问题标签 [ca]

如何设置由我的 CA 签署的具有相同策略的新证书的 keyUsage？

我尝试通过运行以下命令来生成证书：

是否应该包含命令参数来设置证书的 keyUsage？

Over the last couple of days, I have been trying to update the keystore on my Samsung Galaxy Tab running Android 2.2. My company recently updated their Citrix server apps (XenApp to be more specific) and also changed their security certificate from CA to Comodo.

I've tried everything from manually loading the certificate to using Java and BouncyCastle to put the certificate into the cacerts.bks file from my tablet to using Portecle to try and create a new bks file. None of those options have worked so far.

The one thing I have not tried and am willing to try if necessary is pulling the cacerts.bks file from my phone which is running Android 4.1.1 but didn't want to run the risk of it not working. (Not sure if it is still cacerts.bks on 4.1.1)

Any help would be greatly appreciated. If all I've needed to do is move the cacerts.bks file from my phone to my tablet I'm probably just going to bash my head against the desk for the next couple of days.

Thank you all!

Joe

这是问题：

使用 CA 证书保护 SAML 断言有什么好处吗？我了解在建立传输 SAML 断言的 SSL 连接时使用 CA 证书有什么好处，但是当 SP 接受 SAML 断言本身时发生的 PKI 握手的 CA 证书呢？我一方面争辩说，在 SAML 交换中，SP 无法通过信任链迭代到根 CA 证书，而另一方面，我有人说它可以。

如果您可以将我指向支持您的答案的权威来源，则可以加分。

是否有任何工具可以将 Autosys（又名：CA Workload Automation）组件显示为显示作业/框之间依赖关系的图表？我听说过依赖关系图，但它似乎没有显示作业的执行状态。是否有任何其他工具、CA 或第三方？

谢谢安德鲁

我目前正在使用 EJBCA 进行测试，但在访问管理页面时遇到问题。

EJBCA-4.0.13 在 CentOS 6.2 上运行，带有 apache-ant-1.8.4、jboss-5.1.0-GA、mysql 和 mysql-connector-java。安装正常，jboss 服务器日志中没有出现错误，我可以访问 EJBCA 公共网页，网址为：https://:8443/ejbca。虽然我无法使用以下信息访问管理页面（https://:8443/ejbca/adminweb）：

授权被拒绝原因：您的证书已被吊销或无法在数据库中找到。

任何想法将不胜感激！

是什么阻止了一个人将签名的 SSL 证书发送到他/她不拥有的域？

即进行哪些检查以确保人们不能简单地为 google.com 购买新证书并继续做坏事......

当然，向 CA 提供（一笔可笑的）钱的全部目的是让人们毫无疑问地相信他们连接的服务器是正确的。不？

谢谢。

我在 HTTPS(443) 上的 Windows 7(IIS7) 开发人员机器上托管了一个 ASP.NET Web API 项目，并且 SSL Required 勾选了 Require Option true。

为了测试，我给出了它的主机头值：www.certtest.com，我在本地机器的主机文件中添加了相同的值。

我们还有一台 W2k3 机器，我们在其中配置了 CA 并从中获取测试证书。

我们在 IIS7.0 中导入相同的证书用于客户端身份验证。

当我们尝试访问站点时，它第一次要求我提供证书，然后在我的本地商店中使用根证书安装该证书，但我立即看到 403.7 Forbidden 错误。

另外，我尝试使用自签名证书。同样的问题。

我们是否需要通过 Thwate 类型 CA 进行客户端身份验证的有效试用证书才能完成此操作？

我在 ruby​​ 中遇到问题，OpenSSL 无法验证 SSL 证书。我认为这是由于脚本不知道 ca-bundle.pem 引起的。是否可以手动配置 ca-bundle.pem 的路径？

我找到了以下方案，通过使用自定义根 CA 来保护企业软件的各个部分。这是做这种事情的正确方法吗？这种方式有问题吗？

方案：

1. 我有我的自定义根 CA。有一组由该 CA 创建的简单证书。
2. 有一个 .NET 程序集集。来自集合 A 的程序集使用来自我的 CA 的证书 A 签名，来自集合 B 的程序集使用来自我的 CA 的证书 B 签名。
3. 有一组信任我的 CA 的客户端（在证书管理单元中的第三方根 CA 文件夹中有它的证书）。
4. 使用受信任证书签名的程序集可以正常工作，使用不受信任证书签名的程序集将无法正常工作。
5. 我撤销了证书 B（在我的具有根 CA 的服务器上）。

问题：

1. 信息（证书 B 被吊销）是否会使用 OCSP 自动发送给每个客户端？
2. 是否每个程序集负载都会使用 Internet 连接进行 OCSP 调用？是否每台装有我的程序集的计算机都会进行此类调用？
3. 如果域中的一台计算机没有互联网连接，它会继续信任被撤销的证书吗？
4. 它是受保护的方式吗 - 客户端可以中断 OCSP 请求、阻止我的服务器地址等吗？
5. 证书 B 是否会自动放置到客户端服务器上的 Untrusted Certificates 文件夹中？
6. 那么，一般来说，客户端可以让我的软件使用不受信任的证书吗？
7. 是否可以从程序集中清除此证书标志？

我正在尝试将我的 rails 应用程序转换为 https://。出于测试目的，我使用 openssl 创建了一个自签名证书。我正在使用 nginx 作为网络服务器。然后我使用这个证书配置了 nginx。

但是，在使用该应用程序时，它在地址前显示 https:// 但显示结果，因为 此网页有一个重定向循环，此网页https://myapp.com在 chrome中导致了太多重定向，并且其他浏览器也显示重定向问题.

经过太多研究，我发现了一个线索，比如需要使用链式证书来解决这个问题。然后我尝试创建证书链。我使用的方式在下面解释。

我将 cap.pem 复制到

和 ca.key 到

然后根据需要编辑openssl.conf并在/etc/ssl中创建两个新目录CA 和 newcerts。

并通过运行以下命令提供新的串行和数据库文件。

然后我通过运行以下命令创建了一个客户端证书。

该证书取决于ca.pem

然后我从第二个证书创建了第三个证书，这意味着client.cer并且不依赖于ca.pem使用以下命令。

并更改了 openssl.conf 选项

现在我有一个证书链

ca.pem -> client.pem -> client1.pem

如何捆绑这三个证书以正确创建链式证书。我以自己的方式尝试过，但它显示了同样的错误。

谁能帮忙解决这个问题，过去一周我正在解决这个问题。

感谢和问候