คำถามติดแท็ก certificate-authority

ในการเข้ารหัสผู้ออกใบรับรองหรือผู้ออกใบรับรอง (CA) เป็นหน่วยงานที่ออกใบรับรองดิจิทัล

6
ใบรับรองรูทผู้มีสิทธิ์ออกใบรับรองหมดอายุและต่ออายุ
ในปี 2004 ฉันตั้งค่าการรับรองขนาดเล็กโดยใช้ OpenSSL บน Linux และสคริปต์การจัดการอย่างง่ายที่มาพร้อมกับ OpenVPN ตามคำแนะนำที่ฉันพบในขณะนั้นฉันตั้งค่าช่วงเวลาที่ใช้ได้สำหรับใบรับรองรูท CA เป็น 10 ปี ตั้งแต่นั้นมาฉันลงนามใบรับรองจำนวนมากสำหรับอุโมงค์ OpenVPN เว็บไซต์และเซิร์ฟเวอร์อีเมลซึ่งทั้งหมดนี้ก็มีช่วงเวลาที่ใช้งานได้ 10 ปี (ซึ่งอาจผิดปกติ แต่ฉันไม่รู้ตอนนั้นดีกว่า) ฉันพบคำแนะนำมากมายเกี่ยวกับการตั้งค่า CA แต่มีข้อมูลน้อยมากเกี่ยวกับการจัดการและโดยเฉพาะเกี่ยวกับสิ่งที่ต้องทำเมื่อใบรับรอง CA หลักหมดอายุซึ่งจะเกิดขึ้นในปี 2014 ดังนั้นฉันจึงมีสิ่งต่อไปนี้ คำถาม: ใบรับรองที่มีช่วงเวลาที่มีผลบังคับใช้ขยายหลังจากการหมดอายุของใบรับรอง CA หลักจะกลายเป็นไม่ถูกต้องทันทีที่หมดอายุในภายหลังหรือพวกเขาจะยังคงถูกต้อง (เพราะพวกเขาได้รับการลงนามในช่วงระยะเวลาที่ใบรับรอง CA) การดำเนินการใดที่จำเป็นในการต่ออายุใบรับรอง CA หลักและตรวจสอบให้แน่ใจว่าการเปลี่ยนผ่านหมดอายุนั้นเป็นไปอย่างราบรื่น ฉันสามารถลงนามใบรับรอง CA รูทปัจจุบันอีกครั้งโดยใช้ช่วงเวลาที่ต่างกันและอัปโหลดใบรับรองที่ลงนามใหม่ไปยังลูกค้าเพื่อให้ใบรับรองลูกค้ายังคงใช้ได้หรือไม่ หรือฉันต้องการแทนที่ใบรับรองไคลเอ็นต์ทั้งหมดด้วยใบรับรองใหม่ที่ลงชื่อโดยใบรับรองรูท CA ใหม่หรือไม่ ควรต่ออายุใบรับรอง CA รูตเมื่อใด ใกล้หมดอายุหรือเวลาที่เหมาะสมก่อนหมดอายุหรือไม่ หากการต่ออายุใบรับรองรูท CA กลายเป็นงานชิ้นสำคัญฉันควรทำอย่างไรดีกว่าตอนนี้เพื่อให้แน่ใจว่าการเปลี่ยนแปลงจะราบรื่นขึ้นในการต่ออายุครั้งถัดไป (สั้นโดยกำหนดระยะเวลาที่ใช้ได้ถึง …

6
เหตุใด CA รูตใบรับรองทั้งหมดที่ลงชื่อ SHA-1 (เนื่องจาก SHA-1 เลิกใช้แล้ว)
ฉันเข้าใจว่าใบรับรอง SSL ไม่สามารถลงชื่อโดยใช้ SHA-1 ได้อีกต่อไป แต่ใบรับรองหลัก CA ทั้งหมดนั้นลงนามใน SHA-1 (ส่วนใหญ่) หมายความว่าอัลกอริทึมแบบเดียวกันที่ไม่น่าเชื่อถือสำหรับ "you grandma SSL shop" อีกต่อไปนั้นใช้ได้สำหรับใบรับรองที่ปลอดภัยที่สุดในโลกหรือไม่? ฉันพลาดอะไรไปรึเปล่า? (การใช้คีย์? ขนาดสำคัญ?)

