问题标签 [pki]

我目前正在研究通过 WSE 3.0 或 WCF 对 SOAP 消息进行加密和签名的主题。由于我没有参与涉及公共 Internet 的分布式应用程序开发，我发现我缺乏对 X.509 证书及其在 Windows 证书存储机制中的工作原理的了解。这与非对称密码学无关；它是关于 PKI 生态系统的。

因此，我想收集哪些文章或书籍对 Windows 的安全机制、如何正确使用和管理证书存储、CA 信任链以及 WSE 或 WCF 等 API 如何交互和使用证书进行了全面的解释. 建议？

我目前正在开发一些使用 XML 签名在两台机器之间安全传输文件的软件。我们使用来自我们自己的 CA 的 X.509 证书作为密钥。

CA（Windows 2003 服务器）提供多种类型的证书（电子邮件证书、服务器证书……）

我需要为 XML 签名生成哪一个？据我所知，签署证书需要“数字签名”扩展，但在填写证书请求时，它如何映射到 Windows Server 2003 提供的功能？

同样有用的是一些指向良好文档的指针，关于 x509 的谷歌搜索淹没在关于证书的其他主题的文章的白噪声中。

我们使用 Oracle 钱包来编写 Oracle 版本的脚本。

使用 mkstore，我可以向 Oracle 钱包添加或删除私钥。

无论是使用 Java 还是 C#，我都想读取 Oracle 钱包中的私钥。

有人可以分享示例代码如何做到这一点。

这篇文章解释了如何使用 Java 打开钱包，但它不读取私钥。 http://blog.mikesidoti.com/2007/04/opening-oracles-wallet.html

我已经弄清楚了在 Apache 中获得基于 DOD CAC 卡的客户端证书身份验证的所有必要步骤，但现在我正在努力从我收到的证书中为用户提取一个好的 GUID。证书上是否有可用的 GUID 在 CAC 卡更新时不会更改？我正在考虑使用看起来像这样的 SSL_CLIENT_S_DN：

/C=US/O=美国政府/OU=DoD/OU=PKI/OU=CONTRACTOR/CN=LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789

但是我听说更新CAC卡时末尾的数字会改变。这是真的？是否有更好的信息可用于 GUID？我还想获取用户的电子邮件地址，但在我从证书收到的信息中看不到它。电子邮件地址是否在我没有看到的某些自定义扩展中可用？

谢谢！

相关链接是这篇MSDN 文章。

我总是对术语“主题”感到困惑，例如，sk 选项“指定主题的密钥容器位置”，sr 选项“指定主题的证书存储位置”。这里的主题到底是什么意思？证书所有者？证书颁发者（例如颁发证书的根 CA）？或者是其他东西？

makecert关于命令的两个简单问题，

假设我正在使用以下命令：

私钥会自动在证书管理器中的某处注册，还是只会在文件 root.pvk 中？

假设我正在使用以下命令：

执行此命令后，私钥存储在哪里（由于我没有指定-pe选项，所以私钥没有嵌入证书中，而是在哪里）？

如果我们使私钥可导出（使用 makecert 中的 -pe 选项），那么理论上我们同时拥有可导出的私钥和公钥（证书中的公钥）——可以将其传输或导入另一台机器。

所以，我的问题是，为什么我们仍然需要创建 .pfx 文件（密钥交换文件，其中包含私钥和公钥）——让私钥在证书中可导出可以做任何我们想做的事情？任何场景 pfx 文件都可以涵盖哪些使证书中的私钥可导出无法实现？

提前谢谢，乔治

如何使用国防部 CAC 卡实现 Apache（在 Linux 中）身份验证？我听说可以做到，但没有遇到任何细节。目前我们使用 Windows Active Directory 进行 Apache 身份验证，但仅使用登录名/密码。很快要求将仅使用 CAC 卡。任何提示将不胜感激。

http://support.microsoft.com/kb/892424

在 Active Directory 上设置“交互式登录需要智能卡”时，它会生成一个随机密码。如何使用智能卡通过 LDAP 从 Web 应用程序对用户进行身份验证？

我怎么知道用户是谁？有没有办法访问证书？我可以从会话中得到它吗？

我需要知道什么是公钥基础设施。我需要知道这是否与发送请求和响应有关，就像 WCF 中的 WsHttpbinding 一样。