คำถามติดแท็ก certificate

ใบรับรองเป็นกุญแจสาธารณะและข้อมูลการระบุตัวตน

3
ไฟล์ Pem คืออะไรและแตกต่างจากรูปแบบไฟล์คีย์อื่น ๆ ของ OpenSSL อย่างไร
ฉันรับผิดชอบในการบำรุงรักษาเซิร์ฟเวอร์ Debian สองเครื่อง ทุกครั้งที่ฉันต้องทำอะไรกับใบรับรองความปลอดภัยฉันใช้ Google เพื่อทำแบบฝึกหัดและเอาชนะจนกว่ามันจะใช้งานได้ในที่สุด อย่างไรก็ตามในการค้นหาของฉันฉันมักจะเจอรูปแบบไฟล์ที่แตกต่างกัน ( .key, .csr, .pem) แต่ผมไม่เคยได้รับสามารถที่จะหาคำอธิบายที่ดีของสิ่งที่วัตถุประสงค์ในแต่ละรูปแบบไฟล์เป็น ฉันสงสัยว่าผู้คนที่ดีที่ ServerFault สามารถให้ความกระจ่างเกี่ยวกับเรื่องนี้ได้หรือไม่?
1342 certificate  pki 


8
ใบรับรอง Wildcard SSL สำหรับโดเมนย่อยระดับที่สอง
ผมอยากจะทราบว่าใบรับรองใดสนับสนุนตัวแทนคู่เหมือน*.*.example.com? ฉันเพิ่งได้รับโทรศัพท์กับผู้ให้บริการ SSL ปัจจุบันของฉัน (register.com) และหญิงสาวที่นั่นบอกว่าพวกเขาไม่ได้เสนออะไรแบบนั้นและเธอก็ไม่คิดว่ามันจะเป็นไปได้ มีใครบอกได้บ้างว่าเป็นไปได้หรือไม่และถ้าเบราว์เซอร์รองรับสิ่งนี้

3
จะตรวจสอบใบรับรอง TLS ของเซิร์ฟเวอร์ SMTP ระยะไกลได้อย่างไร
เรามีเซิร์ฟเวอร์ Exchange 2007 ที่ทำงานบน Windows Server 2008 ลูกค้าของเราใช้เซิร์ฟเวอร์อีเมลของผู้ขายรายอื่น นโยบายความปลอดภัยของพวกเขาต้องการให้เราใช้ TLS ที่บังคับใช้ มันใช้งานได้ดีจนกระทั่งเมื่อไม่นานมานี้ ตอนนี้เมื่อ Exchange พยายามที่จะส่งจดหมายไปยังเซิร์ฟเวอร์ของลูกค้ามันจะบันทึกสิ่งต่อไปนี้: การเชื่อมต่อที่ปลอดภัยไปยังโดเมนที่ปลอดภัยของโดเมน 'ourclient.com' บนตัวเชื่อมต่อ 'จดหมายภายนอกที่เป็นค่าเริ่มต้น' ไม่สามารถสร้างได้เนื่องจากการตรวจสอบใบรับรอง Transport Layer Security (TLS) สำหรับ ourclient.com ล้มเหลวด้วยสถานะ 'UntrustedRoot ติดต่อผู้ดูแลระบบของ ourclient.com เพื่อแก้ไขปัญหาหรือลบโดเมนออกจากรายการโดเมนที่ปลอดภัย การลบ ourclient.com ออกจาก TLSSendDomainSecureList ทำให้ข้อความถูกส่งสำเร็จโดยใช้ TLS แบบฉวยโอกาส แต่นี่เป็นการแก้ปัญหาชั่วคราวที่ดีที่สุด ลูกค้าเป็น บริษัท ระหว่างประเทศที่มีขนาดใหญ่และมีความปลอดภัยสูง ฝ่ายไอทีของเรามีการอ้างว่าไม่ทราบว่ามีการเปลี่ยนแปลงใด ๆ ในใบรับรอง TLS ฉันขอให้เขาซ้ำ ๆ เพื่อระบุอำนาจที่สร้างใบรับรองเพื่อให้ฉันสามารถแก้ไขข้อผิดพลาดในการตรวจสอบ แต่จนถึงขณะนี้เขายังไม่สามารถให้คำตอบได้ …