4
จะตัดสินใจได้อย่างไรว่าจะซื้อใบรับรองไวด์การ์ด SSL ได้ที่ไหน
เมื่อเร็ว ๆ นี้ฉันต้องซื้อใบรับรอง SSL แบบ wildcard (เพราะฉันต้องการรักษาความปลอดภัยของโดเมนย่อยจำนวนหนึ่ง) และเมื่อฉันค้นหาตำแหน่งที่จะซื้อครั้งแรกฉันรู้สึกสับสนกับจำนวนของตัวเลือกการอ้างสิทธิ์ทางการตลาดและช่วงราคา ฉันสร้างรายการเพื่อช่วยให้ฉันเห็นว่าผ่านกลไกการตลาดซึ่งส่วนใหญ่ของ Certificate Authorities (CAs) ปลาสเตอร์ทั่วไซต์ของพวกเขา ในท้ายที่สุดข้อสรุปส่วนตัวของฉันคือสิ่งที่สำคัญเพียงอย่างเดียวคือราคาและความพึงพอใจของเว็บไซต์ของ CA คำถาม:นอกจากราคาและเว็บไซต์ที่ดีแล้วมีสิ่งใดที่ควรค่าแก่การพิจารณาในการตัดสินใจซื้อใบรับรองไวด์การ์ด SSL

7
จะอัปเดต cURL CA ใน RedHat ได้อย่างไร
ฉันพบปัญหาที่กลุ่ม CA ที่รวมมากับรุ่น cURL ของฉันล้าสมัยแล้ว curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html การอ่านเอกสารไม่ได้ช่วยฉันเพราะฉันไม่เข้าใจว่าฉันต้องทำอะไรหรือทำอะไร ฉันใช้ RedHat และจำเป็นต้องอัปเดตชุดข้อมูล CA ฉันต้องทำอะไรเพื่ออัปเดตแพ็คเกจ CA บน RedHat

2
รหัสข้อผิดพลาด: ssl_error_rx_record_too_long
ฉันมี nginx ด้วยการตั้งค่าต่อไปนี้: server { listen 80; server_name site.com www.site.com; root /home/site/public_html; listen 443; #server_name site.com www.site.com; #root /home/site/public_html; ssl_certificate /root/site.pem; ssl_certificate_key /root/site.key; อย่างไรก็ตามเมื่อฉันดูการเชื่อมต่อ SSL ที่ฉันได้รับ: An error occurred during a connection to grewpler.com. SSL received a record that exceeded the maximum permissible length. (Error code: ssl_error_rx_record_too_long) ฉันใช้TrustWave Premium SSLเป็นผู้ออกใบรับรอง …

1
การไว้วางใจ CA ที่ไม่น่าเชื่อถือ - ฉันสามารถ จำกัด วิธีที่ระบบเชื่อถือได้หรือไม่
(โพสต์ไปที่ ServerFault แทน StackOverflow เพราะฉันรู้สึกว่ามันเกี่ยวข้องกับการกำหนดค่าระบบปฏิบัติการมากกว่าโค้ดโปรแกรม) ขณะนี้ฉันรับผิดชอบการบำรุงรักษาระบบที่เชื่อมต่อกับบริการเว็บของบุคคลที่สาม เว็บเซอร์นี้ต้องการใบรับรองการรับรองความถูกต้องของลูกค้าซึ่งมีความยุติธรรม แต่เว็บเซอร์นั้นปลอดภัยด้วยใบรับรองที่ลงนามด้วยตนเองซึ่งสร้างขึ้นโดยใบรับรองสิทธิ์การรับรองรูทที่สร้างขึ้นด้วยตนเอง - รูทเดียวกันที่สร้างใบรับรองรับรองความถูกต้องของลูกค้า จะเพียงพอที่จะเพิ่มใบรับรองบริการปัจจุบันลงในรายการที่เชื่อถือได้เท่านั้นและไม่สนใจใบรับรองสิทธิ์ที่สร้างขึ้นเอง แต่น่าเสียดายที่ใบรับรองบริการเปลี่ยนเป็นประจำดังนั้นใบรับรองสิทธิ์จะต้องเชื่อถือได้เพื่อรับรองว่าแอปพลิเคชันจะไม่หยุดทำงานเมื่อ มีการต่ออายุใบรับรองบริการ อย่างไรก็ตามฉันไม่เชื่อ (โดยส่วนตัว) เชื่อถือใบรับรอง CA จากประสบการณ์ของฉันกับ บริษัท ที่ใช้บริการเว็บ - มันจะไม่ทำให้ฉันประหลาดใจถ้ามันจะรั่วไหลไปที่เว็บ - และกังวลว่าใบรับรอง CA ไม่มีข้อ จำกัด การใช้งานที่สำคัญ มัน (ในขณะที่การโจมตี MITM ภายนอกนั้นมีความเป็นไปได้แม้ว่าจะอยู่ในระยะไกล เป็นไปได้หรือไม่ที่ฉันจะบอกคอมพิวเตอร์ของฉัน (ปัจจุบันคือกล่องเซิร์ฟเวอร์ แต่ในกล่องไคลเอนต์เดสก์ทอปธรรมดาในอนาคต) เพื่อไว้วางใจ CA แต่สำหรับชุดคีย์การใช้งานที่กำหนดและชุดชื่อเรื่องที่เป็นไปได้เล็ก ๆ )? เซิร์ฟเวอร์ในปัจจุบันคือ Windows Server 2012 R2 แต่อาจทำงานบนกล่อง Linux ได้แม้ว่าเครื่องเดสก์ท็อปจะเป็นกล่อง Windows ทั้งหมด

