我已经能够使用证书身份验证成功设置 IKEv2/IPSec VPN 服务器。但是,我对创建 P12 用户证书的正确方法存在一般性问题。 我一直在使用以下方法: ipsec pki --gen --outform pem > test.client.pem ipsec pki --pub --in test.client.pem | ipsec pki --issue --cacert cacerts/ca.cert.pem --cakey private/ca.pem --dn "C=UK, O=Test Organisation, CN=Test U...
一些网站(例如, https://www.sede.fnmt.gob.es/certificados/persona-fisica/verificar-estado/solicitar-verificacion) 要求选择本地证书。一旦您选择了其中一个证书,Chrome 就会“保存”该选项,当您重新进入页面时,将使用最后选择的证书。 我想重置选择并让 Chrome 在进入页面时再次询问。 在 Firefox 中,设置 / 隐私和安全 / 查看证书 / 证书决定中有一个选项,但我在 Chrome 中找不到类似的东西。我也没有找到任何可以更改它的配置文件或数据库...
业务合作伙伴需要客户端证书才能访问他们的一些 API。 我使用以下命令通过 OpenSSL 生成了证书: openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -sha256 -days 365 业务合作伙伴表示,证书的“基本约束”部分包含一些内容,证书必须完全不受基本约束。他们还向我展示了一张有效证书的屏幕截图,该证书没有任何基本约束。 我尝试添加参数-addext "basicConstraints=CA:FALSE,pathlen:0",但这会生成一个包含以下两个部分的...
我计划为我的个人电脑(Windows 10,不是Windows Server,因为它只是一个工作站)。 计划如下: 自然地将 RDP 和 LAN 唤醒端口转发到我的机器。 我把两个证书放在一个 USB 密钥上,随身携带,以便随时随地远程访问我的工作站:通常主机证书通常用于 RDP 确认服务器真实性,以及客户端证书(通俗地说,就是客户端必须发送到服务器以确认其真实性的文件)作为第二层安全保护。 每当我想从远程计算机连接到我的计算机时,我都会插入 USB 密钥,执行局域网唤醒来启动我的机器(我已经弄清楚了这部分),打开 RDP 客户端并通过公共端口连接,首先使...
我设置了一个简单的 Apache 2 服务器并启用了安全 SSL 连接。我使用自己的自签名根 CA 证书创建子 CA,并使用该证书创建安装在 Apache 服务器上的服务器证书。 现在我想启用客户端身份验证,这样只有用户提供有效证书时才能访问网站。因此,我在服务器上启用了 SSLVerify 选项,现在没有用户证书就无法访问 HTTPS 连接。 我使用我的 Sub-CA 证书创建了一个用户证书。我在 ubuntu VM 上使用 openssl,因此我将文件复制到我的本机 Windows 10,并尝试在本机平台上的 Firefox 浏览器中安装用户证书。但是,...
我设置了一个使用安全 HTTPS 连接的简单 Apache 2 服务器。我创建了自己的自签名根 CA 证书和子 CA 证书来创建服务器证书,并将其安装在服务器上,一切正常。 我还想启用客户端身份验证,以便用户只有拥有有效的用户证书才能访问网站。所以我还启用了 SSLVerifyClient 要求选项。 我使用 Sub-CA 创建了客户端证书。我将证书连同用于创建证书的私钥一起以 p12 格式导出,并将其安装在 Firefox 中。但是,无法访问该网站。我收到此错误: 我进行了一些故障排除,发现某处说可能是因为 Firefox 似乎根本没有发送已安装的证书?...
我已经设置了一个带有几个自托管应用程序的网络服务器,供我个人使用。为了确保我是唯一可以连接到我的服务器的人,我已经在我的服务器上生成了客户端身份验证证书并将其传输到我的本地计算机。在那里,我将下载的 .pfx 证书安装到 Firefox 和 Chrome 中。在服务器端,我使用 来配置 nginx ssl_verify_client on;。 对于纯基于浏览器的 Web 应用程序来说,这种方法效果很好。但是我的一些应用程序有桌面客户端,它们没有添加证书的方法。 有没有办法在 Linux 系统范围内安装客户端身份验证证书? 我在想也许可以通过某种方式将客户端证...
