タグ付けされた質問 「self-signed-certificate」

2
letsencryptではなくDNSレコードを使用して自己署名証明書を検証しない理由
私はただ疑問に思っていました。多くのSSL証明書を使用します。最近では、ほとんど専らletsencryptを使用しています(ありがとう!)。これらの証明書の要点は、証明書のドメイン名の所有権の証明は、これらのドメインの下でDNSレコードまたはWebサイトを操作する力に由来するということです。DNS証明は、いくつかのキー(letsencryptで指定)をTXTレコードとしてDNSに追加することから得られます。 したがって、ドメインのDNSレコードを変更できる十分な証拠であれば、DNSのフィンガープリントで自己署名証明書を使用してみませんか? DNSベースのletsencrypt(およびその他のCA)の手順とまったく同じ信頼性が得られると思います。 自己署名CAを作成します(さまざまな方法の手順に従うだけです) いくつかのドメインの証明書を作成します 手順1のCAを使用して手順2の証明書に署名します。これで、信頼されていないCAによって署名された基本証明書が作成されました。 TXT(または専用)レコードを各ドメインのDNSに追加して、このCAでこのドメインの証明書に署名したことを示します。いいね: 'CA = -fingerpint of CA-' ブラウザは証明書をダウンロードし、CAのフィンガープリントとCA証明書を特定のドメインのDNS内のデータと比較することにより、証明書を検証します。 これにより、基本的なSSL証明書と同じ信頼レベルで、第三者の干渉なしに信頼できる自己署名証明書を作成できます。DNSにアクセスできる限り、証明書は有効です。暗号化などのDNSSECを追加して、CAとSOAレコードからハッシュを作成し、DNSレコードの変更で信頼が失われるようにすることもできます。 これは以前に考慮されましたか? ジェルマー

3
SHA-1よりも強力な自己署名証明書を作成するにはどうすればよいですか?
開発環境では、IIS7.5で自己署名証明書を作成できます。しかし、その証明書はSHA-1であり、最近ブラウザーはそれについて不満を言っています。FireBugを開くと、次の警告が表示されます。 「このサイトではSHA-1証明書を使用しています。SHA-1よりも強力なハッシュ関数を使用する署名アルゴリズムを備えた証明書を使用することをお勧めします。」 だから私の質問は: 1)SHA-1よりも強力な自己署名証明書を作成する方法はありますか? 2)そうでない場合、ブラウザにこれらの警告の表示を停止するように指示する方法はありますか? 更新 結局、@ vcsjonesの回答を使用することになりましたが、それだけで今のところ私になりました。機能させる前に解決しなければならない問題がいくつかあります。 1)何らかの理由で、パスワード付きの証明書をインポートできませんでした。だから私はそれなしでそれを作成することになりました。 2)IIS経由で.pfx証明書をインポートすると、バインディングの編集で新しい証明書を適用しようとすると、「指定されたログオンセッションが存在しません」というメッセージが表示され続けました。だから私はほとんど研究をしなかったが、このSOの答え、特にマイクLの答えが役に立つことがわかった。 もう1つ追加したいのは、証明書をインポートするときは、必ず.pfx証明書を選択してください。インポートウィザードのデフォルトの選択は* .cerであり、インポートできます(間違えて作成しました)が、IISサーバー証明書に証明書が表示されませんでした。よく見ると、アイコンに小さなキーがありませんでした。今、私はKB-889651の記事を介してそれを修復することができたという研究をしました。したがって、必ず.pfxをインポートしてください。インポートすると、修復しなくても機能します。 また、この証明書に信頼の問題がある場合は、「信頼されたルート認証局」にもインポートしてください。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.