คำถามติดแท็ก certificate-authority

ในการเข้ารหัสผู้ออกใบรับรองหรือผู้ออกใบรับรอง (CA) เป็นหน่วยงานที่ออกใบรับรองดิจิทัล

2
ฉันจะตั้งค่าความโปร่งใสของใบรับรองได้อย่างไรหาก CA ของฉันไม่รองรับ
ฉันคิดว่าคุณหลายคนเคยได้ยินเกี่ยวกับการริเริ่มการรับรองความโปร่งใสของGoogle ตอนนี้ initiave เกี่ยวข้องกับบันทึกสาธารณะของใบรับรองทั้งหมดที่ออกโดย CA บางแห่ง เนื่องจากนี่เป็นงานจำนวนหนึ่ง CAs บางตัวเท่านั้นที่ไม่ได้ตั้งค่า ตัวอย่างเช่นStartComกล่าวแล้วว่าเป็นการยากที่จะตั้งค่าจากด้านข้างของพวกเขาและการตั้งค่าที่เหมาะสมจะใช้เวลาเป็นเดือน ในระหว่างนี้ใบรับรอง EV ทั้งหมดจะถูก "ลดระดับ" เป็น "ใบรับรองมาตรฐาน" โดย Chrome ตอนนี้มีการระบุว่ามีสามวิธีในการจัดทำเร็กคอร์ดที่จำเป็นเพื่อป้องกันการลดระดับ: ส่วนขยาย x509v3 ซึ่งเป็นไปได้สำหรับ CA เท่านั้น ส่วนขยาย TLS เย็บเล่ม OCSP ตอนนี้ฉันคิดว่าส่วนที่สองและสามจำเป็นต้องมีการโต้ตอบ (ไม่?) จาก CA ที่ออก ดังนั้นคำถาม: ฉันสามารถตั้งค่าการสนับสนุนความโปร่งใสของใบรับรองกับเว็บเซิร์ฟเวอร์ apache ของฉันได้หรือไม่ถ้า CA ของฉันไม่รองรับและฉันจะทำอย่างไรถ้าเป็นไปได้

3
จะรับใบรับรอง CA ของรูทสำหรับ Windows Server ได้ที่ใด Microsoft ไม่ได้ทำการอัพเดตอีกต่อไป?
Microsoft ได้ลบการอัพเดท CA ของรูทออกจาก WSUSในเดือนมกราคม 2013 ตอนนี้ฉันมีการติดตั้ง Windows Server 2012 ใหม่ซึ่งมีรูท CA ที่ไม่เพียงพอ (โดยทั่วไปเป็นเพียง CA ของ Microsoft) ซึ่งหมายความว่าเมื่อใดก็ตามที่แอปพลิเคชันของเราเรียกบริการเว็บ https จะล้มเหลวเว้นแต่ฉันจะติดตั้งรูท CA โดยเฉพาะ เนื่องจากแอปพลิเคชันของเราใช้การยกเลิก SSL ที่ตัวโหลดบาลานซ์ฉันไม่จำเป็นต้องกังวลเกี่ยวกับข้อ จำกัด ของช่องสัญญาณ 16KB ที่ทำให้ Microsoft ลบการปรับปรุงเหล่านี้ ฉันต้องการค้นหาแหล่งข้อมูลเพื่อติดตั้งและอัปเดต CA รูทมาตรฐาน ไม่มีใครรู้เกี่ยวกับทรัพยากรดังกล่าวหรือไม่? นี่คือรูปภาพของรูต CA เริ่มต้นใน WS2012

2
ค่าใช้จ่ายในการรับใบรับรองหน่วยงานที่เชื่อถือได้
บริษัท ของฉันมีหน่วยงานออกใบรับรองภายในองค์กรที่ขณะนี้ลงชื่อด้วยตนเอง เนื่องจากเราต้องการเริ่มใช้มันสำหรับ SSL ภายนอกและอีเมลที่ปลอดภัยให้กับลูกค้าของเราเราจึงต้องได้รับความเชื่อถือ ใครบ้างที่มีสนามเบสบอลว่ามีค่าใช้จ่ายอะไรบ้างในการได้รับใบรับรองหลักที่เชื่อถือได้สำหรับ PKI ภายในองค์กร ตัวเลข 4 ตัว? 5 ตัวเลข? 6 ตัวเลข? เราจ้างงานระหว่าง 2,000-3,000

