คำถามติดแท็ก certificate

ฉันมี Ubuntu Server ที่ทำงานบนอินสแตนซ์ EC2 ในการเข้าสู่เซิร์ฟเวอร์นั้นฉันจะใช้ไฟล์ใบรับรองโดยไม่มีรหัสผ่านใด ๆ ฉันได้ติดตั้งและกำหนดค่า vsftpd และสร้างผู้ใช้ (ลองเรียกเขาว่า "testuser") ซึ่งฉันได้ตั้งเทอร์มินัล / bin / false ssh เพื่อให้สามารถเชื่อมต่อผ่าน sftp และอัพโหลด / เข้าถึงไฟล์ในบ้านของเขา ไดเรกทอรี อย่างไรก็ตาม - เมื่อฉันพยายามเชื่อมต่อกับเซิร์ฟเวอร์จากคอมพิวเตอร์ของฉันทำงานอยู่ sftp testuser@my-ec2-server ฉันเข้าใจ ปฏิเสธการอนุญาต (publickey) ปิดการเชื่อมต่อ ข้อความดังนั้นฉันไม่สามารถเข้าสู่ระบบได้ ฉันจะลบข้อกำหนดใบรับรองสำหรับผู้ใช้นี้เท่านั้น (หมายถึงผู้ใช้ "อูบุนตู" จะยังคงต้องใช้ไฟล์ใบรับรองเพื่อเข้าสู่ระบบผ่าน ssh) ดังนั้นลูกค้า sftp ปกติจะสามารถเชื่อมต่อโดยใช้ชื่อผู้ใช้และรหัสผ่านได้อย่างไร ขอขอบคุณ. PS ใช้ Ubuntu Server 10.10 AMI อย่างเป็นทางการจาก …

14 ubuntu  certificate  cloud-computing  sftp 

เครื่องจักรสามเครื่องในสภาพแวดล้อมการผลิตมีปัญหาฮาร์ดแวร์บางอย่างและถูกเลิกใช้งาน ทีมโครงสร้างพื้นฐานได้ทำการติดตั้งใหม่และให้ชื่อโฮสต์และที่อยู่ IP เดียวกันกับพวกเขา จุดประสงค์คือเรียกใช้ Puppet บนระบบเหล่านี้เพื่อให้สามารถรับหน้าที่เหล่านี้ได้อีกครั้ง พยายาม 1) ใบรับรอง Puppet เก่าถูกลบออกจาก Puppetmaster โดยการใช้คำสั่งต่อไปนี้: puppet cert revoke grb16.company.com puppet cert clean grb16.company.com 2) เมื่อลบใบรับรองเก่าแล้วคำขอสร้างใบรับรองใหม่จะถูกสร้างขึ้นโดยการออกคำสั่งต่อไปนี้จากหนึ่งในโหนดที่ติดตั้งใหม่: [root@grb16 ~]# puppet agent -t Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml Info: Creating a new SSL certificate request for grb16.company.com Info: Certificate Request fingerprint (SHA256): 6F:2D:1D:71:67:18:99:86:2C:22:A1:14:80:55:34:35:FD:20:88:1F:36:ED:A7:7B:2A:12:09:4D:F8:EC:BF:6D …

14 ssl  puppet  certificate  puppetmaster  puppet-agent 

สำหรับใบรับรอง SSL บนโดเมน example.com การทดสอบบางอย่างบอกฉันว่าห่วงโซ่ไม่สมบูรณ์และเนื่องจาก Firefox เก็บใบรับรองของตัวเองไว้จึงอาจล้มเหลวบน Mozilla ( 1 , 2 , 3 ) คนอื่นบอกฉันว่ามันใช้ได้ดีเช่นเดียวกับ Firefox 36 ซึ่งบอกฉันว่าเชนใบรับรองนั้นใช้ได้ UPDATE: ฉันทดสอบบน Opera, Safari, Chrome และ IE ทั้ง Windows XP และ MacOS X Snow Leopard พวกเขาทำงานได้ดี มันล้มเหลวบน Firefox <36 บนทั้งสองระบบปฏิบัติการเท่านั้น ฉันไม่สามารถเข้าถึงทดสอบบน Linux ได้ แต่สำหรับเว็บไซต์นี้มีผู้เข้าชมน้อยกว่า 1% และส่วนใหญ่อาจเป็นบ็อต ดังนั้นนี่เป็นการตอบคำถามเดิม "การตั้งค่านี้ทำให้เกิดคำเตือนใน Mozilla Firefox หรือไม่" …

