问题标签 [scep]

我需要将 SCEP 功能添加到嵌入式 Linux 应用程序，即手动注册、自动注册、证书更新。

您能否建议一个可用于实现此功能的嵌入式 Linux 的 SCEP 客户端？

提前致谢。

我们有一个应用程序目前在 Server 2008 R2 上全面运行，我们正在寻求将所有服务器升级到 2012 R2（这是与该应用程序兼容的最新操作系统）。

我们有一个单独的域控制器，它也充当证书颁发机构服务器，CA 安装了 NDES，它为我们提供了一个质询密码，我们使用该密码用于某些设备来提取证书以与应用程序通信。

我有一个迁移 DC 和 CA 的工作流程，这似乎工作正常。但是，一旦我迁移了 CA，我必须在新服务器上单独安装 NDES 角色，这反过来又给了我一个不同的质询密码（仅供参考，CA 证书的指纹保持不变）。

这是有道理的，因为它是 NDES 的全新安装，所以这必须是设计使然。

能够在迁移后保留相同的质询密码会很有用，因为这样我们就不必去每个设备并输入新的 PW。这可能吗？

所以这是 iOS SCEP 的 rails gem，这个库代码有示例以及使用 webrick 和 sinatra 运行的示例，我为公用名（CN）localhost 创建了自签名 SSL 证书，我可以在我的机器上访问这个项目但无法访问使用我的机器公共 IP 地址。

使用终端（在示例项目中）我像 $ruby application.rb 一样运行

application.rb 代码如下

注意-application.rb 代码与该库的示例项目中给出的一样，我唯一要更改/放置的是 SSL 库路径。

我的问题是——

1) 是否可以使用 localhost 测试 SCEP？

2）如果可能，我如何使用 IP 地址访问 localhost

使用大小为 256 的 ecc 密钥创建了所有 csr、.key 和 .pem 文件，在尝试注册时出现以下错误

不确定此错误背后的可能原因，我使用以下命令创建我在此处使用的密钥和证书。

我正在为 android 实现 Jscep。最初，我尝试了 Jscep for java，它运行良好。现在在 Android 中，我使用 SpongyCastle 而不是 BouncyCastle。现在我的问题是客户端类的注册方法正在使用 BouncyCastle。因此，当我尝试传递参数时，spongycastle 和 bouncycastle 不合适（显然）。

以下扩展了 spongycastle。

我将上面的变量“crb”作为第三个参数传递给注册方法，如下所示。

我收到以下错误。“错误的第三个参数类型。找到：'org.spongycastle.pkcs.PKCS10CertificationRequest'，需要：'org.bouncycastle.pkcs.PKCS10CertificationRequest”。

我试图扩展客户端，但它被宣布为最终的。

我的问题是“我应该切换回 BouncyCastle 罐子吗？”。或者“我怎样才能传递这个 spongycastle 变量？”

我正在尝试使用配置文件进行试验，为了做到这一点，我从使用 SCEP 的 Apple Profile Manager 应用程序创建的文件开始。当我获取 .mobileconfig 文件并在设备上安装（使用 Apple Configurator 2）时，它可以正常安装，没有任何问题。

但是，我注意到，如果我修改此配置文件中的任何内容（即使是像“PayloadDisplayName”这样的次要内容），注册过程也会结束，但最终会因以下错误而失败：

查看控制台日志记录并没有显示出太多用处：

似乎使用了某种签名或校验和，但这很奇怪，因为配置文件明确表示它没有签名。查看所有正在使用的字段，我唯一能猜到的是挑战字段以某种方式涉及。Apple 的文档在这里给出了关于这个字段的提示：

可以将前端服务设置为通过质询的方式进行访问，实际上是授权令牌（一次性密码，或包含用户/设备信息的签名/加密 blob），以允许自动颁发证书.

然而，以上只是一个建议，我无法找出挑战参数的实际定义方式（我使用的值是oBGLAsWsMWnHiycHpBaHXNmVEDevrLt）。我正在使用配置文件管理器附带的 SCEP 服务器，但我找不到任何有关此的文档，并且应该存在于控制台日志中的日志记录（使用密钥“com.apple.SCEP”）没有t 似乎存在。

如果我从配置文件中完全删除挑战参数，我会在设备注册期间收到提示，但我不确定我应该在其中放入什么。

如果有人有任何想法，请告诉我。

UDPATE：查看 /Library/Logs/ProfileManager/dmSCEPService.log 我看到这些错误：

这证实了这是导致问题的挑战，但我不确定如何产生适当的挑战以便事情成功。

我正在尝试从 SCEP 服务器获取证书。我使用 openssl 准备了一份 CSR。

这是我的企业社会责任：

现在，当我将其发送到 SCEP 服务器时，我收到一个错误响应：

asn1: 结构错误: 标签不匹配 (16 vs {class:0 tag:2 length:1 isCompound:false}) {optional:false explicit:false application:false private:false defaultValue: tag: stringType:0 timeType: 0 set:false omitEmpty:false} tbsCertificateRequest @2

我查看了 ASN.1 标签表（https://www.obj-sys.com/asn1tutorial/node124.html）和 Go SCEP 服务器的源代码（https://golang.org/src/encoding/asn1 /asn1.go）（查找“标签不匹配”），我知道服务器希望看到一个序列，而是得到一个整数。

我使用了ASN.1 解码器，我看到结构中有一些 VALUE=0 的 INTEGER：

//编辑：可能它只是一个 CSR 版本（总是 0）

我不知道它的目的是什么。我尝试删除该整数，将其移动到其他地方，但是没有任何帮助。如果 openSSL 产生了错误的 CSR，我会感到非常惊讶。您可能知道这里可能出了什么问题吗？

我有一台 BlackBerry UEM 服务器，并且已将 scep 证书分配给配置文件。我想实现单点登录（SSO）。

我有一个 Tomcat 8.5 服务器，我应该如何启用 Tomcat 服务器以支持客户端证书身份验证，以便它在注册设备上使用时可以使用 scep。

如果有人有可以托管在 tomcat 上以证明身份验证有效的 webapp 示例，将会很有帮助。

期待中的等待。

问候苏吉特 J

我正在尝试通过 SCEP 服务请求证书。我使用 openssl 生成密钥和 CSR 文件。但我找不到生成 PKImessage 发送到 scep 服务器的方法。是否可以使用 openssl cli 生成消息？

我正在尝试启用 SCCM + NDES + CRP 来分发 SCEP 配置。以下步骤提到了https://docs.microsoft.com/en-us/mem/configmgr/protect/deploy-use/certificate-infrastructure这里。

当我尝试在我的 SCCM 机器上启用 CRP 角色时，我看到以下错误：

MSI (s) (44:98) [15:37:19:638]：产品：证书注册点 -- 安装操作失败。MSI (s) (44:98) [15:37:19:639]：Windows Installer 安装了产品。产品名称：证书注册点。产品版本：5.00.8790.1000。产品语言：1033。制造商：微软公司。安装成功或错误状态：1603。

我们如何修复 CRP.msi 的 1603 错误，在网上看我什么也没找到。

请帮忙。