问题标签 [x509]

我有一个 C/C++ 应用程序，我需要创建一个包含公钥和私钥的 X509 pem 证书。证书可以是自签名的，也可以是未签名的，没关系。

我想在应用程序中执行此操作，而不是从命令行。

哪些 OpenSSL 功能将为我做这件事？任何示例代码都是奖励！

据我所知，NETCF 仅支持 WS-Security 1.0 版的一个子集，它使用 X.509 证书。如何获得这样的证书以在我的应用程序中实现它并防止其他人使用我的 WCF 服务？

我需要使用 x509 证书从富客户端通过 Internet 获取安全的消息级别身份验证到安全的 WCF Web 服务。

具体来说，我正在寻找一个关于设置、配置、编码和部署的工作分步指南，包括创建“开发”证书、安装它，以及获得用于生产的“真实”证书。

我在 ASP.NET 应用程序中加载特定的 X509 证书时遇到了问题（即不通过 IIS 获取 https）。我已将其加载到本地计算机上的“个人”和“受信任的根”存储中（通过 MMC 管理单元），但无法从任一存储中加载它。

NETWORK SERVICE 帐户似乎没有读取/加载它的权限，因为当我将应用程序池身份更改为具有管理权限的用户时，我可以找到、加载和使用证书。

它只是一个公共证书，因此与带有私钥的证书不同，我看不到任何地方可以对其设置权限。

这很奇怪，因为我以前在这个应用程序中没有遇到过公共证书的问题。我可以看到这个公共证书和以前的公共证书（加载正常）的唯一区别是这个特定的公共证书已经由 Verisign 签名，因此有一个带有其他几个威瑞信证书的认证链。

在此先感谢，
查尔斯

仅供参考，我的开发环境只是我的带有 IIS7 的 Vista Business 机器。

Does any of you have a clue how to alter the contents of Security.framework/TrustStore.sqlite3. It seems as if the iPhone uses it to store trusted CA certificates. I really want my iPod touch to trust my custom certificate. Beside that, does anyone of you know an app (win32) to edit sqlite3 database files (except sqliteman, this one always crashes for me).

昨天我花了几个小时尝试使用 X509 证书（来自 thawte 的“免费邮件”证书之一）对一个短文件进行数字签名。我终于让 openssl 将其签名为 SMIME 消息，但我无法成功验证它，而且它采用 SMIME 格式——我无法访问实际上可以发送 SMIME 文件的“sendmail”程序。

我只想通过简单的剪切和粘贴创建一些“可摘录”的文件，例如：

或者，我想我可以制作一个包含原始文件和签名的 .zip 文件。

所以我想我的要求是：

1. 输入明文 = 任意文件
2. 输入signkey =来自X509证书
3. 输出 = 我可以通过剪切和粘贴或附加单个 .zip 文件轻松地通过电子邮件发送给其他人的东西
4. 程序 = 免费和开源的东西，例如 openssl 或 gpg
5. 程序！=一个神奇的 GUI，我不明白发生了什么
6. 能够轻松使用程序从输入中生成输出
7. 能够轻松地从输出中提取明文（例如，直接通过眼睛或作为 .zip 文件的一个组件）
8. 能够验证明文是否由 X509 证书的被授予者（即我）签署，并且证书的授予者 (CA) 是知名 CA……假设我是一个保持证书安全的理性人被其他方使用（否则有人可以像我一样签名）。

有没有关于 X509 证书的好教程以及它们在实践中如何用于这些东西？我有 Schneier 的“应用密码学”的第 2 版，并且在密码算法 + 协议方面有相当多的经验，但对 X509 知之甚少，我真的很困惑证书实际上是什么. （换句话说，“证书是颁发方 CA 的加密断言，即证书中指定的方 X 是 CA 已知的身份？”和“证书使其持有者能够_____”）

当我得到一个时，它会显示在 Firefox 的证书管理器的“您的证书”选项卡中，我可以将其导出并使用 openssl 读取它，但我想确保它不会以任何其他人可以使用的方式存储 w /o 知道证书。密码——我真的很困惑，因为似乎有些证书只有公钥，而其他证书有加密的私钥。

