问题标签 [ca]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ssl - 在技术上是否可以颁发完全通配符 SSL 证书?
我想要一个 SSL 证书*。也就是说,对于任何领域。想法是使用自定义 CA 证书对其进行签名,将该 CA 证书安装在目标设备上,并使用该设备连接到基于 ip 的地址(例如https://192.168.1.123)。没有可用的 DNS,并且地址可能每次都不同。目标设备上的浏览器应该在没有警告的情况下工作,但前提是提供的通配符证书由已知 CA(这是我们的自定义 CA,其证书安装在设备上)签名,以防止任何可能的 MITM 攻击。
浏览器会理解这样的通配符证书吗?是否有任何其他解决方法可以允许使用浏览器连接到任意基于 IP 的 SSL 服务器而不会发出警告并同时具有 MITM 保护(假设可以自定义 CA 的客户端列表)?
java - 来自 CA 公司的根证书,可被 SoftHSM 加密
3个问题:
1.有没有人知道CA公司允许我把购买的CA证书放入SoftHSM(和HSM一样,但是没有任何硬件,这是纯软件)?
2.PKCS11接口难用吗?我有一个将签署文件的 Java 应用程序。但是我需要通过PKCS11接口进行通信。有人有过这方面的经验吗?有这方面的教程吗?
3.如果我购买了受信任的证书,他们为什么不以 .crt 格式交付它?我有试用证书,但我的浏览器只是导入它。看不到在哪里下载此证书,因此我可以将其存储在我的 hsm 中。
请帮助我理清思路。
android - CA 颁发的仅信任特定证书 - Android
我正在开发一个 Android 应用程序,该应用程序仅在服务器具有由 CA 颁发的特定证书(例如:GoDaddy)时才需要进行 SSL 握手。我参考了Android 开发者网站上的文档,但它只说明了验证自签名证书或不受 Android 信任的证书。在我的情况下,我应该获取客户端证书并将其添加到我的密钥库中。我正在使用 apache HttpClient 作为我的网络服务请求。任何帮助深表感谢。
ssl - SSL 客户端验证失败
我有一个仅使用 SSL 作为默认公共接口的后端服务器。此服务器在 443 上侦听 cert、key 和 ca 文件,ssl verify client 设置为 true。
在客户端,我有客户端证书、密钥和一个 ca 文件,该文件由 2 个 CA 文件(中间 CA、根 CA)组合在一个 ca.pem 文件中。当我在后端服务器上执行 curl 请求时,它工作正常。我还使用 gnutls-serv 和 openssl s_server 测试了服务器/客户端证书和密钥,以确保一切都有效。
但是当我在 Apigee(客户端证书和密钥文件 [pem 格式])和 trustore(ca.pem 文件)上创建密钥库时,出现错误:- target.name fsbca-test
- Properties - Expression ("fsbca-test " 等于 target.name)
- ExpressionResult true
- Tree TARGET_fsbca-test
- 错误服务暂时不可用 - error.cause 一般 SSLEngine 问题 - error.cause.cause 一般 SSLEngine 问题 - error.class com.apigee.messaging.adaptors.http .HttpAdaptorException - 状态 TARGET_REQ_FLOW - 类型 ErrorPoint
如果我在后端将 SSL 验证客户端设置为 false,则 Apigee 会正确转移请求并且我会收到响应。
如果我在目标端点属性中将 IgnoreValidationErrors 设置为 true,则请求将被转移到我的后端服务器,但我可以在服务器的日志中看到一个错误:“客户端在读取 c 时没有发送所需的 SSL 证书......”。
关于我正在做的事情可能有什么问题的任何想法?
附加轨道:这可能是 Apigee 方面的问题,CA 文件由 2 个证书组成(它可能会忽略 .pem 中的尾随证书)。如果想测试 pkcs12 和 jks 但我未能将它们上传到 Apigee(API 文档页面仅描述 .pem、JAR 和 cert 操作)。我用 pkcs12 密钥库和 jks trustore 编写了一个小型 Java 客户端,它在我的本地工作站上运行良好。
提前感谢您提供任何可以帮助我的信息。
问候
神父
certificate - 增量 CRL 过期时的 PKI 客户端行为
我有一个内部 Windows Server 2012 企业根 CA 和几个 CDP。我试图确保在 Windows Server 2012 上运行的 .NET 客户端应用程序在构建证书链时不会失败,因为它用作该过程的一部分的 CRL 和 Delta CRL 文件已过期。
到目前为止,似乎一个可能的解决方案是发布重叠的 CRL,以延长阻止基本 CRL 发布的失败可能会根据它们杀死应用程序的时间(仍在寻找关于如何准确的详细/非理论解释完成了,如果你有例子,请告诉我)
另一种可能的解决方案(或什至与重叠 CA 相结合)是具有较长的 CRL 发布间隔(例如 2 周)和较短的 Delta CRL 间隔(例如 1 小时)。这里的问题是 - 在这样的场景中会发生什么:
- 客户端缓存了 Base 和 Delta CRL
- 由于某种原因,Delta CRL 无法发布给 CDP,比如说 6 小时 - 超过 Delta CRL 的有效期,但(在大多数情况下)在基本 CRL 过期之前
大约一个小时后(假设 Delta CRL 每小时发布一次),最后一次成功发布的 Delta CRL 将过期,因此(一段时间内)唯一有效的将是 Base CRL。客户端是否会在缓存了 Base CRL 后继续处理?还是会失败?我找到的最接近的解释来自这篇旧文章:“如果存在有效的基本 CRL 并且可用,但没有可用的 delta 或时间有效的 delta,则证书链接引擎会返回一个警告,即没有可用的 delta CRL ”。似乎客户应该继续处理而不是抛出异常,这是有道理的,但这是一篇非常古老的文章,我会对更新的东西感到更舒服...... :)
那么,最重要的是,上述文章仍然适用于现代系统吗?如果您有任何有关如何在 Windows Server 2012 Enterprise CA 上设置重叠 CRL 发布的详细信息,请分享... :)
谢谢!