4
จะทำให้ใบรับรอง CA ของระบบที่ไว้วางใจ Firefox ได้อย่างไร?
ผู้ดูแลระบบเครือข่ายของเราเปิดใช้งานการตรวจสอบ HTTPS บนไฟร์วอลล์ / เราเตอร์ของเรา สำหรับผู้ใช้ IE สิ่งนี้ดีเพราะ certs ได้รับการเผยแพร่ผ่าน Active Directory สำหรับเครื่องที่เข้าร่วมกับโดเมน อย่างไรก็ตามเรามีผู้ใช้ Firefox จำนวนมากซึ่งขณะนี้กำลังโยนข้อผิดพลาดของใบรับรองไปยังทุกไซต์ HTTPS Firefox ใช้ CA store ของตัวเองและพวกเขาก็ภาคภูมิใจเช่นกัน มีวิธีใดที่จะให้ Firefox ไว้วางใจที่เก็บใบรับรองระบบโดยปริยาย ฉันเห็นโพสต์มากมายเกี่ยวกับวิธีการทำเช่นนี้ใน Linux แต่ไม่มีอะไรสำหรับ Windows ฉันสงสัยว่าโพสต์นี้จะเป็นไปไม่ได้ แต่โพสต์นั้นเกือบ 4 ปีแล้ว

5
วิธีการรักษาความปลอดภัยคีย์ส่วนตัวของ CA?
ฉันกำลังจะใช้ Certification Authority (CA) ของฉันเองสำหรับการใช้งานแบบ interal เท่านั้น ขณะนี้มีปัญหาที่ CA ส่วนตัวไม่ควรถูกเอารัดเอาเปรียบ ตอนนี้รหัสส่วนตัวถูกเข้ารหัส จะทำอะไรได้อีกเพื่อเพิ่มความปลอดภัยให้กับกุญแจส่วนตัว?

3
ฉันสามารถสร้างใบรับรอง S / MIME ของตัวเองสำหรับการเข้ารหัสอีเมลได้หรือไม่ [ปิด]
ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดเมื่อปีที่แล้ว ฉันมีปัญหาเล็กน้อยที่นี่ อดทนกับฉันเช่นนี้อาจเป็นกรณีของ "ไม่ถามคำถามที่ถูกต้อง" พื้นหลัง: การใช้ Apple Mail ต้องการเข้ารหัส / ถอดรหัสอีเมล แต่ GPGMail (และเห็นได้ชัดว่า PGP) ไม่รองรับ Snow Leopard โดยทั่วไปฉันจำเป็นต้องสร้างใบรับรอง S / MIME เพื่อใช้ในการเข้ารหัสอีเมล ฉันไม่ต้องการและฉันไม่สนใจหน่วยงานออกใบรับรอง ฉันต้องการใบรับรองที่รวดเร็วและสกปรก สิ่งนี้เป็นไปได้หรือไม่ (โดยใช้ OPENSSL ฯลฯ ) หรือทำบานพับกระบวนการทั้งหมดบนหน่วยงานที่มีอำนาจสูงกว่าบังคับให้ฉันตั้งค่า CA แบบเต็มรูปแบบหรือจัดการกับ บริษัท (เช่น Verisign, Thawte) สำหรับใบรับรองหรือไม่ เกณฑ์ของฉันคือความพึงพอใจทันทีและฟรี ดีที่สุด


