问题标签 [x509]

有没有办法以编程方式编辑为 x.509 证书启用的用途？

此功能可通过证书 mmc 管理单元（下面的超链接）获得，但我需要通过代码执行操作。最好是 C#。

修改证书的属性

我是 OpenSSL 世界的新手，并试图在我的基于 PHP 的应用程序上实现 SSO。我已经设置了 OpenSSL 库和 PHP openssl 扩展。

现在，我需要知道的是，我需要采取哪些步骤以及在哪里可以找到相关参考。我的要求是

1- 将向用户提供证书，浏览器将提交该证书以使用 SSL 进行客户端身份验证。2-用户不需要经过漫长的登录认证过程，证书将与服务器握手。3-证书将是自签名的，或者我的公司将成为每个证书的 CA。

请指导我如何在基于 PHP 的应用程序上设置所有这些东西，并遵循所有步骤。

我需要在两个对等方之间建立加密连接，并且我需要对两者进行身份验证。两个对等点已经共享另一个对等点公钥的指纹（SHA256 哈希）。我没有使用 X509 或 OpenPGP 密钥/证书，因为它们对于我的需要来说太大而笨重，而且它们不适合安全模型。

我正在尝试通过滥用其 x509 模型与 M2Crypto （不错的库）建立连接：

• 给定 rsa 私钥，创建一个自签名的几乎为空的证书。

• 连接到提供我的证书的其他对等方

• 验证其他对等证书公钥指纹；

下面的代码安全吗？这是正确的吗？有没有办法做得更好（也许与其他图书馆）？我怀疑 OpenSSL 实际上没有使用证书公钥进行身份验证，因为我没有要求对证书进行任何验证。

我只需要使用由 der-encoded rsa 密钥认证的加密流，欢迎任何适用于 python 的免费软件解决方案。我更喜欢 M2Crypto，因为我更了解它，并且已经有一些代码在同一个项目中使用它。

这是我的代码（只是客户端对等，服务器应该类似）：

提前感谢大家的回答和建议。

我们是在 WCF 服务上标准化的 .Net 商店。我们正在开发一个 iPhone 应用程序，该应用程序需要进行安全的 Web 服务调用以获取应用程序的数据。为确保安全通信，我们在 Web 服务器上启用了 SSL。但这并不能确保该服务只能由授权的应用程序使用。我们已将我们的服务配置为支持 x509 证书身份验证。甚至可以从 iPhone 应用程序调用具有证书身份验证的安全 WCF 服务吗？

我花了很多时间在互联网上搜索示例，但无济于事。我已经能够成功调用不安全的 WCF 服务而没有任何问题。我还对 WS-Security 和 WS-Trust 通信标准进行了大量研究。我相信我理解这应该如何工作。我只是无法将 iPhone 框架中的步骤/对象拼凑在一起，我需要完成这项工作。

任何关于该主题的想法和想法将不胜感激。

此外，对以下任何一项的任何想法：

1. 如何最好地使用 iPhone 应用程序部署 P12 证书文件
2. 如何最好地保护应用程序中 P12 文件的密码
3. 使用应用程序部署 P12 文件是最佳实践吗
4. iPhone 框架内是否有支持这种安全通信的设施？如果不是，那将是什么替代建议。

我想为客户制作一个注册页面，它只包含一个按钮注册和取消注册。当用户单击这两个按钮中的任何一个时，系统会提示他从他的计算机中选择一个客户端证书。我还想从所选证书中提取电子邮件地址。

是否有任何方式以声明方式将 IIS 7 配置为仅需要网站上 1 个 .aspx 页面的客户端证书。然后我可以从 Request.ClientCertificate 中提取证书，对吗？

我正在尝试签署一些 X509 证书。我的根私钥是 ECDSA secp384r1。我正在使用充气城堡。似乎发生的情况是，在生成证书签名时，使用的 Signature 类无法理解我的 ECDSA 密钥。

生成的代码如下：

输出是：

通过阅读 bouncycastle 源代码，我跟踪了这​​个问题并使用以下代码片段重现它：

产生输出：

问题是我在这一点上完全迷失了。我不知道如何让证书生成器给我一个签名证书。有谁知道我做错了什么？

我在 Windows Server 2003 上有 ASP.NET Web 服务。我有自己的证书颁发机构。我在 Web 服务中使用自己的客户端证书进行身份验证。我制作客户证书。我打电话给网络服务，一切都很好。然后我在证书颁发机构吊销此证书。证书在吊销证书中。我用这个证书调用 web 服务，但是 web 服务验证这个证书是好的，但是这个证书在被撤销之间。我不知道为什么？有人帮我吗？

我在验证证书上使用此方法。

X509Certificate2.Verify 方法

我没有得到任何异常，证书在被吊销之间，但网络服务验证此证书是好的。

致克劳斯比斯科夫：谢谢。所以我试试这个：

但是被吊销的证书仍然验证为好

如果我使用 openssl 生成 p12 证书：

即使我要求openssl不要导出私钥，为什么windows在安装证书时仍然需要私钥密码。

我想我错过了一些东西。

通过bouncycastle wiki 页面，我能够了解如何创建 X.509 根证书和认证请求，但我不太了解之后如何进行概念和编程。

让我们假设甲方提出了一个证书请求并从 CA 获得了他的客户端证书。B方如何验证A的证书？A需要什么样的证书？根证书？“普通”客户端证书？

如果我们假设 A 已经成功地将他的 DER 或 PEM 格式的证书发送给 B，那么验证在编程级别上是如何工作的？

任何帮助深表感谢。

最好的问候，罗伯

对于基于 X.509 证书的身份验证，OpenSSL 中是否有 SSL_set_connect_state()/SSL_set_accept_state() 的替代方法？

问题是在我的应用程序中，客户端和服务器不使用套接字进行通信，并且无法在它们之间建立直接连接。因此，我想要从 OpenSSL 中“公开”中间 SSL 上下文建立消息，然后我会将这些消息传达给另一端的一方。

谢谢你的帮助！