13 ssl  ssl-certificate  https  certificate  certificate-authority 

ฉันสงสัยว่าวิธีการด้วยตนเอง (ใช้ openssl แทนคำสั่ง puppet ca) สร้าง CA ที่ Puppet ใช้งานได้หรือไม่ เป้าหมายคือการสร้างสคริปต์ของ CA ดังกล่าวเพื่อปรับใช้กับ puppetmasters หลาย ๆ ตัวแทนที่จะเป็นใบรับรองที่สร้างขึ้นโดยใช้คำสั่ง puppet cert ความคิดใด ๆ เกี่ยวกับวิธีที่จะทำ? ฉันสามารถค้นพบบางสิ่งเช่นนั้นเท่านั้น: https://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmasterแต่มันล้มเหลวในการทำงาน - หลังจากสร้าง CA และใบรับรองลูกค้าและใช้กับ puppetmaster Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the …

13 ssl  puppet  certificate  openssl 

ฉันจะ จำกัด การเข้าถึง (RDP) ให้กับ Windows Server ไม่เพียง แต่ด้วยชื่อผู้ใช้ / รหัสผ่าน แต่ด้วยใบรับรองไคลเอ็นต์? ลองนึกภาพการสร้างใบรับรองและคัดลอกสิ่งนี้ไปยังคอมพิวเตอร์ทุกเครื่องที่ฉันต้องการเข้าถึงเซิร์ฟเวอร์จาก สิ่งนี้จะไม่ถูก จำกัด ตามกฎ IP แต่จะเพิ่มความยืดหยุ่นบางอย่างในขณะที่คอมพิวเตอร์ / แล็ปท็อปทุกเครื่องไม่อยู่ในโดเมนที่แน่นอนหรือแก้ไขช่วง IP

13 security  authentication  rdp  certificate 

หนึ่งในใบรับรอง SSL ของฉัน (การตรวจสอบโดเมนอย่างง่ายเท่านั้น) กำลังจะหมดอายุบนเซิร์ฟเวอร์ windows 2003 IIS 7.0 ฉันได้รับข้อเสนอที่ดีกว่าจากผู้ขายรายอื่นและผู้ที่ออกใบรับรองของฉันไม่ต้องการเจรจาราคาที่ต่ำกว่า อย่างไรก็ตาม - ตัวช่วยสร้างใบรับรองใน IIS จะมีตัวเลือก "ต่ออายุ" หรือ "ถอนการติดตั้ง" แล้วติดตั้งใบรับรองใหม่ ดังนั้น - ฉันสามารถใช้ตัวเลือก "ต่ออายุ" เพื่อสร้างคำขอใบรับรองและส่งต่อให้ผู้ขายรายใหม่หรือฉันต้องเริ่มต้นด้วยคำขอ "ใหม่" ผู้ขายรายใหม่จะสำคัญหรือไม่ที่ผู้ลงนามคนอื่นออกใบรับรองก่อนหน้านี้ ปัญหาคือว่าฉันไม่ต้องการหยุดเซิร์ฟเวอร์ (ส่วนที่ปลอดภัยอย่างน้อย) เนื่องจากการลบใบรับรองเก่าและสร้าง CSR ใหม่และรอให้ใบรับรองใหม่ติดตั้ง หรือมีตัวเลือกในการเตรียม CSR ใหม่โดยไม่ลบใบรับรองเก่าหรือไม่

13 iis  ssl  certificate  renew 

คุณสามารถสร้างใบรับรอง SSL โดยใช้ * .domain.com เป็นชื่อ แต่น่าเสียดายที่นี่ไม่ครอบคลุมhttps://domain.com มีการแก้ไขใด ๆ สำหรับเรื่องนี้?

13 ssl  certificate  openssl  wildcard 

ทุกคนพูดถึงตัวควบคุมโดเมนและพวกเขาควรมีใบรับรองติดตั้ง แต่ในตอนท้ายของวันจะเป็นตัวเลือก เมื่อติดตั้งแล้วใช้ใบรับรองนั้นจริง ๆ ความเข้าใจของฉันคืออย่างน้อยก็จำเป็นสำหรับ: การรับรองสมาร์ทการ์ด LDAPS อย่างไรก็ตามฉันกำลังค้นหาเพื่อทราบว่ามีการกระทำดั้งเดิมเฉพาะโดย DC หรือ Active Directory ที่ตัวควบคุมโดเมนใช้ประโยชน์จากใบรับรองหรือไม่ ฉันตระหนักถึงผลกระทบด้านความปลอดภัย / แนวปฏิบัติที่ดีที่นี่ :) ฉันแค่สนใจกลไกในการเล่น

