问题标签 [x509certificate]

我继承了传统的三层 Web 应用程序，其中 ASP.net 2.0 用于 UI，.Net Web 服务 (ASMX) 在中间层，SQL Server 2005 用于 DB。这是目前唯一的用户是公司员工的 Intranet 应用程序。当前，该应用程序使用 Active Directory (AD) 身份验证。

在登录屏幕上，用户会看到用户名/密码对话框。中间层对 AD 进行简单调用以检查用户名/密码。如果没问题，则生成一个 sessionId guid 并将其发送回 UI。然后，此 sessionId 会在会话内 UI 的每个后续调用中传递。在处理请求之前，中间层中的所有方法首先根据 SQL Server 中的简单会话表检查 sessionID 的有效性。

我现在需要使应用程序的 Web 服务中间层可用于公共 Internet 可用的新 UI。我不需要担心身份验证，因为这将由新 UI 管理。但是，我不想让 Web 服务在没有任何安全性的情况下完全打开。我只是想确保调用服务的系统有权这样做。我不想因为必须维护当前使用的 sessionId 而给新 UI 带来负担。

对从新 UI 调用时保护服务的最佳方式有何看法？我想我可以使用 x509 证书，但我之前已经这样做过，所以我不知道有任何缺点（性能？）或如何进行实施。

新 UI 是使用 .Net 3.5 开发的。我们可以在中间层安装 .Net 3.5，所以我想我们可以从使用 WCF 中受益？

我希望如果我有一个 X509 证书作为内存中的对象，将其保存为 pem 文件，然后将其重新加载，我最终会得到与我开始时相同的证书。然而，情况似乎并非如此。我们将原始证书称为 A，从 pem 文件加载的证书 BAas_text() 与 B.as_text() 相同，但 A.as_pem() 与 B.as_pem() 不同。至少可以说，我对此感到困惑。作为旁注，如果 A 已由另一个实体 C 签名，则 A 将根据 C 的证书进行验证，但 B 不会。

我已经整理了一个小示例程序来演示我所看到的。当我运行它时，会引发第二个 RuntimeError。

谢谢，
布洛克

我正在尝试将 find 命令的输出发送到 OpenSSL，以了解证书何时过期。

这会找到文件

这会生成我想要的证书信息

我可以合并这两个吗？

谢谢你的帮助。

我的组件负责从服务器下载文件。作为文件验证的一部分，我使用 CAPICOM（SignedCode 对象）来验证证书是否包含特定字符串并调用 SignedCode 对象的 Validate 方法。如果文件包含名称中没有请求字符串的证书，则会提示用户是否信任该文件。

由于 CAPICOM 将被 Microsoft 弃用，我需要使用 .NET 库来实现这些逻辑。如何使用 .NET 库获得相同的功能？网上有没有例子？

谢谢扎基

我想使用 C/CPP 从 PKCS#7 签名代码图像中提取签名者信息。我想知道openssl API。我能够使用充气城堡 (CMSSignedData) 提取。

请让我知道我可以在 C/CPP 中使用的 openssl API 来提取每个签名者和签名者信息并验证签名者。

有没有像 X509_LOOKUP_buffer() 而不是 X509_LOOKUP_file() 的 API ？？？

在此先感谢 opensid

如果我使用 X509Certificate.CreateFromSignedFile 来获取用于签署文件的证书，我是否可以确认它是由受信任的机构签署的——而不仅仅是某种“自签名”证书？

我想从证书中提取“主题”（公司）名称，以确保我正在使用的非托管 DLL 不受干扰（我无法对其进行校验和，因为它经常独立更新）并且是官方的。

但是，我担心伪造的 DLL 可能会使用“自签名”证书进行签名并返回原始公司的名称。所以，我想确保证书是由 Versign、Thwate 或类似机构颁发的（任何安装在机器上证书存储库上的东西都可以）。

使用 X509Certificate.CreateFromSignedFile 时，我该怎么做？还是它会自动执行此操作（即“自签名”证书将失败）？

我是密码学的新手，我有点卡住了：

我正在尝试（从我的开发环境）使用 HTTPS 连接到 Web 服务。Web 服务需要客户端证书 - 我认为我已正确安装。

他们为我提供了一个 .PFX 文件。在 Windows 7 中，我双击该文件以将其安装到我的当前用户 - 个人证书存储中。

然后，我从商店的证书条目中导出了一个 X509 Base-64 编码的 .cer 文件。它没有与之关联的私钥。

然后，在我的应用程序中，我尝试像这样连接到服务：

连接时出现 502 连接失败。

这种方法有什么问题吗？我们的生产环境似乎使用类似的配置，但它运行的是 Windows Server 2003。

谢谢！

我正在使用 aSslServerSocket和客户端证书，并希望从客户端的 SubjectDN 中提取 CN X509Certificate。

目前我打电话cert.getSubjectX500Principal().getName()，但这当然给了我客户的总格式化DN。出于某种原因，我只是对CN=theclientDN 的部分感兴趣。有没有办法在不自己解析字符串的情况下提取这部分 DN？

如何使用 Java 执行 HTTP 请求并使用 X.509 证书对其进行签名？

我通常用 C# 编程。现在，我想做的是类似于以下内容，仅在 Java 中：

在 Java 中，我创建了一个java.security.cert.X509Certificate实例，但我不知道如何将它与 HTTP 请求相关联。我可以使用 java.net.URL 实例创建 HTTP 请求，但我似乎无法将我的证书与该实例相关联（而且我不确定使用 java.net.URL 是否合适）。

我想验证用户可能用来连接到我的服务的每个 iPhone 应用程序实例的身份。为此，我希望下载的每个 iPhone 应用程序实例都包含我生成的证书，甚至是我生成的某种 UUID。App Store 是否支持在应用程序包中包含唯一文件？

或者，是否必须仅在安装应用程序后下载此类标识符？如果是这种情况，是否有一种机制可以确保下载的应用程序是可信的（来自我），而不是来自模仿者？