UEChMIU3BhbSBJbmMxEDAOBgNVBAsTB1NwYW0gTkExGTAXBgNVBAMTEHNwYW0u ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCExCFepag4KH+j8xgR BjI58hOEiFuSrkgbL5/1steru3+FwDb98R8XO90kKreq/Qt7s/oHbTpFOwotdkGVxA2x44/R5OYr Qdfk3v32ypJTxms/8tu0Zi9wbH2ruA/h5AhtZ9TV/xLPFSe5eFvN0pUl90p+9zfd0ZCmPQ69k3Lb …

13 ssl  keytool  certificate 

誰もがドメインコントローラーについて、また証明書をインストールする必要があると話しますが、結局のところオプションです。インストール後、実際にその証明書を使用するのは何ですか？私の理解では、少なくとも以下のために必要だということです。 スマートカード認証 LDAPS ただし、ドメインコントローラーが証明書を使用するDCまたはActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいですか？ 私はここでセキュリティへの影響/良い習慣を知っています:)プレイ中のメカニズムに興味があります。

12 active-directory  domain-controller  certificate  ad-certificate-services 

私たちのウェブサイトのSSLキーを秘密にしておきたい。これは2つのUSBスティックに保管され、1つはセーフティボックスに、もう1つは安全に保管します。そして、完全に安全であるようにWebサーバーに適用するのは私だけです。 を除く... 少なくともIISでは、キーをエクスポートできます。そのため、管理者であれば誰でもキーのコピーを取得できます。これを回避する方法はありますか？または、定義上、すべての管理者はすべてのキーにフルアクセスできますか？ 更新： 完全に信頼できるシステム管理者がいます。これにつながったのは、そのうちの1人が辞めたことです（彼らは私たちの会社に1時間通勤し、新しい会社に5分通勤しました）。私はこの個人を信頼していますが、誰かが去ったときにActive Directoryアカウントを無効にするのと同じように、SSLを使用できないように保証する方法が必要だと考えました。 そして、私が最も簡単だったのは、それを持っているのが私だけだということです。私たちの証明書は1月に期限切れになるため、これが可能であればプラクティスを変更するときでした。答えに基づいて、私たちはできないように見えます。 したがって、これは新しい質問につながります-証明書にアクセスできる人が去ったとき、新しい証明書を取得して既存の証明書を取り消すのが標準的な方法ですか？または、去った人が信頼できる場合、私たちは持っている証明書を続けますか？

12 ssl  certificate  iis 

私の会社には、現在自己署名された社内認証局があります。外部のSSLと顧客への安全な電子メールに使用を開始したいので、信頼する必要があります。 社内PKIの信頼されたルート証明書を取得するためにかかる費用について、だれでも大丈夫ですか？4桁？5桁？6桁？2000〜3000人を雇用しています。

12 email  ssl  ssl-certificate  certificate  certificate-authority 

私は小さなチーム用の開発ツールをインストールしようとしていますが、認証を正しく取得できません。 私たちは分散チームであるため、サーバーはインターネット上にあります。そして、SSO +ゼロクライアント構成が必要です。 gitクライアントは基本認証のみを使用できますが、パスワードを保存せず、一部のIDEプラグインはUIでパスワードの質問を転送しないため、基本的にhttps + webdav上のgitは実用的ではありません。 sshでgitを使用する必要があります。gitosisをインストールしましたが、基本的に非対称キーで動作します。各開発者にキーをインストールするように依頼する必要があります。これを行うことができますが、ゼロ設定は忘れてください。 次に、httpsにあるWebツール（wiki、チケットなど）に開発者がアクセスできるようにしますが、今回は、SSH間で形式に互換性がないため、ログイン/パスワードまたは別の秘密キーを提供する必要がありますSSLとOSでのSSLの保存場所は同じではありません。今、私はSSOを忘れなければなりませんか？ 私は間違っていますか？

12 ssh  ssl  certificate 

内部ネットワーク用のカスタムルート認証局、example.comを作成しました。理想的には、この認証局に関連付けられたCA証明書をLinuxクライアント（Ubuntu 9.04およびCentOS 5.3を実行）にデプロイして、すべてのアプリケーションが認証局を自動的に認識するようにしたい（つまり、 Firefox、Thunderbirdなどを手動で設定して、この認証局を信頼するようにします）。 UbuntuでPEMエンコードされたCA証明書を/ etc / ssl / certs /および/ usr / share / ca-certificates /にコピーし、/ etc / ca-certificates.confを変更してupdate- CA証明書、ただし、アプリケーションは、別の信頼できるCAをシステムに追加したことを認識していないようです。 したがって、システムにCA証明書を1回追加することは可能ですか、それともネットワーク内でこのCAによって署名されたホストへのSSL接続を試行する可能性のあるすべてのアプリケーションにCAを手動で追加する必要がありますか？システムにCA証明書を1回追加できる場合、どこに行く必要がありますか？ ありがとう。

12 ssl  certificate 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 5年前に閉鎖されました。 ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 少数の従業員によるリモートアクセスと管理を容易にするために、SSL証明書が必要です。自宅のコンピューターに自己公開証明書をインストールするために、技術に詳しくないユーザーの集団をトレーニングする必要はありませんので、信頼できるプロバイダーから証明書を購入したいと思います。電子商取引などに使用することはないため、一部の大手プロバイダーが要求する価格を支払うことを正当化するのは難しいようです。 検討すべき優れた低コストのプロバイダーは誰ですか？異なる価格帯で利用可能な製品の重要な違いは何ですか？（そして、証明書ビジネスは本当にラケットのように見えますか？）

12 ssl  certificate 

OpenSSLを構成してopenssl req -new、新しい証明書署名要求を生成するために実行するときに、CSRに含める代替サブジェクト名の入力を求められるようにします。 私の[req_attributes]セクションにこの行を追加しましたopenssl.cnf： subjectAltName = Alternative subject names これには、CSRを生成するときにSANを要求するという望ましい効果があります。 $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or …

11 ssl  ssl-certificate  openssl  certificate