问题标签 [pki]

我正在尝试使用 iPhone 的 PKI 库来加密一个短字符串（12345678），但每当我尝试使用 SecKeyEncrypt 时，我都会收到错误 -9809（即 errSSLCrypto）。SecureTransport.h 头文件将此错误简单地描述为“潜在的加密错误”，这不是很有意义。

我的代码如下：

我使用什么填充并不重要，它们都会给出相同的错误。公钥是从我的客户提供的证书中派生的，我已经检查以确保该密钥有效。我做错了什么以及如何正确使用该功能？

我需要在 CSR 中添加额外的字段，如 keyusage、regestrationID 等。我使用的是 java IBM-sdk60。我已经浏览了 x500 名称 API，但找不到任何解决方案。对 API 的帮助将不胜感激。提前致谢

我正在使用Siemens 的CardOS API驱动程序作为 PKCS#11 驱动程序从 PKI 卡加载证书，如下所示：

尽管我将其作为参数传递，但驱动程序会提示输入每个键的 PIN。有没有其他方法可以通过 API 传递 PIN？我可以激活任何“PIN 缓存”吗？

我试图在我的网站上有一个特定页面，只有在 X.509 身份验证后才能访问。问题是，我希望它可供所有具有由特定中间 CA 颁发的匹配证书的客户使用（我打算在自生成的根 CA 下有一些中间 CA，但只有一个特定中间 CA 颁发的客户端证书CA 可以访问此页面）。这可能使用PHP吗？

让我知道是否需要进一步详细说明，我会尝试添加更多细节。谢谢你的帮助！

TC

在报告无法与 beta 一起使用后，我必须将应用程序更新到 iOS5。问题的根源在于我们的自定义 SSL 证书验证不再有效。

在 didReceiveAuthenticationChallenge 部分，我们获取根证书并调用 SecTrustEvaluate。这在 iOS4 上运行良好。

证书以 DER 格式存储为应用程序中包含的资源。

我们基本上有自己的 CA 证书，我们用它来为我们的应用程序连接到的服务器颁发证书。

我可以使用 AdvancedURLConnections 示例应用程序重新创建它。

I have created two SecKeyRef items via SecKeyGeneratePair, but now I would like to turn the public key into a x509 Digital Certificate – and/or both the public and private keys into a PKCS #12 (.p12) certificate – and save it to disk as a file. This way I can do whatever I need to with it, including sending the certificates to other services or computers.

I would prefer to not use the keychain, but even with that I am having some trouble finding good documentation on exactly how to create a certificate out of a pair of SecKeyRefs, and writing them out as a certificate file.

我正在寻找一种在任何位置 （CurrentUser或LocalMachine）获取所有系统证书存储的方法。

StoreLocation枚举显然不包括用X509Store(String)or创建的用户定义的证书存储X509Store(String, StoreLocation)。这也没有定义其他标准存储，例如SPCor Request。

我查看了crypto32.dllAPI，除了注册/注销之外，我看不到任何相关内容。

非基于文件系统的存储出现在注册表中（例如HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\Root）。PowerShell 证书提供程序可以询问存储。这是——查询注册表——它在后台做什么？这样的手动解决方案可以在 XP/Vista/7/8 之间移植吗？

我是 PKCS#11 和通用访问卡的新手，但据我了解，在卡上你有可以提取的证书和不能提取的私钥。我正在尝试编写一个与需要证书进行身份验证的 Web 服务器通信的应用程序。硬件供应商提供的 PKCS 库非常薄。我基本上可以使用卡上私钥访问证书对象或签署数据。

我不确定在连接到网络服务器时如何处理握手等。我是否应该提供证书以及由私钥签名的其他内容？如果是这样，我用私钥签名的是什么？我已经用谷歌搜索了这个，但找不到这个过程的某种解释。

我正在尝试了解用于数字签名的 Java API。我应该使用自定义密码提供程序来组成数字签名。我知道如何使用此 CSP 签署文档并获得分离的签名，现在我需要在此签名中添加时间戳和证书状态（以使签名对政府机构有效）。这些事情是使用 TSP 和 OCSP 完成的。问题：

1. 应该在哪里获得 TSP 客户端？
2. 我对使用内置的 java OCSP 支持来验证证书就足够了吗？
3. tsp 和验证信息是否与 CMS 有某种联系？
4. 最后也是最有趣的：我应该如何处理时间戳信息和证书验证信息：它是分离文件还是签名的一部分？

我被要求重新设计我们的构建/签名/发布流程。我对 Windows 的东西非常满意，并且我已经确定了几个可以满足我们需要的联网 HSM 产品。它们基本上直接与​​ CryptoAPI 集成，因此进行签名的人可以正常使用 signtool.exe。

我们目前有一个单独的 Mac 团队，他们自己构建/签名/发布。这在我们的一个 DC 中的几台 Mac Mini 上运行良好。我也想保护我们的 Mac 软件密钥，因此我试图找出如何将联网 HSM 集成到我们的 Mac 签名过程中。

我在任何地方都找不到有关此的任何好信息！所以我希望这里有人已经这样做了，可以减轻我的痛苦。

实际问题是；

1) 我可以将 HSM 与标准 Mac 代码签名工具一起使用吗？2）任何人都可以推荐上述供应商/产品吗？3) 谁能指出一些关于 Mac 代码签名和 Mac 加密基础设施内部工作的优秀文档？

干杯

BHB