问题标签 [ssl-certificate]

我正在开发一个使用 SslStream 提供其 SSL 套接字的 .Net 服务器应用程序。它适用于某些客户端（例如基于 libcurl 的客户端），但其他客户端由于缺少中间证书而引发错误。如何将中间证书与 SslStream 或 X509Certificate2 对象关联以使这些客户满意？

这是我现在在接受连接时使用的代码：

如果我使用 OpenSSL，我会使用SSL_CTX_add_extra_chain_cert(). 我查看了 X509Chain 对象，但不知道如何使其适合。

谢谢。

我正在为一对测试服务器（2008 R2、IIS7）中的一个请求我的第一个 SSL 证书。我们的 CA 不是 AD 的一部分，所以我发现我需要执行“请求 Internet 证书”。但是，该链接不是很有帮助，因为它没有告诉您在框中放置什么。我很确定我对除了“通用名称”框之外的所有内容都没有问题。我想我需要在这里输入服务器名称，但我不确定。

通常，我在我的站点中使用主机头，以便我的网络人员可以为我提供负载平衡，或者至少，在一对服务器之间进行故障转移。我可以在此处执行此操作吗？如果可以，我是填写主机头名称还是服务器名称？

我想使用带有 mechansim 的 Netbeans 来保护 Web 服务：“基于 SSL 的消息身份验证”，并且我按照 Netbeans 文档和 Sun WSIT 教程的要求做了所有事情。我还在客户端 jre 中导入生成的 SSL 密钥，但是当我运行客户端代码时，我仍然收到此错误：

访问 WSDL 失败：https://localhost:8443/SecureWebService?wsdl。它失败了：sun.security.validator.ValidatorExcepti on：PKIX 路径构建失败：un.security.provider.certpath。SunCertPathBuilderException：无法找到请求目标的有效认证路径。

有人能帮助我吗 ？

我已经请求了一个带有多个subjectAltNames的证书（用于 IIS 7 上的 SSL）。我读到有些人可能不喜欢这样做，因为公众能够看到不同站点之间的链接。（这无关紧要，因为证书是供内部使用的）。但这表明我在查看证书时应该能够看到 subjectAltNames。我不能。

我应该能够看到它们吗？如果可以，在哪里？

在 SSL 证书的属性页中（可在 windows 中使用 mmc/certificates 访问），每个证书都与一组预期用途相关联，如下所示：

保护电子邮件

向远程计算机证明您的身份

确保远程计算机的身份

确保软件来自软件发行商

保护软件在发布后不被更改

所有发行政策

或者像这样：

1.3.6.1.4.1.6449.1.2.1.3.4

如何获得这些字符串和人类可读格式之间的对应关系？

我正在使用 MATLAB 的命令访问内部数据库urlread，一切正常，直到服务被移动到安全服务器（即使用 HTTPS 地址而不是 HTTP 地址）。现在urlread不再成功检索结果。它给出了一个错误：

下载网址时出错。您的网络连接可能已关闭或您的代理设置配置不正确。

我认为问题在于该服务使用了无效的数字证书，因为如果我尝试直接在 Web 浏览器中访问该资源，我会收到“不受信任的连接”警告，我可以通过将站点添加到例外列表来通过该警告。urlread没有明显的方法来处理这个问题。

幕后urlread使用 Java 访问 Web 资源，并在此行抛出错误：

urlConnectionJava 对象在哪里： sun.net.www.protocol.https.HttpsURLConnectionImpl.

有人建议解决此问题的方法吗？

执行摘要：如何使用 Java 代码将新的根证书安装到 Java 中？

我们有一个桌面应用程序可以访问各种网络服务。最近，其中一位将其 SSL 证书切换为由 Trustwave 签名的证书。虽然常规 Internet 浏览器接受 Trustwave SSL 证书，但 Java 似乎没有附带必备的根证书，并且我们无法访问给定的 Web 服务并显示以下错误消息：

通过说服供应商切换回威瑞信，我们得到了暂时的缓刑，但当他们切换回威瑞信时，我们必须做好准备。所以我需要我们的桌面软件根据需要自动安装 Trustwave 根证书。我们的客户不够精通技术，无法使用 keytool 命令，我宁愿不编写脚本，因为这让我觉得这是一个脆弱的解决方案（Mac 和 PC 的单独实现，与 Vista 执行限制的斗争，找不到正确的 JRE 安装到， ETC）。

我想 keytool 在内部使用 Java。我可以在 Java 中使用什么命令来复制 keytool 的功能并以编程方式安装根证书？

我正在尝试使用 Hudson（它使用 SVNKit）来访问需要客户端证书才能访问的 Subversion 存储库。我可以通过 Eclipse（也使用 SVNKit）使用相同的客户端证书访问相同的存储库。

当 Hudson 尝试签出存储库时，它失败了：

Hudson 是在 Tomcat 下运行的，所以我在 Tomcat 日志（-Djavax.net.debug=ssl）中开启了 ssl 调试。

在握手结束时，我看到：

我不确定这是否是问题的症结所在。

紧随其后的是证书颁发机构列表。我确保将服务器的证书根颁发者导入到 mycacerts以及中间颁发者中。我仍然遇到同样的问题。

关于看什么的任何想法？

日志在pastebin 上。

我在我的服务器上创建了一个自签名证书。

现在我需要将证书导入到信任库，以便应用程序 . 如果是 Tomcat，我会把它放在这里：%JAVA_HOME%\jre\lib\security\cacerts

JBoss 中的等价物在哪里？我应该去哪里看？

假设您有一个相互 SSL 服务，除了 SSL 之外，它还具有应用程序身份验证。因此，客户端提供证书（以及服务器），但客户端请求（例如，REST 请求）还包含后端应用服务器验证的用户名/密码。

就客户端认证的“度”而言，似乎有多个级别。一个级别 (a) 只是让客户端提供由服务器 CA 存储中的 CA 签名的证书。另一个明显的级别 (b) 是让服务器执行 (a) 并确保应用程序凭据正确。第三级 (c) 是做 (a) 和 (b) 加上确保客户端证书与帐户唯一关联。

(c) 的好处是它可以防止“受信任的 CA”信任的人滥用非法获得的应用程序密码。

我意识到这不太可能，但我想知道（c）在多大程度上被认为是相互 SSL 的一部分，而不是简单的（a）或（b）？