11
IIS7: ไม่สามารถตั้งชื่อโฮสต์บนไซต์ด้วย SSL cert และพอร์ต 443
พิจารณาเครื่อง Win 2008 SP2 ด้วย IIS7 ภารกิจคือการใช้ใบรับรองและชื่อโฮสต์กับไซต์หนึ่งเดียวบนเครื่องนี้ จำเป็นต้องมีส่วนหัวโฮสต์ของเว็บไซต์abc.123.example.com ขั้นตอนแรกคือการติดตั้ง. pfx ไปยังร้านค้าส่วนตัวซึ่งประสบความสำเร็จ IIS7 ค้นหาใบรับรองว่าพร้อมใช้งาน แต่จะไม่อนุญาตให้ป้อนชื่อโฮสต์ กล่องข้อความชื่อโฮสต์ถูกปิดใช้งาน / เป็นสีเทาเสมอก่อนที่จะเลือกใบรับรองของฉัน ฉันได้ลบการผูกพอร์ตเริ่มต้น 80 แล้ว คำถาม:ฉันจะตั้งชื่อโฮสต์สำหรับไซต์นี้ได้อย่างไร มันเป็นเรื่องของการรับรองนี้เป็นใบรับรองตัวแทนหรือไม่? ฉันเข้าใจว่าคำขอ SSL เข้ามาในเว็บเซิร์ฟเวอร์และส่วนหัวโฮสต์ในแพ็กเก็ตนั้นได้รับการเข้ารหัส เหตุใด IIS6 จึงอนุญาตให้ระบุส่วนหัวของโฮสต์ แต่ IIS7 ไม่ได้ อัปเดต:ใบรับรองไม่ใช่ส่วนหนึ่งของปัญหา ฉันได้สร้างไซต์ใหม่บนเครื่องและเมื่อเลือกการเชื่อมโยง https กล่องข้อความชื่อโฮสต์จะถูกปิดใช้งาน

9
วิธีการหลีกเลี่ยงข้อผิดพลาดการตรวจสอบใบรับรอง lftp
ฉันพยายามทำให้บล็อก Pelicanของฉันทำงาน มันใช้ lftp เพื่อถ่ายโอนบล็อกจริงไปยังเซิร์ฟเวอร์ตัว แต่ฉันมักจะได้รับข้อผิดพลาด: mirror: Fatal error: Certificate verification: subjectAltName does not match ‘blogname.com’ ฉันคิดว่า lftp กำลังตรวจสอบ SSL และการตั้งค่าอย่างรวดเร็วของ Pelican เพียงลืมที่จะรวมว่าฉันไม่มี SSL บน FTP ของฉัน นี่คือรหัสใน Pelican's Makefile: ftp_upload: $(OUTPUTDIR)/index.html lftp ftp://$(FTP_USER)@$(FTP_HOST) -e "mirror -R $(OUTPUTDIR) $(FTP_TARGET_DIR) ; quit" ซึ่งแสดงผลในเทอร์มินัลเป็น: lftp ftp://username@blogname.com -e "mirror -R /Volumes/HD/Users/me/Test/output /myblog_directory ; …

5
เหตุใดผู้ดูแลระบบจำนวนมากที่ใช้นโยบาย 'ปิดการปรับปรุงใบรับรองรูตอัตโนมัติ'
บริษัท ของฉันกระจาย Windows Installer สำหรับผลิตภัณฑ์ที่ใช้เซิร์ฟเวอร์ ตามแนวทางปฏิบัติที่ดีที่สุดจะมีการลงชื่อโดยใช้ใบรับรอง ตามคำแนะนำของ Microsoftเราใช้ใบรับรองการลงนามรหัส GlobalSignซึ่ง Microsoft อ้างว่าเป็นที่รู้จักโดยค่าเริ่มต้นโดย Windows Server ทุกรุ่น ตอนนี้ทุกคนทำงานได้ดียกเว้นในกรณีที่เซิร์ฟเวอร์ได้รับการกำหนดค่าด้วยนโยบายกลุ่ม: การตั้งค่าการกำหนดค่าคอมพิวเตอร์ / Administrative Templates / ระบบ Internet / การจัดการการสื่อสาร / อินเทอร์เน็ตการสื่อสาร / ปิดอัตโนมัติรากใบรับรองการปรับปรุงเป็นที่เปิดใช้งาน เราพบว่าหนึ่งในผู้ทดสอบเบต้ารุ่นแรกของเรากำลังทำงานกับการกำหนดค่านี้ทำให้เกิดข้อผิดพลาดต่อไปนี้ระหว่างการติดตั้ง ไฟล์ที่ต้องการไม่สามารถติดตั้งได้เนื่องจากไฟล์ cabinet [พา ธ ยาวไปยังไฟล์ cab] มีลายเซ็นดิจิทัลที่ไม่ถูกต้อง นี่อาจบ่งบอกว่าไฟล์ cabinet เสียหาย เราเขียนสิ่งนี้เป็นเรื่องแปลกเพราะไม่มีใครสามารถอธิบายได้ว่าทำไมระบบจึงถูกกำหนดค่าเช่นนี้ อย่างไรก็ตามในขณะนี้ซอฟต์แวร์นั้นมีให้สำหรับการใช้งานทั่วไปปรากฏว่าลูกค้าของเราได้รับการกำหนดค่าสองหลัก (เปอร์เซ็นต์) ด้วยการตั้งค่านี้และไม่มีใครรู้ว่าทำไม หลายคนลังเลที่จะเปลี่ยนการตั้งค่า เราได้เขียนบทความ KBสำหรับลูกค้าของเรา แต่เราไม่ต้องการให้ปัญหาเกิดขึ้นจริงๆเพราะเราให้ความสำคัญกับประสบการณ์ของลูกค้า บางสิ่งที่เราสังเกตเห็นในขณะที่ตรวจสอบสิ่งนี้: การติดตั้ง Windows …