如果我以普通用户身份登录,如何为其他用户(在同一台机器上)下载/注册用户证书?可以使用 runas 命令完成此操作,但无法准确弄清楚。 ...
我正在构建一个需要访问第三方 Web 服务的应用程序,我拥有该服务的客户端证书。如果我从自己的帐户运行该应用程序,则此方法可行,但最终该应用程序将需要作为服务运行。 我有两个问题: 我认为客户端证书应该安装在“个人”存储中。对吗?(我也尝试在本地计算机的受信任根认证部分安装证书,但似乎被忽略了) 如何在服务帐户的个人存储中安装客户端证书?或者是否可以为所有用户安装客户端证书? 重要提示:这是一个在 Windows 上运行的 .NET Core 应用程序 ...
编辑:2020/04/27 我们得出的结论是,证书停止工作,因为它在旧系统上也不再起作用。因此,我们继续研究可能永远无法使用的“损坏”证书。 案件结案 原始帖子: 我遇到了这个烦人的问题,之前其他多个用户用同样的方法都成功了,但突然这个用户就不行了。简短的背景故事。我们将人们从 Windows 7 迁移到 Windows 10。他们在虚拟浮动机器上工作,现在有了一台笔记本电脑来运行 Windows 10。 以下是我的方法。 我转到 IE -> Internet 选项 -> 内容 -> 证书。 尽管我尝试为他逐个证书进行操作,但...
所以我有一个即将过期的自签名 rootCA,所以我创建了一个新的 csr,其中包含有关证书和公司的更新信息,但我仍然使用相同的私钥。 我创建了新的 rootCA 并将其安装在我的 Windows 机器上,但由于某种原因,由上一个/过期证书签名的所有其他子证书都未经过新 rootCA 的验证。有什么办法可以解决这个问题吗?我不想为了实现这个目的而重新创建所有其他子证书,一定有办法吧? 非常感谢任何帮助或指导! ...
如果我从 GoDaddy 或受信任的证书颁发机构为我的网站购买证书。假设是 example.com,我想颁发客户端证书,以便验证连接到我的网站的客户端的证书。我可以使用我购买的证书颁发客户端证书吗?这样,客户端就可以始终根据受信任的证书颁发机构验证他们的证书,同时我确保只有我选择的这些客户端才能连接到我的网站? ...
我有一个 F5 负载平衡 API,它调用外部 API,其中一些需要相互(“双向”/客户端)SSL。 几个月来一切运行正常,但有时请求(对外部 API)会失败,并出现“SecureChannelFailure:请求被中止:无法创建 SSL/TLS 安全通道”。 有趣的是,对不需要相互 SSL 的 API 发出的请求也会报告相同的错误。 IIS 应用程序池回收(针对我的 API)解决了该问题。 在研究造成这种情况的可能原因时,我发现有人含糊地提到这种间歇性问题可能是由 F5 引起的......但不幸的是,没有提到更多信息。 ...
问题 - 在浏览器中加载基于小程序的应用程序时,会出现 Java 安全信息弹出窗口。 当我检查时“始终信任发布者的内容”然后单击运行,应用程序运行并且证书被添加到 java 用户信任的证书列表中。 当我下次运行该应用程序时,不会出现“安全信息”弹出窗口。 我的问题是 - 如何避免其他用户登录同一台计算机时弹出安全信息? 它是一个由多个用户使用的共享桌面,每次新用户登录并使用基于小程序的应用程序时,都会出现安全信息弹出窗口。 如何将证书添加到集中位置(可能是系统信任库?)而不是用户配置文件,以便每当新用户登录计算机并使用该应用程序时,都不...
假设一个网站强制实施 SSL 客户端身份验证,并且客户端计算机(运行 Windows)配备了服务器为此目的接受的证书。证书位于机器证书存储区。 在什么条件下,用户可以启动浏览器(IE 或任何依赖 Windows 证书存储并作为用户进程运行的浏览器)并使用机器证书向网站进行身份验证?任何用户都可以访问证书吗?还是他们需要是管理员,或者可能拥有特定权限(以及哪些权限)? ...