คำถามติดแท็ก pki

1
อะไรคือสาเหตุที่ทำให้เกิดการเตือนข้อ จำกัด พื้นฐานของใบรับรอง?
ฉันสร้างใบรับรองเซิร์ฟเวอร์ที่ลงชื่อด้วยตนเองโดยใช้req -x509คำสั่งของ OpenSSL และไฟล์ CONF ไฟล์ CONF แสดงอยู่ด้านล่าง เมื่อฉันตรวจสอบใบรับรองโดยใช้โปรแกรมดูใบรับรอง Microsoft การแสดงคำเตือนบนbasicConstraints(สังเกตเห็นเครื่องหมายอัศเจรีย์เล็ก ๆ น้อย ๆ ): ไฟล์ CONF ใช้สิ่งต่อไปนี้เพื่อสร้าง basicConstraints: basicConstraints = critical,CA:FALSE ตามRFC 5280ที่pathLenควรจะนำเสนอถ้าCA:TRUEและkeyCertSignเป็นปัจจุบัน ใบรับรองของเซิร์ฟเวอร์ไม่ตรงตามเงื่อนไขอย่างใดอย่างหนึ่ง (บวกการทดสอบที่มีpathLenผลในการเตือนเดียวกัน) ทำไมเครื่องมือใบรับรอง Microsoft คำเตือนเกี่ยวกับbasicConstraints? มีอะไรผิดปกติหรือฉันควรแก้ไขอย่างไร # Self Signed (note the addition of -x509): # openssl req -config example.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout …

1
openssl pkcs12 ยังคงเอาข้อความรหัสผ่าน PEM ออกจากรายการ keystore หรือไม่
OpenSSL 1.0.1e 11 ก.พ. 2556 การสร้างใบรับรองที่ลงนามเอง: openssl req -x509 - newkey rsa: 1024 -keyout key.pem -out cert.pem - วันที่ 365 ในระหว่างกระบวนการขอข้อความรหัสผ่าน PEM : ป้อนวลีรหัสผ่าน PEM: กำลังตรวจสอบ - ป้อนวลีรหัสผ่าน PEM: มี 2 ​​ไฟล์ที่ได้หลังจากเสร็จสิ้นการสำเร็จในรูปแบบPEM : key.pem, cert.pem ไพรเวตคีย์ ( key.pem ) อยู่ในรูปแบบPKCS # 8และบรรทัดเริ่มต้นอ่าน: ----- BEGIN กุญแจส่วนตัวเข้ารหัส ----- ตอนนี้ฉันกำลังพยายามที่จะรวมใบรับรองเช่นเดียวกับคีย์ส่วนตัวที่เกี่ยวข้องเป็นPKCS # 12 keystore …

1
การโยกย้ายผู้ให้บริการออกใบรับรอง - ไม่สามารถติดตั้งบทบาทการลงทะเบียนผ่านเว็บ
ฉันใช้สิ่งนี้เพื่อโยกย้ายผู้ออกใบรับรองmy root CAจากเซิร์ฟเวอร์โฆษณา Win2003 oldserverไปยังเซิร์ฟเวอร์สมาชิก Win2008R2 newserver(ด้วยชื่ออื่น) หลังจากทำงานนี้เสร็จฉันต้องการติดตั้งบริการลงทะเบียนบทบาทบนเว็บnewserverแต่ล้มเหลวด้วย (แปลจากภาษาเยอรมัน) ไม่สามารถติดตั้งการลงทะเบียนทางเว็บของผู้ออกใบรับรอง การตั้งค่าบริการใบรับรอง Active Directory ล้มเหลวด้วยรหัสข้อผิดพลาดต่อไปนี้: พารามิเตอร์ไม่ถูกต้อง 0x80070057 (WIN32: 87) ฉันตรวจสอบแล้วว่าoldserverไม่ปรากฏที่ใดก็ได้ภายใต้HKLM\SYSTEM\CurrentControlSet\CertServ ในตัวจัดการเซิร์ฟเวอร์ภายใต้AD Certificate Services/Enterprise PKI/my root CAรายการทั้งหมดเป็น http ด้วยnewserverหรือ ldap ด้วยmy root CAแทนชื่อเซิร์ฟเวอร์เฉพาะ ในเว็บไซต์ของ Active Directory และบริการภายใต้การServices/Public Key Services/AIA/มีมีการเข้าถึงเต็มรูปแบบในnewserver$ my root CAภายใต้การServices/Public Key Services/CDP/มีโฟลเดอร์oldserverและnewserverและแต่ละคนมีmy root CAและและmy root CA(1) my root CA(3)สำหรับสิ่งเหล่านี้newserver$มีสิทธิ์เข้าถึงแบบเต็ม ทั้งหมดนี้ทำให้ฉันดูเหมือนว่าฉันได้ทำทุกอย่างถูกต้อง …

2
มีแนวคิดของการเชื่อถือใบรับรอง SSL / TLS เพื่อระบุเว็บไซต์เดียว แต่จะไม่ทำหน้าที่เป็น CA สำหรับใบรับรองอื่นหรือไม่
ฉันพบตัวเองเป็นประจำเกี่ยวกับใบรับรองที่ไม่ดีภายในอินทราเน็ตของฉัน (หรือบนเซิร์ฟเวอร์ชั่วคราวโดยไม่มีใบรับรองที่ลงชื่ออย่างเหมาะสม) ฉันไม่ได้ใช้วิธีการที่ช่วยให้ฉันบันทึกใบรับรองของเว็บไซต์เดียว (รวมถึง CN) ในเบราว์เซอร์โดยไม่ต้องเชื่อถือในฐานะผู้มีอำนาจรับรองสำหรับเว็บไซต์อื่น ๆ นี่เป็นแนวคิดที่เป็นไปได้หรือเป็นสิ่งที่อยู่นอกการออกแบบระบบ PKI หรือไม่? แก้ไขเพื่อความกระจ่าง : สมมติว่าฉันกำลังทำงานกับเซิร์ฟเวอร์ภายในบางตัว, megaserver. ฉันเข้าถึงผ่านhttps: // megaserverในเบราว์เซอร์ มันมีใบรับรองลงนามด้วยตนเอง เพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์นี้ได้อย่างปลอดภัยในขณะนี้ฉันเพิ่มใบรับรองลงในร้านค้า CA ของฉันในเบราว์เซอร์ของฉัน บางคนขโมยใบรับรองนั้นสร้างใบรับรองใหม่สำหรับhttps://www.google.comลงชื่อด้วยmegaserverใบรับรองและโจมตีฉันแบบคนกลาง เบราว์เซอร์ของฉันยอมรับใบรับรอง Google เนื่องจากมีการลงนามโดยใบรับรอง CA ที่เชื่อถือได้ในระบบของฉัน สถานการณ์สมมตินี้เป็นไปได้หรือไม่?
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.