タグ付けされた質問 「certificate」

証明書は公開鍵および識別情報です


1
UCC / SAN証明書を使用した単一IP上のApache SSL VirtualHosts
単一のIPからSSLで複数のApache仮想ホストをホストする必要があります。 現在-SSLはHTTPリクエストをラップするため、公開キーが最初にクライアントに送信されるまで、どのホストがリクエストされているかを知る方法がないことを理解しています。これにより、標準のSSL証明書を使用するSSL仮想ホストの可能性が本質的に失われます。 ユニファイドコミュニケーション証明書(UCC)、またはサブジェクトの別名(SAN)証明書を取得しました。これにより、複数のドメインに同じ証明書を提供できます。 これを任意の SSLリクエストに対してApacheが提供する証明書にしたい-そして、暗号化が確立されたら、Apacheに通常どおり仮想ホストを解決させます。 このためにApacheをどのように構成すればよいですか?私はこれをどのように行うことができるかを研究しようとしましたが、見つけることができるのはそれが可能であると言う引用ですが、詳細はありません: wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI Apacheは、リクエストでホスト名を確認した後、SSL接続を再ネゴシエートできます(そして、します)が、最初のハンドシェイク中にリクエストのホスト名と一致するために使用する適切なサーバー証明書を選択するには遅すぎて、証明書に関するブラウザの警告/エラーが発生します間違ったホスト名。 serverfault.com/questions/48334/apache-virtual-hosts-with-ssl ちなみに、単一のIPアドレスで複数のSSLで保護された名前付き仮想ホストを使用することは可能です(Webサイトで行います)が、Apacheログにはあらゆる種類の警告が、ブラウザーには証明書の警告が生成されます。私は確かに、きれいに見える必要がある本番サイトにはお勧めしません。-デビッド7月31日4:58 www.digicert.com/subject-alternative-name.htm 仮想ホスト単一のIPアドレス上の複数のSSLサイト。通常、単一のサーバーで複数のSSL対応サイトをホストするには、サイトごとに一意のIPアドレスが必要ですが、サブジェクトの別名を持つ証明書でこの問題を解決できます。Microsoft IIS 6とApacheは両方とも、ユニファイドコミュニケーションSSL(別名SAN証明書)を使用してHTTPSサイトを仮想ホストできます。 助けてください。

4
SSL証明書の違いは?
拡張検証、スマートシール、ワイルドカード、シングルルートなど、WebサーバーのSSL証明書の違いは何ですか?どの証明書がどのようなニーズに適していますか?

3
証明書の.cerファイルを作成する方法は?
証明書を使用したいのですが、第三者機関から値が送られてきます。 -----BEGIN CERTIFICATE----- [...]Many letters and digits[...] -----END CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- [...]Many letters and digits[...] -----END RSA PRIVATE KEY----- しかし、IISに配置する.cerファイルが必要です。この.cerファイルを作成するにはどうすればよいですか? 回答ありがとうございます。
11 iis-7  ssl  certificate 

1
Windows 7で信頼されたルート証明機関に証明書を追加できない
信頼されたルート証明機関セクションにプッシュ通知を送信するためのApple開発者証明書を追加しようとしています。次のようなエラーが表示されます:「ストアが読み取り専用であったか、ストアがいっぱいだったか、ストアが正しく開かなかったため、インポートが失敗しました」 管理者としてログインしています。これを解決する方法は考えられません。誰かが以前に同様の問題を修正することができましたか? 御時間ありがとうございます...

2
OpenSSLを使用してIIS7 SSL更新CSRを確認/読み取る方法
私は毎週最大5つのSSL CSRを処理し、CAに渡してアクションを実行する前にそれらの有効性をチェックする特権があります。UbuntuマシンでOpenSSLを使用してそれらが有効であることを確認し、正しいOU名、適切なCN、2048ビット以上のキーサイズなどをテストします。 先日、IIS7マシンから更新リクエストを受け取りました。OpenSSLを使用してこれを読み取る方法がまったくわかりません。私のCAがそれを受け入れたので、それは有効です... 'file(1)'は「RFC1421セキュリティ証明書署名要求テキスト」であると言います。これは、私がここに持っているCSRの〜50%について言っているものです(残りは「PEM証明書要求」です)。 $ head iis7rcsr -----BEGIN NEW CERTIFICATE REQUEST----- MIIQsQYJKoZIhvcNAQcCoIIQojCCEJ4CAQExCzAJBgUrDgMCGgUAMIIJegYJKoZI hvcNAQcBoIIJawSCCWcwggljMIIIzAIBADCB2zELMAkGA1UEBhMCTloxDTALBgNV BBEMBDkwNTQxDjAMBgNVBAgMBU90YWdvMRAwDgYDVQQHDAdEdW5lZGluMRwwGgYD ... ... openssl req、CSR(PKCS#10)を読み取ると、CSRを理解できません... $ openssl req -in iis7rcsr -text unable to load X509 request 5156:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1316: 5156:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509_REQ_INFO 5156:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:748:Field=req_info, Type=X509_REQ 5156:error:0906700D:PEM routines:PEM_ASN1_read_bio:ASN1 lib:pem_oth.c:83: MSDNブログのAndreas Kleinによるこの記事は、IIS7更新CSRがPKCS#7コンテナーであり、CSRと現在の証明書に基づく署名が付いていることを示していますが、それでもまだ読み取ることができません。 $ …