1
การออก CA root ที่ลงนามเองใหม่โดยไม่ทำให้ใบรับรองที่ลงชื่อนั้นถูกต้อง
ฉันสร้างผู้ออกใบรับรองที่ลงนามเองด้วยตนเองสำหรับบริการภายในไม่กี่แห่งใน บริษัท ของเราซึ่งฉันกำหนดค่าตัวเอง (ส่วนใหญ่ทำหน้าที่ผ่าน HTTPS) จากนั้นฉันสร้างใบรับรองสำหรับบริการเหล่านั้นลงนามด้วย CA นี้ ตอนนี้ฉันต้องการเพิ่มส่วนขยาย x509 (จุดแจกจ่าย CRL) ให้กับรูท CA โดยไม่ทำให้ใบรับรองเซิร์ฟเวอร์ที่มีอยู่ซึ่งออกจาก CA นี้ไม่ถูกต้อง เป็นไปได้ไหม ความรู้สึกของฉันคือ "ใช่" เพราะอย่างที่ฉันเข้าใจการเข้าถึงกุญแจส่วนตัวที่เกี่ยวข้องนั้นเป็นสิ่งที่จำเป็นและเพียงพอสำหรับ "สิทธิ์เต็ม" ในการระบุตัวตนของใบรับรอง นั่นคือยกเว้นว่ามีการจัดเรียงของ nonce รวมกับคีย์สาธารณะในใบรับรองเมื่อมีการสร้าง (น่าจะ) ฉันยังค่อนข้างใหม่ต่อการจัดการใบรับรอง SSL แต่ฉัน (คิดว่าฉัน) เข้าใจพื้นฐานของเครือข่ายความน่าเชื่อถือมาตรฐาน ฉันยังพอใจกับการใช้งานพื้นฐานของ crypto PKI อื่น ๆ : ฉันจัดการคีย์ SSH และใช้ GPG สำหรับการเซ็นชื่อและการเข้ารหัส ฉันเรียนวิชาวิทยาการคอมพิวเตอร์ถึงแม้ว่าฉันจะเป็นแค่คนทำเสียงเขียนด้วยตนเองในการเข้ารหัส ฉันไม่เคยทำ CSR สำหรับ IIRC ดั้งเดิม (ฉันคิดว่ามันเป็นผลลัพธ์โดยตรงของopenssl …

2
ใบรับรองหลักควรรวมอยู่ในชุดข้อมูล CA หรือไม่
ฉันเพิ่งเยี่ยมชมการทดสอบเซิร์ฟเวอร์ SSL ของ Qualysเพื่อยืนยันว่ามีการติดตั้งใบรับรอง Namecheap อย่างถูกต้อง ทุกอย่างดูดียกเว้นปัญหาห่วงโซ่เดียว ("มีสมอ"): ดูเหมือนว่าฉันควรจะสามารถแก้ไขปัญหานี้ได้โดยการลบ AddTrust External CA Root ซึ่งมีอยู่แล้วในร้านค้าที่เชื่อถือได้ (ส่วนใหญ่?) อย่างไรก็ตามคำแนะนำการติดตั้งของ Namecheap ระบุอย่างชัดเจนว่านี่เป็นหนึ่งในสามใบรับรองในชุด CA: ComodoRSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt จะปลอดภัยหรือไม่ที่จะเพิกเฉยคำแนะนำของ Namecheap และลบใบรับรองรูท AddTrust External CA ออกจากสายโซ่ ถ้าเป็นเช่นนั้นเหตุใด Namecheap จึงรวมไว้ในที่แรก?

6
การเปลี่ยนแหล่งที่มาของเซิร์ฟเวอร์ NTP ที่ป่วยและการซิงค์ใหม่ (ด้วยเวลาภายในปัจจุบันช้ากว่า 2 นาที)
หนึ่งในเซิร์ฟเวอร์ NTP ภายนอก (เซิร์ฟเวอร์หลัก - ปัจจุบัน) ที่เราใช้เป็นแหล่งดูเหมือนว่าจะไม่ตอบสนองต่อการโทร NTP น่าเสียดายที่เราเตอร์หลักของเรา (Cisco 6509) ฟังก์ชั่น NTP ไม่ได้เปลี่ยนไปใช้เซิร์ฟเวอร์ภายนอก NTP รองตามที่คาดไว้ ด้วยเหตุนี้เราเตอร์หลักของเราซึ่งเป็นแหล่ง NTP หลักภายในของเราค่อนข้างช้า 2 นาที ฉันวางแผนที่จะแก้ไขปัญหาเราเตอร์ภายนอกโดยทำให้แหล่งข้อมูล NTP ภายนอกเป็นแหล่งข้อมูลที่ใช้งานได้ในปัจจุบัน ฉันสงสัยว่าการเปลี่ยนแปลง 2 นาทีจะมีผลกับผู้ใช้และบริการของฉันเท่าใด เป็นพิเศษตั้งแต่สมัยนี้เราต้องพึ่งพาการรับรองความถูกต้องตามใบรับรองเป็นอย่างมาก เราเป็นร้านค้า Windows / Cisco การตั้งค่า NTP ภายใน: [Core เราเตอร์ 1 / Cisco 6509]: มองออกไปยังเซิร์ฟเวอร์ NTP ภายนอกสองเครื่อง (ซึ่งเซิร์ฟเวอร์หลักไม่ตอบสนองต่อการโทร NTP) [คอร์เราเตอร์ 2]: การ ซิงก์กับคอร์เราเตอร์ …

