问题标签 [certificate-authority]

我有一个 PCCERT_CONTEXT 类型的变量，其中包含一个证书（这实际上是给定可执行文件的数字签名者的证书。）我需要获取证书或至少是颁发 CA 的名称。我尝试过使用 CertOpenStore 和 WTHelperCertFindIssuerCertificate，但没有成功。我将不胜感激任何帮助。

问候，

阿里雷萨

我发现 NSUrlConnection 的所有这些变通方法都使用封闭的 API 来访问不受信任的 SSL 证书。其他选项是首先使用 Safari/Mail 应用程序安装证书。

我想知道安装了哪些根证书，所以我可以从受信任的 CA 获得一个，你应该这样做的方式..

任何人都知道我需要什么 CA？

我已经注册了标准的 iPhone 开发人员计划，并且我已经成功地为我的 iMac 创建了配置文件。但我也有一台 MacBook Pro，我在旅行时用来工作。但是使用标准的 iPhone 开发人员计划似乎没有办法让 2 台计算机工作，除非我在切换机器时花时间撤销和重新创建/重新验证证书颁发机构。

我对吗？或者有什么方法可以在多台机器上使用相同的 CA？

带头... 到目前为止，我不是 SSL 应用程序安全方面的专家，但我正在尝试建立一个测试环境，其中包括我们在生产中可能遇到的所有可能场景。为此，我有一个证书颁发机构 (CA) 树，它们是各种测试客户端证书和节点/服务器证书（代表各种已发布 Web 服务和我们与之集成的其他应用程序的复杂测试环境）的颁发者。

这些 CA 的结构如下： Root CA，已签署/颁发了 Sub CA1、Sub CA2 和 Sub CA3。这些潜艇随后签署/颁发了环境中这些不同节点和客户端的所有证书。

现在的问题....在我的应用程序的信任库中，我想信任由 Sub CA1 和 Sub CA2 签名的所有内容，但不信任 Sub CA3（不受信任）。这是否意味着我的信任库应该 (1) 只包含 Sub CA1 和 Sub CA2，或者 (2) 它应该包含 Root CA、Sub CA1 和 Sub CA2？

我不知道在信任库中表示此信任链的正确方法是什么。将来我还想添加一个 Sub CA4（也由根 CA 签名/颁发），但将其添加到证书吊销列表 (CRL) 以进行测试。

提前感谢您对此提供的任何帮助。非常感谢。

我需要深入了解 adobe AIR 中的一些身份验证问题。符合我的问题的三个相关事实：

1. 每当从我的 AIR 应用程序访问我的 https:// 站点时，我都会收到不受信任的站点警告
2. 当我构建一个 AIR 应用程序时，我没有付费证书，所以我现在自己签名
3. 我的网站（当我在 AIR 应用程序中访问它时会发出不受信任的警告）确实有付费证书（颁发者 Comodo - 通过 DreamHost）

我不太确定对此最合理的解决方案是什么。所以我有几个紧密耦合的问题，我不确定哪一个或几个适用。它们可能是同一件事，也可能是分开的。但我很想对此有所了解。

1. Comodo 只是不是 Adob​​e 的“足够好/批准”的 CA 发行者，这就是它抱怨的原因吗？
2. 有没有办法解决？我可以在我的 crossdomain.xml 中放入什么东西吗？
3. 我可以使用我已经支付的 CA 证书来签署 AIR 应用程序吗？
4. 如果 3 为真，我所拥有的会起作用还是仅适用于不同的发行人？

有人可以解释用于签署 AIR 应用程序的证书和用于进行 SSL 身份验证的证书之间的区别（如果有的话），以及我是否可以重复使用我拥有的证书？

我有一个 webapp，它通过 servlet（非 ssl）上传接收证书请求。

CSR 由 webapp 签名，并发回给在浏览器中安装证书的用户。

现在，如何让 servlet 容器接受带有新签名证书的 HTTPS 连接？

据我所知，签名证书必须位于 HTTPS 连接器的“信任库”中，手动操作没有问题。

但是如何在不重新启动容器或弄乱命令行的情况下自动添加它？

我有一个客户希望他们的应用程序代码签名，所以我们将他们指向一些知名的、值得信赖的 CA（Verisign、Thawt 等），然后他们返回了 InstantSSL（因为它每年只有 180 个，而不是 500 个/年）。

我如何知道 InstantSSL 在此应用程序计算机的客户上是受信任的？

我有一个可以与服务器建立 SSL 连接的工作应用程序。服务器使用自签名证书，客户端加载证书颁发机构链来告诉它服务器可以信任。我在客户端使用这样的代码做到了这一点：

在服务器上：

我正在尝试修改此代码，以便服务器也验证客户端的对等证书（自签名，使用与服务器相同的颁发者）并且遇到了一些麻烦。我在任何地方都没有找到好的“概念概述”文档，这似乎是 OpenSSL 库的一个典型障碍。

在客户端上，我在 SSL_CTX_load_verify_locations() 调用之后添加了这个：

在服务器上，我在 SSL_CTX_use_PrivateKey_file() 调用之后添加了这个：

连接失败，因为证书未验证。客户端似乎可以很好地加载证书，如果我注释掉 SSL_CTX_set_verify 行，客户端可以毫无问题地连接（因为它的证书从未经过验证）。

看来服务器不认为客户端的证书颁发机构链是好的。我在这里想念什么？

从命令行我可以运行： openssl verify -CAfile ca-chain2.crt generic_client.pem 它通过了，所以我有正确的证书数据可用，我一定只是以某种方式错误地使用它。

我在 Windows Server 2003 中有一个 CA 以及活动目录（在同一台机器上）。每个 AD 用户都有自己的证书。我想要做的是访问 CA 以获取某个证书以使用公钥加密数据。

我一直在寻找，但没有找到...

有人告诉我，可以使用 Safari 将根 CA 证书添加到 iPhone，方法是将证书放在 Web 服务器上并在 Safari 中加载 URL。

是否也可以从 iPhone 应用程序中静默安装根 CA 证书？如果是这样，怎么做？