1
certutil -pingが30秒のタイムアウトで失敗する-どうすればよいですか?
Win7ボックスの証明書ストアが常にハングしています。観察する: C:\> 1.cmd C:\> certutil-?| findstr / i ping -ping-Active Directory証明書サービス要求インターフェースにpingを実行します -pingadmin-Active Directory証明書サービスの管理インターフェイスをpingします C:\> set PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-pingコマンドが失敗しました:0x80070002(WIN32:2) CertUtil:指定されたファイルが見つかりません。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadminコマンドが失敗しました:0x80070002(WIN32:2) CertUtil:指定されたファイルが見つかりません。 C:\(13:05:28.79)> PROMPT = $ P $ Gを設定 C:\> 説明: 最初のコマンドショーあなたがあること–pingと–pingadminします。certutilへのパラメータ pingパラメータの試行が30秒のタイムアウトで失敗する(現在の時刻はプロンプトに表示されます) これは深刻な問題です。それは私のアプリのすべての安全な通信をねじ込みます。これを修正する方法を誰かが知っている場合は、共有してください。 ありがとう。 PS 1.cmdは、これらのコマンドのバッチです。 certutil -? | findstr …

5
.p7bキーを.pfxに変換する
.pfxに変換する必要がある.p7b形式のSSL証明書を持っています。Windowsの証明書管理でこれを試すと、.pfxとしてのエキスパートのオプションが無効になります。 opensslで試してみると、変換を行う次の2つのコマンドが見つかりました。 openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer しかし、esecondコマンドに使用するキー、またはCACert.cerが参照する証明書がわかりません。 このキーを.pfx形式に変換するにはどうすればよいですか?

2
内部認証局を展開するにはどうすればよいですか?
IE7は、証明書の失敗について積極的に警告します。HTTPSで実行する内部サイトがいくつかあるため、有効な証明書が必要です。イントラネットにSSL証明書に署名できる認証局があるようですが、問題があります。内部CAを信頼するようにデスクトップを一括構成するにはどうすればよいですか。 GPOを介して内部CA証明書をローカルに展開することは可能ですか?

3
Apache用の自己署名SSL証明書を生成する
Webサイト用の自己署名証明書を作成したい。古い証明書の有効期限は数日前です。システムでホストされている複数のNameVirtualHostsがあります。証明書の作成に使用しているコマンドは、1つのチュートリアルWebサイトから取得したもので、次のとおりです。 openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.key server.key.org openssl rsa -in server.key.org -out server.key openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt この後、ssl.confファイルで、他の管理者が行った古い設定とともにVirtualHostセクションで指定しました SSLEngine on SSLCertificateFile <full_path>/server.crt SSLCertificateKeyFile <full_path>/server.key サーバーを起動すると、ログファイルに次のメッセージが表示され、サーバーを起動できません。 error_logファイルのメッセージは [Mon Jun 01 23:52:46 2009] [notice] suEXEC …

1
ルートCAが期限切れになると、コード署名証明書はどうなりますか?
これまでのところ明確です:コード署名証明書自体の有効期限が切れると、タイムスタンプで署名された場合に備えて、署名されたコードが検証/受け入れられます。そうでない場合、署名されたコードも期限切れになります。 しかし、私のCA自体が期限切れになるとどうなりますか(ルートCA、つまり発行CA)。 タイムスタンプが付けられていても、コードは受け入れられますか? 期限切れのルート証明書と発行CA証明書がまだ存在している必要がありますか(信頼されたルートCA証明書ストアなど)?これは私の仮定ですが、CAが降格されても、署名されたものを実行するクライアントはCAを信頼する必要がありますか?そうでなければ、信頼チェーンは壊れますよね? CRLまたはAIAの欠如は問題を引き起こしますか?