2
เหตุใดจึงไม่ตรวจสอบใบรับรองที่ลงนามด้วยตนเองผ่านบันทึก DNS แทนที่จะเป็น letsencrypt
ฉันแค่สงสัย เราใช้ใบรับรอง SSL จำนวนมาก ทุกวันนี้เราเกือบจะใช้ letsencrypt (ขอบคุณ!) บรรทัดล่างสุดของใบรับรองเหล่านี้คือหลักฐานการเป็นเจ้าของชื่อโดเมนในใบรับรองนั้นมาจากอำนาจในการจัดการระเบียน DNS หรือเว็บไซต์ภายใต้โดเมนเหล่านี้ หลักฐาน DNS มาจากการเพิ่มคีย์ (ที่ได้รับจาก allowencrypt) เป็นระเบียน TXT ไปยัง DNS ดังนั้นหากมีหลักฐานเพียงพอที่จะสามารถเปลี่ยนระเบียน DNS สำหรับโดเมนทำไมไม่ใช้ใบรับรองที่ลงชื่อด้วยตนเองด้วยลายนิ้วมือใน DNS ฉันจะบอกว่าสิ่งนี้ให้ความเชื่อมั่นในปริมาณเท่ากันกับขั้นตอนการใช้ DNS ของ allowencrypt (และ CA อื่น ๆ ): สร้าง CA ที่เซ็นชื่อด้วยตนเอง (เพียงทำตามขั้นตอนของวิธีการต่างๆ) สร้างใบรับรองสำหรับบางโดเมน เซ็นชื่อใบรับรองจากขั้นตอนที่ 2 ด้วย CA จากขั้นตอนที่ 1 ตอนนี้คุณมีใบรับรองพื้นฐานที่ลงชื่อโดย CA ที่ไม่น่าเชื่อถือ เพิ่มระเบียน TXT (หรือเฉพาะ) ไปยัง …

2
MS Certificate Services สามารถเป็นผู้ใต้บังคับบัญชาถึง CA ที่สร้างด้วย OpenSSL ได้หรือไม่
ฉันต้องการตั้งค่าสิทธิ์การรับรองระดับองค์กรสำหรับโดเมนของฉัน ดังนั้นฉันสามารถออกใบรับรองเพื่อวัตถุประสงค์ต่างๆ ฉันต้องการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการรูท CA เป็นออฟไลน์และตั้งค่า CA องค์กรของฉันเป็นสังกัด แต่ดูเหมือนว่าโง่ที่จะให้ลิขสิทธิ์ Windows แบบสมบูรณ์สำหรับงานนี้ สิ่งที่ฉันหวังว่าจะสามารถทำได้คือติดตั้งการแจกจ่ายสดลงในดิสก์ USB แฟลชแล้วติดตั้ง openssl และติดตั้ง CA ของฉันในแฟลชไดรฟ์ เมื่อฉันพร้อมที่จะสร้างรูทคีย์ / ใบรับรองฉันจะตัดการเชื่อมต่อคอมพิวเตอร์จากเครือข่ายและจากนั้นไม่เคยใช้ดิสก์ USB นั้นบนคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายอีกครั้ง ฉันจะสามารถลงชื่อและสร้างใบรับรอง CA รองสำหรับ CA องค์กร Windows ได้อย่างถูกต้องหรือไม่ซึ่งจะสามารถใช้งานได้ ฉันต้องใช้ตัวเลือกใดกับ OpenSSL เพื่อสร้าง CA และลงนามใบรับรอง CA รองอย่างถูกต้อง ฉันพยายามค้นหาเว็บและนี่เป็นสิ่งเดียวที่ฉันสามารถค้นพบในหัวข้อนี้ แต่มันมาถึงปี 2008 และฉันไม่แน่ใจว่าบุคคลนั้นจะประสบความสำเร็จทุกคน

