问题标签 [certificate-authority]

我一直在从事这项任务，以签署由存储在令牌中的根 CA 签署的 CSR（由第三方生成）。听起来像是一项简单的工作，除了需要根据规范向证书添加一组扩展名和主题替代名称。由于无法更改 CSR 以包含这些信息，我认为这应该在签名过程中完成。但是，我花了很多时间阅读 certutil 和 certreq 的文档，但无济于事。似乎没有办法为现有的 CSR 添加信息。

附加信息：由于安全令牌的限制，这必须使用 Microsoft CA 完成，因此 OpenSSL 是不可能的。

我希望有人能帮助我完成这个棘手的任务。

Microsoft 提供的 Certificate Enrollment API 和 Cryptography API 使我们能够以编程方式应用证书并将其安装在本地计算机上。

参考windows SDK 7.0自带的示例代码（enrollWithICertRequest3），发现可以通过带有ICertRequest3接口的web服务申请证书。这很酷，但副作用是我们申请的证书必须安装在本地机器上，然后我们才能调用 createPFX 方法提取最终的证书文件（包含私钥）。

在深入研究 ICertRequest3 接口后，我找到了 GetCertificate 方法。但是我可以从这种方法中得到一个证书，其中包含“----begin cert--- ---end cert---”，其中不包含私钥信息。

我不知道我是否在这里说得足够清楚。所以我需要的是通过网络以编程方式申请证书，而不必在本地机器上安装它。最终的 pxf 文件是关键:(

以下是供您参考的示例代码片段。

任何形式的建议将不胜感激。期待您的回复。

你的，

约旦

首先，我对AD的了解非常有限。

问题：我使用用户证书对 AD 上的用户进行身份验证。我想在各种设备（包括移动设备）上对用户进行身份验证。每个都将通过 CA 生成自己的证书。CA 与 AD 绑定，因此用户通过证书在 AD 上进行身份验证。

问题是： AD 上的用户帐户可以为单个用户持有多个证书。因为在我的情况下，私钥不会在设备之间共享（设备将与 CA 连接以检索自己的身份证书）

请帮忙

我有一个自托管的 WCF 应用程序，一个服务器应用程序运行在服务器上（显然）和一个将安装在用户 PC 上的客户端应用程序。到目前为止，我一直在我的个人机器上开发系统并使用“开发”x.509 证书，一切正常。我对证书身份验证的工作方式等感到满意，但我坚持的是如何部署具有所需证书的客户端软件？

仅供参考：应用程序使用 TCP 而不是 HTTP。

我希望在服务器上使用活动目录证书颁发机构设置。但老实说，我无法理解部署将如何工作？我看过一个教程，需要设置 IIS 并使用 http 手动请求证书（或类似的东西）。但我不想仅仅为此目的设置 IIS……或者那是我唯一的选择？

此外，对于将使用 ClickOnce 分发的客户端应用程序，用户是否需要在安装之前手动获取证书，或者此过程是否可以自动化？

如果这些问题被视为“新手”，我很抱歉，但我已经研究了几个小时，但没有找到任何能让我清楚地了解这个主题的东西！我准备以任何认为必要的方式完成这项工作……但是什么是必要的？

谢谢你的时间。

我已经创建了一个自签名的根证书颁发机构，如果我将其安装到 windows、linux 上，或者甚至使用 firefox (windows/linux/macosx) 中的证书存储，它将与我的终止代理完美配合。

我已将其安装到系统钥匙串中，并将证书设置为始终信任。

在 chrome 浏览器详细信息中，它显示“Chrome 在此连接尝试期间收到的证书格式不正确，因此 Chrome 无法使用它来保护您的信息。错误类型：格式错误的证书”

我使用此代码创建证书：

如果问题不在于它格式不正确（因为它在其他任何地方都可以使用），那么它还能是什么？我安装不正确吗？

需要明确的是：在 windows/linux 操作系统中，所有浏览器都可以完美运行。在 mac 中，只有 firefox 使用其内部证书存储而不是钥匙串才能工作。这是导致问题的导入证书的钥匙串方法。因此，所有使用钥匙串的浏览器都将无法工作。

证书颁发机构应该验证一个网站是否真的是他们所说的，对吧。但是证书颁发机构在那里签署自己的证书。所以这些证书是自签名的。有没有办法可以查明他们在其网站上使用的自签名证书是否信誉良好且值得信赖？

是否可以检测到由于证书无效而关闭了安全 websocket？

如果是这样，怎么做？

我们的程序需要使用合作伙伴提供的第三方证书。该证书要求我们安装一个在连接到客户端服务器之前也提供给我们的证书颁发机构。本质上，我们必须使用自签名证书。

该应用程序是用 C# 编写的。我可以在运行我们的应用程序之前指导最终用户如何安装证书颁发机构，但理想情况下，我只想暂时添加/信任证书颁发机构 .pfx 文件并将该文件作为资源嵌入到 .exe 中。

有人有想法吗？

我在Windows Server 2003上运行，并安装了Win64 OpenSSL v1.0.1i Light

无论我按照什么指南进行设置，在尝试实际签署证书时总是会出现以下错误

openssl ca -in my.csr -out my.cert.pem

使用 C:\OpenSSL-Win64\bin\openssl.cfg 中的配置将
“屏幕”加载到随机状态 - 完成
打开 CA 私钥时出错 ./myCA/private/myCA.key.pem
1776:error:02001003:system library:fopen ：没有这样的过程：.\crypto\bio\bss_file.c:398:fopen('./myCA/private/myCA.key.pem','rb')
1776:error:20074002:BIOroutines:FILE_CTRL:system lib :.\crypto\bio\bss_file.c:400:
无法加载 CA 私钥

存在密钥的路径（三重和四重检查）。
但是我不知道.\crypto\它在寻找什么。

我使用预装的 Mac OS 没有这个问题openssl，所以让我觉得缺少一个环境先决条件......

我的应用程序连接到 SSL Web 服务，该服务使用证书来验证其身份。最近，这个证书发生了变化，因为它不是由受信任的机构签名的，所以我的部分应用程序失败了。该服务对未来防止这种情况的建议是，我应该开始信任现有证书的签名机构，而不是单个证书。

这如何在 Java 中实现？

目前，我正在使用 keytool 将他们提供的证书添加到密钥库中，并将其组合到 TrustManagerFactory 中，例如：

有没有办法调整这种方法来返回TrustManager信任我拥有的证书的签名机构？此外，如何从我拥有的证书中提取有关证书签名者的信息？

谢谢，丹。