问题标签 [certificate-authority]

证书颁发机构如何将私钥安全地发送给他们的消费者？

哪一个更容易使用？

我想知道是否有一种简单而持久的解决方案可以让我的用户（Android 手机）能够验证其他用户的证书是否未被吊销。在网上阅读后，我仍然很困惑，如果执行 CRL、OCSP 或其他方法更好。

• 该应用程序可能有大约 10 000 个用户。• 应用程序中使用的证书由我们签名。我们自己有一个应用程序信任的相当简单的证书颁发机构。我不喜欢使用临时解决方案，因为以后我们实施更好的解决方案时向后兼容性可能会很昂贵。

如果我使用 openssl 创建证书颁发机构 (CA) 根目录（例如此博客文章或此 MDN 文章）并使用它来签署证书签名请求 (CSR)，则生成的签名证书是否被当前桌面视为“自签名” PC 浏览器（Firefox、Chrome、IE）？

答案是否取决于 CA 根证书是否安装为相关证书管理器中的受信任机构？

我的理解是，答案应该是“不，也不”。但我有一个问题，不知道我的理解是不正确的。

所以我在玩提琴手网络代理。我需要解密 https 流量。所以我试图将提琴手根 CA 证书放在我的设备信任库中。但它一直在问我"Enter the password for credential storage"。如果我输入任何内容并单击输入，我会看到一条Toast消息说

凭据存储已被擦除

密码提示又来了。这在一个循环中进行。作为记录，我已选择"Wifi"作为凭据使用而不是"App n VPN"（不确定这是否重要）。

我注意到的下一个连线的事情是，在每次提示后，标签的描述都会发生变化

包装内含

每次显示密码提示时，它的值都会增加。例如 - 3 个 CA 证书、4 个 CA 证书等等......

尽管我希望我的设备接受此证书，但如果有人能解释“凭证存储”概念和 CA 证书文本的奇怪增量，我将不胜感激。

使用 Fiddler Web 代理拦截 Android 网络调用

想象一下，我有 p12 容器的私钥和公共证书。当我使用 Java keytool 将 p12 公共证书导出到单独的 .cer 文件时，我可能会单击 .cer 文件并查看完整的证书链。如何以编程方式获得完整路径？

我做了一点调查。我使用了 keytool 的print cert -v命令并看到了 AuthorityInfoAccess带有子属性的属性

我下载了那个 some.crt（它是 PEM 证书），并再次使用print cert -v并再次查看 accessLocation: URIName: http://.../some2.crt并重复下载 .crt 文件并获取父级，直到到达没有此类属性的根 .crt 。

我认为，我应该如上所述以编程方式下载链并将其提供给此处CertPathValidator所示。

如果我真的需要如上所述获取链，是否有任何图书馆已经这样做了？有什么办法可以用 std lib 做到这一点？我没有找到 bouncycastle 示例和 java 的标准库代码，例如

java.security.cert.Certificate[] cchain = keystore.getCertificateChain(alias);

返回一个实际有 2 个“父母”的证书条目。

我了解签名的基础知识。您必须拥有来自信誉良好的证书颁发机构的私钥和证书（不一定）。然后，您必须拥有签名者的公钥来验证其完整性。

我可以在网上看到这个工作；一个站点从一个有信誉的证书颁发机构（例如 Verisign）获得证书（不一定），并且 Firefox（例如）可以通过联系该证书颁发机构来检查证书的真实性。

是的，我知道您可以使用自己生成的证书进行签名，但是当发生这种情况时 Firefox 会抱怨，在安装第 3 方驱动程序时 Windows 也会抱怨。

我的问题是这样的；当驱动程序处于脱机状态并且无法与所述信誉良好的证书颁发机构核对时，Windows 如何知道它是由信誉良好的证书颁发机构签署的？

Windows 是否在 Windows 中保留了一组来自信誉良好的证书颁发机构的公钥？难道不能改变这个列表来加载一个驱动程序，就好像它有一个有信誉的证书颁发机构的证书一样？

驱动程序签名如何离线工作？

我们可以创建自己的证书颁发机构并向我们的服务器颁发证书。但是浏览器并不认为它是受信任的。是的，我们可以将浏览器配置为信任我们的证书。但是，我们如何才能使我们的证书成为像 VeriSign 或其他受信任的证书一样普遍受信任的证书呢？

We host a website in azure. The service we host has 6 instances. On that service we have added a certificate that covers the site, and has an authentication chain that looks like:

We can see in the browser, with any requests that we have made, that this chain seems to be present properly and the SSL handshake can complete.

We have a customer who has reported that they are having some issues connecting to us remotely. They have been using openssl to try to verify where this originates.

Where my knowledge breaks down is in interpreting this output, and I wondered if you can help either spot the difference or to identify a next step - either for us or our client.

The command that was run was

The output in a successful case:

And in an unsuccessful case:

I can see that these are different, I can see that the depth fields are different, (I'm unsure of what this means, but supposing that this is an indication of how far up the authentication chain openssl got). I can also see that the chain itself seems to be different in the successful case as opposed to the unsuccessful case, with the addition of

The question I have is what can cause this to happen, is this a server or a user issue (especially bearing in mind that for most requests for most users, this seems to work just fine), and do we need to take any next steps to identify an issue?

Thanks for your time :)

在此之后： https://developer.android.com/intl/es/training/articles/security-ssl.html部分：未知证书颁发机构 - 华盛顿大学的示例。

现在我可以访问服务器并与之通信。我得到了服务器的响应，正如预期的那样。但是，Android日志中有一些错误：

我不知道这是从哪里来的？这是正常的吗？有人可以解释/帮助我吗？

我正在尝试在 Java 上使用 BouncyCastle (1.52) 创建 CA 证书，然后从中颁发客户端证书。

我已经设法使用 X509v3CertificateBuilder 类来做到这一点，但是该类只采用发行者的 X500Name 和私钥，这意味着似乎没有对用于生成/签署客户端证书的证书是否允许执行任何验证所以。这允许我使用另一个客户端证书（BasicConstraint 扩展设置为 false）或使用没有正确 KeyUsage 扩展的证书签署客户端证书。

是否有一些类在登录 BC 时执行所有这些验证，或者是否有一些东西要由用户来实现？