ssl - 修改 Jelastic 下的可信 CA
我正在尝试在 Jelastic 基础架构上设置基于 CAS 的回声系统。我能够使用此处描述的示例 Web 应用程序在同一个 Tomcat 7 实例下设置服务器和客户端。我使用的 SSL 证书(CA 和服务器)是自签名的。
当请求受保护的资源时,webapp 正确地重定向到 CAS 登录页面,并且在服务器级别进行了很好的身份验证。但是,在返回流程中出现问题,浏览器显示异常,其根本原因如下:
这是因为 CAS 协议有一个额外的客户端-服务器验证对话,该对话在身份验证后立即完成,并且在此对话期间,客户端必须再次信任服务器。这一次,它不使用 Tomcat 的 SSL 设置,而是使用 JVM 的设置(见这里)
问题是,据我所知,在 Jelastic 上无法访问 JAVA_HOME/jre/lib/security 文件夹。有什么提示吗?谢谢。
更新: 我找到了解决方案。在 Jelastic 上,自 v.1.8.5 起,Tomcat 应用程序对 JAVA_HOME/jre/lib/security 文件夹具有写入权限。这个恕我直言打开了一个安全问题,但对于这个特定的情况是好的。我已经能够编写一个简单的 servlet,将我的证书添加到 JVM cacerts 文件中,并且我已经解决了这个问题。
code-signing - 在多个域上与受信任的发行者共同签署 xbap
直到最近,我一直在制作自己的证书,用于在各种服务器和域上发布 xbap(是的,我知道,陷入 LOB 的世界;))应用程序。我现在需要更改为使用来自受信任 CA 的证书。
回到我玩 java 的那一天,我的意思是回想一下 ssl 和代码签名的证书都绑定到域。
IE 如果你有域名 foo.com 并更改为 foobar.org,你需要更改证书以及包的命名空间从 com.foo.* 到 org.foobar.*
无论如何; 此规则是否也适用于 xbap 应用程序(不包括命名空间)?我是否需要每个域的证书来进行代码签名以实现完全信任?还是独立于域?
部署到 foo.com 的 xbap 应用程序是否需要另一个证书,而不是部署到 foobar.org 的证书,才能完全信任最终用户?
Brgds,斯蒂安
c# - 使用特定 CA 进行 SSL 连接
我正在阅读使用 .NET Framework 2.0 的应用程序中的支持证书,试图确定如何为 SSL 连接设置 CA。
在Validating Certificates下的文章的中途,MSDN 提供了一些代码:
然后后来:
我觉得我错过了一些非常明显的东西。例如,我不想要回调 - 我只想说,“建立 SSL 连接,这是要信任的一个 CA”。但我在上面的代码中看不到这一点。
X509Chain似乎没有add添加 CA 或信任根的方法。CA不应该在回调之前设置吗?但我在上面的代码中看不到这一点。
在 Java 中,它会在加载您要使用的特定 CA 之后使用TrustManager(或TrustManagerFactory) 来完成(例如,请参阅在文件系统上直接使用 PEM 编码的 CA 证书来处理 HTTPS 请求?)。
问题:如何设置 CA 以用于 .Net 或 C# 中的 SSL 连接?
c# - 如何在 RemoteCertificateValidationCallback 中验证链?
我有以下代码尝试根据我的私有 PKI 中的 CA 验证服务器证书。它与ServicePointManagerand一起使用RemoteCertificateValidationCallback:
问题是它chain2.ChainStatus.Length总是 0。
如果我设置X509RevocationMode为X509RevocationMode.Online,则ChainStatus.Length == 1状态设置为X509ChainStatusFlags.RevocationStatusUnknown。(这是预期的,因为在测试台中没有撤销)。
问题:0 长度ChainStatus.Length是什么意思?
问题:如果它成功了,那为什么X509ChainStatusFlags.NoError不使用呢?
ssl - tinyca 搬家了吗?私有 CA 还可以使用什么?
我一直在研究如何为 Intranet 设置私有证书颁发机构,我读到的工具之一是 tinyca。根据谷歌和维基百科的官方网站是http://www.sm-zone.net/。这个网站似乎已经完成,不仅仅是我(http://downforeveryoneorjustme.com/www.sm-zone.net)。网站最近搬家了吗?或者这个项目还有其他事情吗?
是否有其他用于创建人们推荐的私有 CA 的简单工具?
谢谢。