5
Windows 2012 R2が自己署名証明書を信頼しないのはなぜですか?
テスト環境で、私は現在、すぐに展開する必要があるいくつかのテスト(実際には既にですが、締め切りがどうなるかを知っています...)をためらっています。これは、Windowsが、隔離されたテスト環境。「実際の」証明書といくつかのDNSトリックを使用して問題を回避することはできますが、セキュリティ/コンパートメント化の理由から、証明書は示していません。 Zimbraと呼ばれるLinuxベースの電子メールサーバーに接続しようとしています。自動生成された自己署名OpenSSL証明書を使用しています。Googleが明らかにしたページは、IIS自己署名証明書を備えたIIS Webサイトを特に参照していますが、それを生成する方法は実際には重要ではないと思います。 こことここで見つけた手順によると、これは証明書をローカルコンピュータの信頼されたルート証明機関ストアにインストールするという簡単な問題です。証明書を手動でコピーし、MMCスナップインを介して直接インポートするだけでなく、これを行いました。ログアウトと再起動は何も変更しません。 ここに私が毎回得る証明書エラーがあります: そして、これが認定パスです(ネタバレ:証明書そのものです): 最後に、ここにある証明書は、ローカルコンピュータの証明書ストアに安全に格納されています。 Linuxベースのサーバーに接続するServer 2012 R2を使用している間、これらの手順は特にVista(2番目はOSについては触れていません)とIISを参照しています。インポートウィザードにはいくつかの違いがあります(私の場合、現在のユーザーまたはローカルシステム用にインポートするオプションがありますが、両方試してみました)。信頼できると既に言った証明書を本当に本当に信頼できるようにするために変更する必要がある、私が見つけていない場所の設定ですか? Windows Server 2012 R2に自己署名証明書を信頼させる正しい方法は何ですか?

2
CentOS 6にルート証明書をインストールする
私はそれがすでに尋ねられたことを知っています、しかし何時間もの研究にもかかわらず私は実用的な解決策を見つけることができませんでした。ルート証明書をサーバーにインストールしようとしています。内部サービスがSSLを使用して相互にバインドできるようにしています。 新しいルートCAについて知っておくべきこと: Apache httpdおよびPHP OpenLDAPクライアント Node.js Apacheの場合、ルート証明書について知るにはPHPアプリケーションが必要です。そのため、サイトが別のSSL Webサイト(同じCAによって署名されている)に接続する場合、サイトは正常に機能し、自己署名証明書について不満はありません。 OpenLDAPの場合、それはPHPと同じだと思います。使用するモジュールはかなり古く、PEARとともにインストールされるNet_LDAP2です。ローカルのopenldap設定を編集してみましたが、システムで使用されていないようです。 最後のNode.js。これはパーソイドに使用します。node.jsサーバーは、適切なSSL接続を確立するためにCAを信頼する必要があります。 /etc/pki/tls/certs/ca-bundle.crtに証明書を追加しようとしましたが、ほとんど成功しませんでした。 httpdにはルートCAが表示されませんが、tomcatや389などの他のサービスを使用してなんとかすることができました。 ご支援いただきありがとうございます。

2
既知のCAで検証することなく、クライアントのSSL証明書をApacheに要求するにはどうすればよいですか?
apache2(2.2.3)を使用して、クライアントに証明書で認証してもらいたいサイトにサービスを提供しています。特定の証明書を提示するユーザーが過去にその証明書を提示したユーザーと同じであることを確認する必要があるだけなので、証明書に署名するCAは無関係です。ただし、使用SSLVerifyClient requireするにはSSLCACertificateFile ...(またはSSLCACertificatePath ...)が必要であり、apacheはそのファイル/パスでCAによって署名された証明書のみを受け入れるようです。発行/歌うCAに関係なく、Apacheがクライアント証明書を受け入れる方法はありますか?(つまり、クライアントが提示された公開鍵に対応する秘密鍵を持っていることを確認しますが、発行/署名CAを確認する必要はありません)

3
Httpsは証明書がなくても機能しますか?
最近、インフラストラクチャチームが開発チームに、httpsの証明書は必要ないことを伝えました。彼らは、証明書を購入する唯一の利点は、正しいウェブサイトに接続していることを消費者に安心させることであると述べました。 これは、httpsについて想定したすべてに反します。 私はウィキペディアを読みましたが、httpsを構成するには信頼できる証明書または自己署名証明書のいずれかが必要であると述べています。 それは、configureにすることなく、httpsに対応するためにIIS可能である任意の証明書?

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.