3
เหตุใดจึงออกใบรับรอง SSL ที่หมดอายุในปี 2037
ใน Firefox ถ้าฉันดู Verisign Universal Root Certificate Authority ฉันสังเกตเห็นว่าหมดอายุในปี 2037 ( Settingsแท็บ -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.) ทำไมอายุ 23 ปี? ทำไมพวกเขาไม่ตั้งค่าให้หมดอายุก่อนหน้านี้ หรือหลังจากนั้น

1
การใช้ CA สำรอง (เช่น Microsoft Certificate Services) กับ Puppet
ฉันกำลังตรวจสอบว่าฉันสามารถทำให้ระบบนิเวศของหุ่นกระบอกใช้ประโยชน์จาก Microsoft Enterprise CA ที่มีอยู่ของเราแทนที่จะเป็น CA ของตัวเองหรือไม่ เนื่องจากหุ่นเชิดนั้นระบบทั้งหมดเป็น "มาตรฐาน SSL" ฉันเดาว่ามันเป็นไปได้อย่างสมบูรณ์ที่จะทำสิ่งนี้โดยไม่ต้องเปลี่ยนแปลงหุ่นมากเท่าไหร่ แต่มันก็น่าปวดหัวด้วยมือขนาดใหญ่เว้นแต่หุ่นจะถูกแก้ไขเพื่อโทรออกไปยังองค์กรที่เหมาะสม แคลิฟอร์เนีย มีใครเคยลองวิธีนี้มาก่อนหรือไม่ มันเป็น "ที่นี่เป็นมังกรเลี้ยวไป!" สถานการณ์?

1
apache ssl - ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น
วันนี้ทันใดนั้นลูกค้าของฉันของฉันก็ทิ้งข้อผิดพลาดนี้ ฉันไม่เชื่อว่าเป็นปัญหาทางทะเลเพราะ openssl ของฉันพ่นข้อผิดพลาดเดียวกันทั้งหมด: user@nb-user:~$ echo |openssl s_client -connect seafile.mydomain.ch:443 CONNECTED(00000003) depth=1 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Class 2 Primary Intermediate Server CA verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/description=5RygJ9fx8e2SBLzw/C=CH/ST=Thurgau/L=Frauenfeld/O=mydomain GmbH/CN=*.mydomain.ch/emailAddress=postmaster@mydomain.ch i:/C=IL/O=StartCom …

1
จะเกิดอะไรขึ้นกับใบรับรองการเซ็นรหัสเมื่อรูท CA หมดอายุ
จนถึงตอนนี้ชัดเจนสำหรับฉัน: หากใบรับรองการลงชื่อรหัสหมดอายุรหัสที่เซ็นชื่อจะได้รับการตรวจสอบ / ยอมรับในกรณีที่ลงชื่อด้วยการประทับเวลา มิฉะนั้นรหัสที่เซ็นชื่อก็จะหมดอายุเช่นกัน แต่จะเกิดอะไรขึ้นถ้า CA ของฉันหมดอายุ (รูต CA และ CA ที่ออกดังนั้น) รหัสจะยังคงได้รับการยอมรับหากมีการประทับเวลา? ต้องรูทใบรับรอง CA ที่หมดอายุและออกยังคงมีอยู่ (เช่นในที่เก็บใบรับรอง root ca ที่เชื่อถือได้) นี่คือข้อสันนิษฐานของฉันแม้ว่า CA อาจลดระดับลงลูกค้าที่ดำเนินการลงนามจะต้องยังคงไว้วางใจ CA หรือไม่ มิฉะนั้นสายการเชื่อถือจะแตกใช่ไหม? การขาด CRL หรือ AIA จะก่อให้เกิดปัญหาหรือไม่?