13 active-directory  domain-controller  certificate  ad-certificate-services 

ฉันมีปัญหาในการสร้าง keypair ด้วยชื่อสำรองของหัวเรื่องโดยใช้keytoolยูทิลิตี้ Java จาก Java 1.7 ฉันพยายามที่จะทำตามคำแนะนำพบได้ที่นี่ ตัวอย่างคำสั่งที่ฉันใช้ดังนี้ (ตัวอย่างนี้ผ่านการทดสอบแล้ว): keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1 ฉันสร้าง CSR โดยใช้คำสั่งต่อไปนี้: keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr ซึ่งสร้างคำขอใบรับรองต่อไปนี้: -----BEGIN …

13 ssl  keytool  certificate 

ฉันต้องการเก็บรหัส SSL ของเราไว้เป็นความลับ มันถูกเก็บไว้ในแท่ง USB 2 อันหนึ่งอันในกล่องนิรภัยและอีกอันหนึ่งที่ฉันปลอดภัย จากนั้นฉันเป็นคนเดียวที่ใช้มันกับเว็บเซิร์ฟเวอร์เพื่อให้มีความปลอดภัยโดยสิ้นเชิง ยกเว้น... อย่างน้อยใน IIS คุณสามารถส่งออกคีย์ได้ ดังนั้นใครก็ตามที่เป็นผู้ดูแลระบบสามารถรับสำเนาของคีย์ได้ มีวิธีใดบ้างไหม? ผู้ดูแลระบบทุกคนมีสิทธิ์เข้าถึงคีย์ทั้งหมดได้อย่างสมบูรณ์หรือไม่ ปรับปรุง: ฉันมีระบบดูแลระบบที่ฉันไว้วางใจอย่างเต็มที่ สิ่งที่นำไปสู่สิ่งนี้คือหนึ่งในนั้นออกจากพวกเขา (พวกเขาใช้เวลาเดินทางหนึ่งชั่วโมงถึง บริษัท ของเราใช้เวลาเดินทาง 5 นาทีไปยัง บริษัท ใหม่) ในขณะที่ฉันเชื่อถือบุคคลนี้เช่นเดียวกับที่เราปิดการใช้งานบัญชี Active Directory เมื่อมีคนออกไปฉันคิดว่าเราควรมีวิธีที่จะประกันว่าพวกเขาจะไม่สามารถใช้ SSL ของเราได้ และสิ่งที่ทำให้ฉันรู้สึกว่าง่ายที่สุดคือถ้าฉันเป็นคนเดียวที่มีมัน ใบรับรองของเราจะหมดอายุในเดือนมกราคมดังนั้นนี่เป็นเวลาที่จะเปลี่ยนแนวทางปฏิบัติหากทำได้ จากคำตอบดูเหมือนว่าเราทำไม่ได้ ดังนั้นสิ่งนี้นำไปสู่คำถามใหม่ - เมื่อคนที่เข้าถึงใบรับรองออกมาเป็นมาตรฐานในการรับใบรับรองใหม่และเพิกถอนใบรับรองเดิม หรือถ้าคนที่เหลือเชื่อถือได้เราจะทำต่อไปกับใบรับรองที่เรามีหรือไม่?

12 ssl  certificate  iis 

บริษัท ของฉันมีหน่วยงานออกใบรับรองภายในองค์กรที่ขณะนี้ลงชื่อด้วยตนเอง เนื่องจากเราต้องการเริ่มใช้มันสำหรับ SSL ภายนอกและอีเมลที่ปลอดภัยให้กับลูกค้าของเราเราจึงต้องได้รับความเชื่อถือ ใครบ้างที่มีสนามเบสบอลว่ามีค่าใช้จ่ายอะไรบ้างในการได้รับใบรับรองหลักที่เชื่อถือได้สำหรับ PKI ภายในองค์กร ตัวเลข 4 ตัว? 5 ตัวเลข? 6 ตัวเลข? เราจ้างงานระหว่าง 2,000-3,000