3
Windows 2008 R2 CA และการลงทะเบียนอัตโนมัติ: วิธีกำจัดใบรับรองที่ออกให้ 100,000 ใบ?
ปัญหาพื้นฐานที่ฉันมีคือฉันมีใบรับรองเครื่องที่ไร้ประโยชน์มากกว่า 100,000 รายการทำให้ CA ของฉันยุ่งเหยิงและฉันต้องการลบโดยไม่ต้องลบ certs ทั้งหมดหรือกระโดดเซิร์ฟเวอร์ไปข้างหน้า ที่นั่น สิ่งนี้เกิดขึ้นจากการยอมรับการเริ่มต้นสองสามครั้งกับ Enterprise Root CA (2008 R2) ของเราและการใช้GPOเครื่องไคลเอนต์ลงทะเบียนอัตโนมัติเพื่อขอใบรับรองเพื่ออนุญาตการ802.1xรับรองความถูกต้องกับเครือข่ายไร้สายขององค์กรของเรา ปรากฎว่าค่าเริ่มต้นComputer (Machine) Certificate Templateจะช่วยให้เครื่องลงทะเบียนได้อย่างมีความสุขแทนการสั่งให้ใช้ใบรับรองที่มีอยู่แล้ว นี่คือการสร้างปัญหาจำนวนหนึ่งสำหรับผู้ชาย (ฉัน) ที่หวังว่าจะใช้ Certificate Authority มากกว่าบันทึกของทุกครั้งที่มีการรีบูตเครื่อง (แถบเลื่อนด้านข้างกำลังโกหกหากคุณลากไปด้านล่างหน้าจอจะหยุดชั่วคราวและโหลดสองสามโหลถัดไป) ไม่มีใครรู้วิธีลบ 100,000 หรือใบรับรองที่ถูกต้องเวลาที่มีอยู่จาก Windows Server 2008R2 CA หรือไม่ เมื่อฉันไปลบใบรับรองตอนนี้ฉันได้รับข้อผิดพลาดว่าไม่สามารถลบได้เนื่องจากยังใช้งานได้ ดังนั้นวิธีที่ดีที่สุดที่จะหลีกเลี่ยงข้อผิดพลาดนั้นชั่วคราวเนื่องจาก Mark Henderson ได้จัดเตรียมวิธีการลบใบรับรองด้วยสคริปต์เมื่อมีการล้างสิ่งกีดขวาง (การเพิกถอนนั้นไม่ใช่ตัวเลือกเนื่องจากเพิ่งย้ายไปRevoked Certificatesที่ซึ่งเราต้องสามารถดูได้และไม่สามารถลบออกจาก "โฟลเดอร์" ที่ถูกเพิกถอนได้) ปรับปรุง: ฉันลองไซต์ @MarkHenderson ที่เชื่อมโยงซึ่งมีแนวโน้มและให้การจัดการใบรับรองที่ดีกว่ามาก แต่ก็ยังไม่ถึง การถูในกรณีของฉันดูเหมือนว่าใบรับรองยังคงเป็น "เวลาถูกต้อง" …

2
สายใบรับรอง SSL นี้ใช้งานไม่ได้และจะแก้ไขได้อย่างไร
สำหรับใบรับรอง SSL บนโดเมน example.com การทดสอบบางอย่างบอกฉันว่าห่วงโซ่ไม่สมบูรณ์และเนื่องจาก Firefox เก็บใบรับรองของตัวเองไว้จึงอาจล้มเหลวบน Mozilla ( 1 , 2 , 3 ) คนอื่นบอกฉันว่ามันใช้ได้ดีเช่นเดียวกับ Firefox 36 ซึ่งบอกฉันว่าเชนใบรับรองนั้นใช้ได้ UPDATE: ฉันทดสอบบน Opera, Safari, Chrome และ IE ทั้ง Windows XP และ MacOS X Snow Leopard พวกเขาทำงานได้ดี มันล้มเหลวบน Firefox <36 บนทั้งสองระบบปฏิบัติการเท่านั้น ฉันไม่สามารถเข้าถึงทดสอบบน Linux ได้ แต่สำหรับเว็บไซต์นี้มีผู้เข้าชมน้อยกว่า 1% และส่วนใหญ่อาจเป็นบ็อต ดังนั้นนี่เป็นการตอบคำถามเดิม "การตั้งค่านี้ทำให้เกิดคำเตือนใน Mozilla Firefox หรือไม่" …

1
“ tlsv1 alert unknown ca” หมายถึงอะไร?
ฉันพยายามที่จะทำคำขอขดโดยใช้ใบรับรองลูกค้าเช่น: curl -E my.pem https://some.site และฉันได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้: curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca สิ่งนี้หมายความว่า? การร้องเรียนนี้มาจากเซิร์ฟเวอร์ที่ฉันกำลังเชื่อมต่อหรือไคลเอนต์ curl ของฉันหรือไม่ (ฉันจะทราบได้อย่างไร) ca ในบริบทนี้คืออะไร ฉันจะทำให้เป็นที่รู้จัก ca ได้อย่างไร

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.