2
ฉันสามารถสร้างใบรับรอง Extended Validation SSL ของตัวเองได้หรือไม่
ฉันสามารถสร้างด้วย CA ของตัวเองและสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองด้วยวิธีนี้ แต่อะไรที่ทำให้เบราว์เซอร์แสดงใบรับรองว่าเป็น "ใบรับรอง SSL ที่ผ่านการตรวจสอบเพิ่มเติม" ฉันสามารถสร้างด้วยตัวเองและสอนให้เบราว์เซอร์ของฉันแสดงเป็น EV ได้หรือไม่?

4
ใบรับรอง SSL ที่ลงชื่อด้วยตนเองมีความปลอดภัยหรือไม่
ฉันต้องการที่จะมีการเชื่อมต่อที่ปลอดภัยเมื่อฉันเข้าสู่เว็บเมลphpMyAdminฯลฯ ดังนั้นฉันจึงลงนามใบรับรอง SSL ของตัวเองกับ OpenSSL และบอกให้ Apache ฟังบนพอร์ต 443 อันนี้จริงแล้วปลอดภัยหรือไม่? รหัสผ่านทั้งหมดของฉันถูกส่งผ่านเลเยอร์ที่ปลอดภัยหรือไม่? หากฉันซื้อใบรับรอง SSL จากVerisignหรือลงนามเอง ในตอนท้ายของวันข้อมูลทั้งหมดจะอยู่ในเซิร์ฟเวอร์ของฉันต่อไป ดังนั้นความแตกต่างใหญ่คืออะไร?

2
ฉันจะแก้ไขปัญหาเกี่ยวกับการกำหนดค่าใบรับรองในบริการเดสก์ท็อประยะไกลได้อย่างไร
ฉันกำลังตั้งค่าฟาร์มบริการเดสก์ท็อประยะไกลและมีปัญหาในการกำหนดค่าใบรับรองเพื่อใช้งาน การสาธิตปัญหาที่ฉันเห็นสามารถพบได้ในขั้นตอนที่ 4 ณ จุดนี้ฉันเชื่อว่ามีปัญหากับส่วนติดต่อผู้ใช้และกำลังมองหาวิธีการรอบ ๆ พวกเขา มีวิธีใดบ้างในการกำหนดค่าใบรับรองในบริการเดสก์ท็อประยะไกลเพื่อให้มีการตั้งค่าและแสดงใน GUI ถ้าไม่มีวิธีใดบ้างที่ฉันจะตรวจสอบว่าการตั้งค่าถูกต้องหรือไม่ ขั้นตอนที่ # 1 - สร้างใบรับรองที่จะใช้ ฉันกำหนดค่าใบรับรองเพื่อใช้กับ RD Web Access ใบรับรองถูกเก็บไว้ใน MMC ของใบรับรองบนนายหน้าการเชื่อมต่อ RD ของฉันและฉันกำลังกำหนดค่าฟาร์มจากคอมพิวเตอร์เครื่องนั้น ฉันพบโดยให้ RD Web Access สร้างใบรับรองของตนเองว่าต้องการคุณสมบัติต่อไปนี้: การใช้คีย์ขั้นสูง การตรวจสอบเซิร์ฟเวอร์ การตรวจสอบลูกค้า อาจไม่จำเป็นต้องใช้ แต่ใบรับรองที่ลงนามเองรวมอยู่ด้วย การใช้คีย์ ลายเซ็นดิจิทัล ข้อตกลงที่สำคัญ ชื่อสำรองของหัวเรื่อง ชื่อ DNS = domain.com ทางอ้อมเกี่ยวกับการสร้างใบรับรองที่ลงนามด้วยตนเอง เพื่อเป็นการอ้อมอย่างรวดเร็วฉันสามารถแก้ไขปัญหาเกี่ยวกับการสร้างใบรับรองที่ลงชื่อด้วยตนเองโดยใช้ PowerShell เอกสารสำหรับcmdlet ใหม่ -RDCertificateให้ตัวอย่างต่อไปนี้: PS C:\> …