12 email  ssl  ssl-certificate  certificate  certificate-authority 

ฉันกำลังพยายามติดตั้งเครื่องมือในการพัฒนาสำหรับทีมเล็ก ๆ และฉันไม่สามารถตรวจสอบสิทธิ์ได้ เนื่องจากเราเป็นทีมกระจายเซิร์ฟเวอร์อยู่บนอินเทอร์เน็ต และฉันต้องการให้มีการกำหนดค่าไคลเอ็นต์ SSO + ศูนย์ ดังนั้นโดยทั่วไปแล้วคอมไพล์บน https + webdav นั้นใช้ไม่ได้เนื่องจากไคลเอนต์ git สามารถใช้การตรวจสอบขั้นพื้นฐานเท่านั้น แต่ไม่ได้บันทึกรหัสผ่านและปลั๊กอิน IDE บางตัวไม่ได้ส่งต่อคำถามรหัสผ่านใน UI ของพวกเขา ฉันต้องใช้คอมไพล์มากกว่า ssh แล้ว ฉันติดตั้ง gitosis และมันใช้งานได้กับคีย์ไม่สมมาตร ฉันจะต้องขอให้แต่ละ dev ติดตั้งกุญแจของพวกเขาฉันสามารถทำได้ลืมการตั้งค่าเป็นศูนย์ จากนั้นฉันต้องการให้นักพัฒนาเข้าถึงเครื่องมือเว็บ (wiki, tickets, ฯลฯ ) ที่อยู่บน https แต่คราวนี้ฉันต้องให้พวกเขาทั้งการเข้าสู่ระบบ / รหัสผ่านหรือกุญแจส่วนตัวอื่นเพียงเพราะรูปแบบไม่เข้ากันระหว่าง SSH และ SSL และสถานที่จัดเก็บไว้บนระบบปฏิบัติการไม่เหมือนกัน ตอนนี้ฉันต้องลืม SSO หรือไม่ ฉันเข้าใจผิด

12 ssh  ssl  certificate 

ฉันสร้างผู้ออกใบรับรองที่กำหนดเองสำหรับเครือข่ายภายใน example.com เป็นการดีที่ฉันต้องการที่จะสามารถปรับใช้ใบรับรอง CA ที่เกี่ยวข้องกับการออกใบรับรองนี้ไปยังไคลเอนต์ Linux ของฉัน (ใช้ Ubuntu 9.04 และ CentOS 5.3) ดังนั้นแอปพลิเคชันทั้งหมดจะจดจำผู้ออกใบรับรองโดยอัตโนมัติ (เช่นฉันไม่ต้องการ เพื่อกำหนดค่า Firefox, Thunderbird และอื่น ๆ ด้วยตนเองเพื่อเชื่อถือผู้ให้บริการออกใบรับรองนี้) ฉันได้ลองทำสิ่งนี้บน Ubuntu โดยการคัดลอกใบรับรอง CA ที่เข้ารหัส PEM ไปยัง / etc / ssl / certs / และ / usr / share / ca-certificate / รวมถึงโดยการแก้ไข /etc/ca-certificates.conf และอัพเดทใหม่อีกครั้ง ca-certificate อย่างไรก็ตามดูเหมือนว่าแอปพลิเคชั่นจะไม่รับรู้ว่าฉันได้เพิ่ม CA ที่ไว้วางใจได้อื่นในระบบ …

12 ssl  certificate 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ปิดให้บริการใน5 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ เราต้องการใบรับรอง SSL เพื่ออำนวยความสะดวกในการเข้าถึงและจัดการจากระยะไกลโดยพนักงานจำนวนน้อย ฉันไม่ต้องการฝึกอบรมผู้ใช้ที่ไม่ใช่ด้านเทคนิคเพื่อติดตั้งใบรับรองที่เผยแพร่ด้วยตนเองบนคอมพิวเตอร์ที่บ้านของพวกเขาดังนั้นฉันต้องการซื้อใบรับรองจากผู้ให้บริการที่น่าเชื่อถือ เราจะไม่ใช้มันกับอีคอมเมิร์ซหรืออะไรทำนองนั้นดังนั้นจึงเป็นเรื่องยากที่จะพิสูจน์ว่าการจ่ายเงินตามราคาที่ผู้ให้บริการชื่อดังบางรายเรียกร้อง ใครคือผู้ให้บริการต้นทุนต่ำที่ดีในการพิจารณา อะไรคือความแตกต่างที่สำคัญระหว่างข้อเสนอที่มีอยู่ในราคาที่แตกต่างกัน? (และธุรกิจใบรับรองเป็นเรื่องของแร็กเกตมากเท่าที่ควรหรือไม่)

12 ssl  certificate 

ฉันต้องการกำหนดค่า OpenSSL เช่นนั้นเมื่อทำงานopenssl req -newเพื่อสร้างคำขอลงนามใบรับรองใหม่ฉันได้รับแจ้งให้ระบุชื่อเรื่องอื่นที่จะรวมไว้ใน CSR ฉันได้เพิ่มบรรทัดนี้ใน[req_attributes]ส่วนของฉันopenssl.cnf: subjectAltName = Alternative subject names นี่เป็นเอฟเฟกต์ที่ต้องการซึ่งตอนนี้ฉันได้รับพร้อมท์สำหรับ SAN เมื่อสร้าง CSR: $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what …

11 ssl  ssl-certificate  openssl  certificate