2
Powershell ลบใบรับรอง PKI จากระยะไกล
ฉันเพิ่งสร้าง PKI ขึ้นใหม่และฉันต้องการลบใบรับรองที่ออกให้กับเครื่องไคลเอนต์ทั้งหมดในเครือข่ายของฉัน ดูเหมือนงาน Powershell! ดังนั้นฉันจึงเขียนสคริปต์นี้เพื่อแจกจ่ายโดย GPO วิ่งจาก SysVol และเรียกใช้บนเครื่องไคลเอ็นต์เมื่อเริ่มต้น: set-location cert:\LocalMachine\My $certname = $env:COMPUTERNAME + ".domain.com" get-item * | %{ if($_.issuer -like "CN=IssuingCA*" -and $_.DnsNameList.unicode -like $certname) { remove-item .\$_.Thumbprint -Force } } จากพรอมต์คำสั่งที่ยกระดับ: เมื่อ Ran สคริปต์จะไม่ส่งออก (เพียงแค่เทอร์มินัลบรรทัดใหม่) มันจะส่งกลับไม่มีข้อผิดพลาดและใบรับรองจะไม่ถูกลบ เมื่ออาร์กิวเมนต์-WhatIfถูกเพิ่มเข้ากับRemove-Itemคำสั่งในสคริปต์อีกครั้งจะไม่มีข้อผิดพลาดและใบรับรองจะไม่ถูกลบ เมื่อ Remove-Item. \ CERTIFICATE-THUMBPRINT -Force ถูกรันอยู่ใบรับรองจะถูกลบ นี่เป็นปัญหาสิทธิ์หรือไม่ มีวิธีที่ชาญฉลาด / …

2
ติดตั้งใบรับรองหลักใน CentOS 6
ฉันรู้ว่ามันถูกถามไปแล้ว แต่แม้จะมีการวิจัยหลายชั่วโมงฉันก็หาวิธีแก้ปัญหาไม่ได้ ฉันกำลังพยายามติดตั้งใบรับรองหลักของฉันในเซิร์ฟเวอร์ของฉันเพื่อให้บริการภายในสามารถผูกกันเองโดยใช้ SSL สิ่งที่ควรรู้เกี่ยวกับรูท CA ใหม่: Apache httpd และ PHP ลูกค้า OpenLDAP Node.js สำหรับ Apache ฉันต้องการแอปพลิเคชัน PHP เพื่อทราบเกี่ยวกับใบรับรองรูทดังนั้นหากไซต์เชื่อมต่อกับเว็บไซต์ SSL อื่น (ลงชื่อโดย CA เดียวกัน) มันใช้งานได้ดีและไม่บ่นเกี่ยวกับใบรับรองที่ลงชื่อด้วยตนเอง สำหรับ OpenLDAP ฉันเชื่อว่ามันเหมือนกับ PHP โมดูลที่ใช้ค่อนข้างเก่าคือ Net_LDAP2 ติดตั้งกับ PEAR ฉันพยายามแก้ไขการกำหนดค่า openldap ในเครื่อง แต่ดูเหมือนว่าระบบไม่ได้ใช้งาน Last Node.js ซึ่งฉันใช้สำหรับ parsoid เซิร์ฟเวอร์ node.js ต้องเชื่อถือ CA เพื่อทำการเชื่อมต่อ SSL ที่ดี ฉันพยายามเพิ่มใบรับรองใน /etc/pki/tls/certs/ca-bundle.crt …

1
ใบรับรอง SSL: ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น [ปิด]
คำถามนี้ไม่น่าจะช่วยผู้เข้าชมในอนาคต มันเกี่ยวข้องเฉพาะกับพื้นที่ทางภูมิศาสตร์ขนาดเล็กช่วงเวลาที่เฉพาะเจาะจงหรือสถานการณ์ที่แคบเป็นพิเศษซึ่งโดยทั่วไปไม่สามารถใช้ได้กับผู้ชมทั่วโลกของอินเทอร์เน็ต สำหรับความช่วยเหลือในการทำคำถามนี้มากขึ้นบังคับในวงกว้างไปที่ศูนย์ช่วยเหลือ ปิดให้บริการใน7 ปีที่ผ่านมา ฉันกำลังใช้ Debian (Lenny) เมื่อฉันเรียกใช้สิ่งนี้: curl --ssl https://www.google.com ฉันได้รับข้อผิดพลาดนี้: curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle …
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.