问题标签 [ca]

我想在一台服务器上使用多个 SSL 证书。在过去，只有当您有更多 IP 指向它时才有可能。现在我读到了 SNI，它可以实现这一点，尽管它只支持客户端的实际浏览器。我总是阅读 SNI 的先决条件，您至少需要 Apache 版本 2.2.12 和 OpenSSL 0.9.8f。

那么我可以通过这种技术使用来自 Thawte、Verisign 或其他证书颁发机构的证书吗？这些证书不是 OpenSSL，是吗？

我正在尝试在我的公司内建立一个内部 CA。这样做的主要目的之一是向我们的客户颁发证书，他们将使用这些证书在我们的客户端和服务器应用程序（均基于 Windows 操作系统）之间建立 TLS 连接。我目前在以下限制条件下工作：

• 服务器证书将颁发给我们的每个服务器客户，并应安装在客户的服务器上，以便我们的服务器应用程序可以使用它来建立 TLS 会话。
• 我们的 CA 的受信任根证书将与我们的客户端应用程序一起打包，并且应该与应用程序一起静默安装，以便客户端应用程序可以使用它来验证服务器证书。（假定安装程序在客户端计算机上具有管理访问权限。）
• 受信任的根证书应可供客户端计算机上的客户端应用程序的任何用户使用，并且不应要求用户提供密码才能访问。
• 我犹豫是否将受信任的根证书放在本地计算机证书存储的“受信任的根证书颁发机构”部分，因为它可以在更大的范围内使用，而不是简单地验证我们的应用程序（例如，为 IE 验证网页。 ) 如果我们的根证书被泄露，我宁愿限制对我们自己的应用程序的损害。

我应该在哪里以及如何在服务器和客户端机器上安装服务器证书和受信任的根证书（同样，两者都使用 Windows 操作系统）以满足这些限制？

在阅读了其他一些 stackoverflow 帖子并在谷歌上搜索了几天之后，我找不到解决问题的方法。我按照此处的说明在我的 Windows 域上设置了根 CA：http: //confluence.atlassian.com/display/CROWD/Configuring+an+SSL+Certificate+for+Microsoft+Active+Directory

然后我按照说明导出服务器证书。然后我使用它们在那里显示的命令将它导入到我的 Windows 框中。然后我尝试运行我的应用程序，我得到：

我意识到这意味着我的 CA 设置有问题。在没有我的 JDNI 代码设置为使用 SSL 的情况下，它可以正常工作。如果我使用代码注释掉我的 SSL，它就可以正常工作。

我不知道如何着手寻找问题。将不胜感激任何帮助...谢谢！

我正在尝试连接到安全的网络服务。

即使我的密钥库和信任库已正确设置，我也遇到了握手失败。

经过几天的挫折，无休止的谷歌搜索和询问周围的每个人，我发现唯一的问题是java选择在握手期间不将客户端证书发送到服务器。

具体来说：

1. 服务器请求客户端证书 (CN=RootCA) - 即“给我一个由根 CA 签名的证书”
2. Java查看了密钥库，只找到了由“SubCA”签名的我的客户端证书，而该证书又由“RootCA”颁发。它没有费心去查看信任库……嗯，好吧，我猜
3. 可悲的是，当我尝试将“SubCA”证书添加到密钥库时，这根本没有帮助。我确实检查了证书是否已加载到密钥库中。他们会这样做，但 KeyManager 会忽略除客户端之外的所有证书。
4. 以上所有导致java认为它没有任何满足服务器请求的证书并且什么都不发送的事实......tadaaa握手失败:-(

我的问题：

1. 是否有可能我以“破坏证书链”或其他方式将“SubCA”证书添加到密钥库，以便 KeyManager 仅加载客户端证书并忽略其余证书？（Chrome 和 openssl 设法弄清楚了，为什么 java 不能？ - 请注意，“SubCA”证书始终作为受信任的权威单独提供，因此 Chrome 在握手期间显然正确地将其与客户端证书一起打包）
2. 这是服务器端的正式“配置问题”吗？服务器是第三方。我希望服务器请求由“SubCA”机构签署的证书，因为这是他们为我们提供的。我怀疑这在 Chrome 和 openssl 中有效的事实是因为它们“限制较少”，而 java 只是“按书本”而失败。

我确实设法为此制定了一个肮脏的解决方法，但我对此并不满意，所以如果有人能为我澄清这个问题，我会很高兴。

我需要创建两个自签名证书颁发机构（属于不同的人），然后对它们进行交叉签名，因此发出的证书将受到两者的信任。

然而，令人惊讶的是，我找不到任何关于如何使用 OpenSSL 的文档。

互联网上有几个（已经死了）解释交叉签名的脚本，但我也无法挖掘它们。

那么，这里有 OpenSSL CA 经验的人吗？:)

我正在尝试在 Windows Server 2008 上的 IIS 7 中创建自签名证书，但我收到错误消息“参数不正确”。我找不到有关此错误的任何其他信息，有人知道问题是什么，或者我可以在哪里查找有关问题所在的更多信息？

I'm using a script by Tom Nolan to query our CA for expiring certificates. However, I tried to no avail to filter the output for non-autoenrolling certificates, as these are the only ones of interest. That's the line in question:

I tried narrowing down the -restrict parameter like this:

but had no success.

Does anyone know how to achieve this?

Thanks for your help!

在密钥库中创建私钥和自签名证书

keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com -keyalg RSA -sigalg SHA1withRSA

创建证书请求并发送到内部 CA

keytool -certreq -alias mydomain -keystore mydomain.ks -file mydomain_project.csr

一旦内部（公司）CA 颁发证书 - 看起来像这样

eg -----BEGIN CERTIFICATE----- MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39+l5aCEGGbauLP5W6 -----END CERTIFICATE-----

将此复制到 .pem 文件

使用 CA 签名证书更新（身份）密钥库中的自签名证书并创建新的 Java 密钥库（信任）CA 签名证书（使用 .pem 文件）

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore mydomain.ks

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore trust.jks

在 Weblogic 上，我按如下方式导入了密钥库并启用了 SSL。

身份 - mydomain.ks（带有私钥 + CA 证书）

信任 - trust.jks（具有 CA 证书）

问题：一旦我点击了部署在 weblogic 上的内部站点。我收到一条消息 - 不是受信任的证书。然后我从浏览器下载证书，然后 https 工作。但证书显示它是由我提供的域名签名的，而不是我的内部 CA 名称。

问题：我希望它能够工作（实际上无需再次下载），因为我已经拥有内部 CA 证书，并且其他内部应用程序可以在 https 上运行。我做错什么了吗？

我正在尝试在自定义应用程序中从 CA 服务台获取数据。要获取数据：

使用 SDProxy.doSelect() 方法。

我想像在 SQL 中那样对服务台本身的数据进行排序。但我找不到任何解决方案。

注意：我发现sortBy关键字不适用于服务台中的 whereclause。

在服务器端，我有自签名 CA（证书和私钥）。我使用它们来颁发我的设备证书，并且我想确保如果远程证书未由 CA 签名，则会出现异常。

我指的是下面的链接，但似乎它们对我不起作用，请帮助：

C# 如何验证 Root-CA-Cert 证书 (x509) 链？

使用 CA 证书文件验证远程服务器 X509Certificate