タグ付けされた質問 「x509」

注：すでに答えを見つけたので、これは実際には質問ではありませんが、ここでは簡単に見つけられなかったので、他の人に役立つように投稿します。 質問：連結されたPEMファイルをapache / mod_sslディレクティブSSLCACertificateFileによって使用されるものとして読み取る方法は？ 回答（オリジナル）（ソース）： cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".pem"}' のように末尾に空白行がある場合、空のファイルが残ることがありますopenssl pkcs7 -outform PEM -in my-chain-file -print_certs。これを防ぐには、印刷する前に行の長さを確認します。 cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {if(length($0) > 0) print > "cert" n ".pem"}' 回答29/03/2016： @slugchewerの回答に続いてcsplit、より明確なオプションがあります： csplit -f cert- $file '/-----BEGIN CERTIFICATE-----/' '{*}'

38 shell  openssl  awk  x509 

（プログラミングコードよりもOS構成に関係していると感じているため、StackOverflowではなくServerFaultに投稿されています）。 現在、サードパーティのWebサービスに接続するシステムを保守する責任があります。このWebサービスには十分なクライアント認証証明書が必要ですが、Webサービス自体は、自己作成ルート証明機関証明書（クライアント認証証明書を作成するのと同じルート）によって作成された自己署名証明書で保護されます。 現在のサービス証明書を既知の信頼できるリストに追加し、自己作成の認証局証明書を無視するだけで十分です。残念ながら、サービス証明書は定期的に変更されるため、認証局証明書は信頼できる必要があります。サービス証明書が更新されます。 ただし、Webサービスを実行している会社での経験に基づいて（個人的に）CA証明書を信頼していません-Webに漏洩しても驚かないでしょう-心配なことに、CA証明書にはキー使用制限がありません（外部のMITM攻撃は可能ですが、リモートではありますが、コード署名に使用される証明書の漏えいについてより懸念しています）。 コンピューター（現在はサーバーボックスですが、将来の通常のデスクトップクライアントボックス）にCAを信頼するように指示することはできますが、特定のキー使用法と可能なサブジェクト名（ドメイン名） ）？ サーバーは現在Windows Server 2012 R2ですが、デスクトップコンピューターはすべてWindowsボックスですが、Linuxボックスで実行できます。

32 ssl-certificate  certificate-authority  x509 

自己署名SSL証明書は誤ったセキュリティの感覚ですか？ 盗聴されている場合、ユーザーは証明書を常に受け​​入れます。

30 networking  security  ssl  ssl-certificate  x509 

このトピックに関するリソースはたくさんありますが、この少し特殊なケースをカバーするものは見つかりませんでした。 4つのファイルがあります。 privatekey.pem certificate.pem Intermediate_rapidssl.pem ca_geotrust_global.pem そして、それらを新しいキーストアにインポートしたいと思います。 一部のサイトではDER形式を使用し、それらを1つずつインポートすることを提案していますが、キーが認識されないため失敗しました。 別のサイトは、インポートのために実行する特別な「ImportKey」クラスを提案しましたが、これはチェーンが壊れていることがわかるまで機能しました。つまり、証明書のチェーンの長さは1で、中間とcaを無視します。 PKCS7を推奨するサイトもありますが、そこからチェーンを得ることさえできません。他の人はPKCS12形式を提案していますが、私のテストでは、チェーン全体を取得するのに失敗しました。 アドバイスやヒントは大歓迎です。

29 certificate  openssl  x509  keystore 

HTTPSサーバーによって提示された証明書を保存するためのLinuxコマンドラインの方法を考えることができますか？curl / wget / opensslを使用することで、SSL接続が確立され、HTTP応答コンテンツではなく証明書が保存されます。 私が探しているものと同等のGUIは、HTTPSサイトを参照し、ブラウザの「セキュアサイト」アイコンをダブルクリックして、証明書をエクスポートすることです。ここでの目標を除いて、非対話的に行うことです。 ありがとう、ジム

28 linux  ssl  ssl-certificate  https  x509 

ルートCAから証明書を取得して、それを使用して自分のWebサーバー証明書に署名できますか？可能であれば、他の証明書に署名するための中間証明書として署名済み証明書を使用します。 クライアントに信頼チェーンに関する情報を提供するために、「私の」中間証明書を使用して特定の方法でシステムを構成する必要があることを知っています。 これは可能ですか？ルートCAは、このような証明書に署名してもらえますか？高いですか？ バックグラウンド HTTPを介したWebトラフィックの保護に関連するSSLの基本に精通しています。また、ブラウザによって決定されるように、ルートCAに至るまで有効なチェーンを持つ証明書で暗号化すると、Webトラフィックが「デフォルトで」保護されるという点で、信頼チェーンの仕組みの基本的な理解もあります。 / OSベンダー。 また、ルートCAの多くが、中間証明書を使用して（私のような）エンドユーザーの証明書に署名し始めたことを認識しています。それには私の側でもう少しセットアップが必要かもしれませんが、そうでなければ、それらの証明書は問題なく動作します。これは、CAにとって非常に価値のある秘密鍵と、私が危うくなった場合の災害に関係していると思います。 例 https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs 今、私たちはこれらの組織の規模ではないことは間違いありませんが、彼らはこのようなことをしているようです。特に、eコマースプラットフォームのリーチを拡大する1つの方法を考えると、これらの証明書の管理がはるかに魅力的なものになります。

23 ssl  certificate  x509 

OCSP検証ルーチンを設定しようとしているため、最初に環境に慣れる必要があります。たとえばOpenSSLで優れたチュートリアルが見つかりました：OCSPに対して証明書を手動で検証します。 複数の質問が出ますので、ご容赦ください。 そのチュートリアル以降、いくつかの変更がありましたが、要点は次のとおりです。 1）確認する証明書を取得します。例： openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2）証明書チェーンを構築します。 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem その後、適切に編集します。上記では、自己署名CA証明書であるGlobalSignRootCAが提供されていないことがわかったので、これを追加しました。 3）ocsp URIを決定します。 openssl x509 -noout -ocsp_uri -in wikipedia.pem 戻る http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4）openssl ocspクライアントを呼び出します。 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 戻る …

13 openssl  x509  ocsp 

アクセスにクライアント証明書を要求するようにIIS Expressを構成する方法を知っている人はいますか？認証にクライアント証明書を使用する問題のあるASP.NETアプリケーションをデバッグしようとしています。

8 windows  asp.net  https  x509  iis-express