是否有一个围绕 openssl 的良好、简单的 GUI 包装器，可以让您解释它在做什么？

编辑： thawte 不容易让你直接使用证书请求；相反，它与 Web 浏览器（我使用 Firefox）对话，并生成私钥并处理所有证书协议。所以我可以将它导出为 PKCS12 文件，但我不确定如何使用它。

我正在做一个需要以下内容的项目。

• 服务器端的 WCF 服务 (.NET 3.5)
• 客户端的 WPF 客户端 (.NET 3.0)

我有一个现有的应用程序，我必须使用（在服务器端）的身份验证和授权。我还需要在 WCF 服务的线程主体（站点对象）中存储一些关于用户的元数据。我这样做是为了在必要时可以在 WCF 服务中使用它；一些业务逻辑可能需要它。所以我的计划是做以下......

为服务器创建一个自定义 ServiceAuthorizationManager，我将在其中登录用户并从现有应用程序中获取角色。我将缓存“站点”对象，并根据进一步的请求从缓存中提取。我还需要一个 CustomPrincipal 对象来保存我的自定义数据。我想模拟用户，以便可以使用 WCF 中的内置角色过滤，如下所示：

我尝试将 ASP.NET 授权与自定义角色提供程序一起使用，但无法在 Current Principal 上设置任何内容。我还尝试使用自定义 IAuthorizationPolicy，但出现了问题。这些问题涉及能够使用 WCFClient.exe 应用程序，当它发现（使用 mex 端点）时，它不会提供任何凭据，因此登录会失败。我最终决定 ServiceAuthorizationManager 是正确的方法，但我愿意接受其他建议。

在客户端上，我将收集凭据并将它们放入 WCF 代理类，如下所示。

当我开始走这条路时，我注意到我无法在我的管理器类的 CheckAccessCore 方法中获取用户名/密码。进一步调查表明，我真的应该在自定义 UserNamePasswordValidator 中进行身份验证。所以我创造了其中之一。问题是 validate 方法从未被调用过。

进一步调查表明，为了调用 validate 方法，我的 WCF 服务必须具有消息或传输级别的安全性。问题是我无法弄清楚如何在没有X.509证书的情况下获得消息或传输级别的安全性。该产品将进入数百台令人难以置信的锁定机器，并且无法安装证书。

有没有办法在不安装证书的情况下完成我的要求？

我目前正在研究通过 WSE 3.0 或 WCF 对 SOAP 消息进行加密和签名的主题。由于我没有参与涉及公共 Internet 的分布式应用程序开发，我发现我缺乏对 X.509 证书及其在 Windows 证书存储机制中的工作原理的了解。这与非对称密码学无关；它是关于 PKI 生态系统的。

因此，我想收集哪些文章或书籍对 Windows 的安全机制、如何正确使用和管理证书存储、CA 信任链以及 WSE 或 WCF 等 API 如何交互和使用证书进行了全面的解释. 建议？

我目前正在开发一些使用 XML 签名在两台机器之间安全传输文件的软件。我们使用来自我们自己的 CA 的 X.509 证书作为密钥。

CA（Windows 2003 服务器）提供多种类型的证书（电子邮件证书、服务器证书……）

我需要为 XML 签名生成哪一个？据我所知，签署证书需要“数字签名”扩展，但在填写证书请求时，它如何映射到 Windows Server 2003 提供的功能？

同样有用的是一些指向良好文档的指针，关于 x509 的谷歌搜索淹没在关于证书的其他主题的文章的白噪声中。

我将工作 WCF 服务从我的开发环境转移到 QA 环境，包括证书（根授权、根授权撤销列表、服务证书 - 包括其 PK）。

之后，我找到了私钥 usihg 'FindPrivateKey'，并为所有相关帐户授予了在文件系统级别访问私钥文件的完全权限。

我的应用程序因未处理的异常而崩溃：System.InvalidOperationException：无法加载配置中指定的 X.509 证书身份。

我很难过，我想我涵盖了所有内容，但显然不是......

我已经在 Windows 服务主机和控制台应用程序主机上进行了尝试。同样的问题。