问题标签 [certificate]

我目前正在研究通过 WSE 3.0 或 WCF 对 SOAP 消息进行加密和签名的主题。由于我没有参与涉及公共 Internet 的分布式应用程序开发，我发现我缺乏对 X.509 证书及其在 Windows 证书存储机制中的工作原理的了解。这与非对称密码学无关；它是关于 PKI 生态系统的。

因此，我想收集哪些文章或书籍对 Windows 的安全机制、如何正确使用和管理证书存储、CA 信任链以及 WSE 或 WCF 等 API 如何交互和使用证书进行了全面的解释. 建议？

双向验证是否需要从双方导入证书？

如何通过命令行针对 Java 证书存储验证 X509（或 DER 格式）证书？

我已经研究过使用该keytool实用程序，但它看起来只处理导入/导出/显示功能（无验证）。

编辑：看起来好像keytool可以用于验证，但前提是尝试导入。我想问这个问题的更好方法是是否可以使用更被动的方法（例如：不修改密钥库）。谢谢！

根据 GoDaddy 的常见问题解答，他们支持 Microsoft 的 SignTool，但未提及 mage.exe。Mage.exe 用于对应用程序进行签名，但我无法确定 mage.exe 是否使用 SignTool。如果有人将 GoDaddy 的代码签名证书用于 ClickOnce，我们将不胜感激。

我的 iPhone 应用程序在模拟器中运行良好。我正在尝试将其部署到物理 iPhone 上。当我安装配置文件时，我的组织者说“在您的钥匙串中找不到与此配置文件匹配的签名身份。”

我无法解决这个问题。我该怎么办？

当我使用 MakeCert.exe 生成证书时，我想将密钥大小从 1024 更改为 2048。

这可能吗？还是我需要设置证书颁发机构 (CA)？

一些背景：为了提供身份验证，我在客户端和服务器端（WCF）使用证书并为所有客户端使用一个证书（从应用程序目录手动加载它 - 不是最安全的方式，但它不需要管理证书存储和使安装更加困难）：

这是客户端，服务器端主机设置如下所示：

这工作正常并允许签署消息，但就安全模式设置如下：

但是我需要

以某种方式在 ServiceSecurityContext 中获取 WindowsIdentity。混合（传输和消息）安全模式没有帮助，因为我不知道为什么，但即使我在配置中为传输部分模式基础设施设置 Windows clientCredentials 也会尝试建立 SSL 连接。

有任何想法吗 ？？？？

证书用于消息签名，即证明另一方是真正的客户端或服务（中间人）。但正在开发的系统中的授权部分依赖于 ServiceSecurityContect 中的 WindowsIdentity。我想要的只是在 sec.context 中包含 WindowsIdentity，同时 PrimaryIdentity 是 X509CertIdentity。所以我需要在服务器端知道哪个域用户请求了服务操作。

我需要让我的 java 小程序通过 ssl 使用基于肥皂的 Web 服务。我知道您可以让 servlet 充当中间人/代理，但我想让 applet 直接通过 SSL 使用 Web 服务。问题是将证书提供给托管 Web 服务的 Web 服务器。我通过 Java 控制面板提供了这些 Java Applet 运行时设置：

-Djavax.net.ssl.keyStore= <local path to .p12>

-Djavax.net.ssl.keyStorePassword= <password>

我还通过 Java 控制面板将客户端证书 (.p12) 作为客户端证书导入。我希望这样做：

KeyStore ks = KeyStore.getInstance("JKS"); ks.load(new FileInputStream(System.getProperty("javax.net.ssl.keyStore"), System.getProperty("javax.net.ssl.keyStorePassword").toCharArray());

并从那里使用 KeyStore。但是，没有骰子！似乎我无法从小程序中访问这些属性。我也不想硬编码路径。我正在使用 JRE 1.6.0_10

有没有其他方法可以让小程序在没有 servlet 代理方法的情况下使用 Web 服务？我很可能走错了路。另外，如果可能的话，当 Web 服务与托管小程序的服务不同时，我会对这项工作感兴趣。

顺便说一句：我想摆脱的 servlet 代理方法在这里详细说明：http: //www.ibm.com/developerworks/xml/library/x-jappws/

谢谢！

我需要通过 https 将 XML 发布到服务器，但我需要在推送 XML（包含敏感信息）之前验证自签名服务器证书是否正确。

我更喜欢 perl 解决方案，但似乎没有真正验证证书的 CPAN 解决方案 - 我认为 Crypt::SSLeay 会这样做，但不是在我的测试中（http://perlmonks.org/? node_id=739072 )

我简要地查看了 python（虽然我不确定是否可以在我们的生产服务器上安装任何非 perl 语言），但似乎直到版本 2.6.0 才支持证书验证。

也许我可以掏出一些钱 - wget 似乎实际上验证了对等证书，但我不确定如何在验证之前保留 xml 帖子。似乎这需要两个 wget 请求：一个用于验证证书，一个用于发布 xml。这对我来说似乎不是最安全的解决方案（第二个帖子可能被劫持）。

有小费吗？

谢谢

希望有人可以在这件事上帮助我。我正在寻找一种在我的 WCF 服务上启用消息级别安全性的方法，而不是使用证书。问题是该应用程序用于通过 VPN 与多个站点连接的客户端，每个站点都有自己的域控制器，并且域之间不相互信任。我对证书完全陌生，虽然很多人说这是要走的路，但我不知道它是否可以在这种环境下工作？

寻求帮助 :) 亲切的问候安德里斯