4
ลายนิ้วมือของปุ่ม PEM ssh
ฉันมีไฟล์ PEM ซึ่งเพิ่มลงใน ssh-agent กำลังทำงานอยู่: $ file query.pem query.pem: PEM RSA private key $ ssh-add ./query.pem Identity added: ./query.pem (./query.pem) $ ssh-add -l | grep query 2048 ef:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ./query.pem (RSA) ฉันจะรับลายนิ้วมือของกุญแจ (ซึ่งฉันเห็นใน ssh-agent) ได้โดยตรงจากไฟล์ได้อย่างไร ฉันรู้ว่าssh-keygen -l -f some_keyใช้ได้กับคีย์ ssh "ปกติ" แต่ไม่ใช่สำหรับไฟล์ PEM ถ้าฉันลอง ssh-keygen ในไฟล์. pem ฉันจะได้รับ: $ ssh-keygen -l …

3
อิมพอร์ตห่วงโซ่ใบรับรอง PEM และคีย์ไปยัง Java Keystore
มีแหล่งข้อมูลมากมายเกี่ยวกับหัวข้อนี้ แต่ไม่มีฉันพบซึ่งครอบคลุมกรณีพิเศษเล็กน้อยนี้ ฉันมี 4 ไฟล์; privatekey.pem certificate.pem intermediate_rapidssl.pem ca_geotrust_global.pem และฉันต้องการที่จะนำเข้ามันเข้าไปในที่เก็บคีย์ใหม่ บางไซต์แนะนำให้ใช้รูปแบบ DER และนำเข้าทีละรูปแบบ แต่สิ่งนี้ล้มเหลวเนื่องจากไม่รู้จักรหัส ไซต์อื่นแนะนำพิเศษ "ImportKey" -class เพื่อเรียกใช้การนำเข้าและสิ่งนี้ใช้ได้จนกว่าฉันจะเห็นว่าสายโซ่ขาด คือความยาวสายโซ่ของใบรับรองคือ 1 โดยไม่ต้องคำนึงถึงสื่อกลางและ ca บางเว็บไซต์แนะนำ PKCS7 แต่ฉันไม่สามารถรับสายได้ อื่น ๆ แนะนำให้ใช้รูปแบบ PKCS12 แต่เท่าที่การทดสอบของฉันไปนั้นก็ล้มเหลวเช่นกันในการรับโซ่ทั้งหมด คำแนะนำหรือคำแนะนำใด ๆ ยินดีต้อนรับมาก

2
เป็นไปได้หรือไม่ที่จะ จำกัด การใช้ใบรับรองรูทไปยังโดเมน
ลูกค้าของฉันใช้ใบรับรองที่ลงชื่อด้วยตนเองเพื่อให้แอปพลิเคชันทำงาน เพื่อให้สามารถใช้งานได้ฉันต้องติดตั้งใบรับรองหลักที่ใช้ในการลงชื่อใบรับรอง เป็นไปได้หรือไม่ที่จะกำหนดค่าใบรับรองหลักเพื่อให้ตรวจสอบได้เพียงหนึ่งโดเมนเท่านั้น

5
โดยทั่วไป บริษัท จะเก็บใบรับรอง SSL ไว้ที่ใดเพื่อใช้ในอนาคต
เราเพิ่งซื้อใบรับรองไวลด์การ์ด SSL สำหรับโดเมนของเรา เราแปลง certs ทั้งหมดเป็นที่เก็บคีย์ Java แต่ตอนนี้เราถามตัวเองว่าเราควรเก็บไว้ที่ใดเพื่อใช้ในภายหลัง ผู้คนใช้การควบคุมแหล่งข้อมูลเช่น BitBucket สำหรับไฟล์ประเภทนี้หรือเพียงแค่สร้างทุกครั้งที่ต้องการหรืออย่างอื่น? เราสงสัยว่ามีวิธีแก้ปัญหามาตรฐานหรือ "แนวปฏิบัติที่ดีที่สุด" รอบการจัดเก็บใบรับรองเหล่านี้เพื่อใช้ในอนาคตหรือไม่


โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.