我已经能够使用证书身份验证成功设置 IKEv2/IPSec VPN 服务器。但是,我对创建 P12 用户证书的正确方法存在一般性问题。 我一直在使用以下方法: ipsec pki --gen --outform pem > test.client.pem ipsec pki --pub --in test.client.pem | ipsec pki --issue --cacert cacerts/ca.cert.pem --cakey private/ca.pem --dn "C=UK, O=Test Organisation, CN=Test U...
上下文是 Windows 域。我的最终目标是让内部网站(网站服务器已加入域)在我从域工作站访问时显示为“受信任”。 目前(例如在 Firefox 或 Edge 中),网站显示“连接不安全”,但我已在域控制器的证书颁发机构中安装了网站的 .cer。我可以在 certsrv 的“已颁发证书”下看到它!(不得不审查大部分内容)但我可以保证:序列号、颁发国家/地区、颁发通用名称=主题名称通用名称、有效期前后都与下面这个屏幕和我在浏览器中看到的证书相匹配 最终,这个内部网站仍然显示为不安全。 ...
我有 Microsoft Server 2019 离线根 CA 我想更新根 CA 证书,但我不想立即使用它(因为我想在使用它来签署颁发 CA 证书之前将新的根 CA 证书推送到客户端的密钥库中)。 如果我在 Microsoft 证书颁发机构 GUI 工具(安装 CA 时安装的标准工具)上进行更新,证书将立即显示在“属性”部分下的配置中,并用于签署任何新证书。 问题是我可以使用 guilt in command 和类似工具从命令行(而不是 GUI)创建 https://docs.microsoft.com/en-us/powershell/module/pki...
我正在构建一个新的 PKI,我们正在向我们的颁发 CA 添加名称约束,其中包括所有常见的名称,如 DNS、IP、电子邮件、目录名称等。 这个项目可能要求使用智能卡,我正尝试将其纳入 CA 限制中。我在网上找到的极少数示例中,限制的格式与电子邮件地址相同。我看到的内容如下: permitted;email.1 = .example.com permitted;email.2 = @example.com permitted;otherName.1 = 1.3.6.1.4.1.311.20.2.3;UTF8:.example.com permit...
根据我的理解,为了符合 eIDAS 要求,签名者的数字证书包含在 PAdES 信封中。但是,当我使用 DocuSign 签署文档并使用 Acrobat Reader 打开它时,签名面板下会显示该文档已使用 DocuSign 的证书签署,如下图所示。 Q1. docusign 是否会在用户注册时为每个用户创建数字证书? Q2. docusign 是否使用该证书进行签名?如果是,为什么图像中没有显示信任链? Q3. 这样的文件是否符合 eIDAS 标准? ...
我已经生成了 ROOT CA,并且可以成功使用它进行基于客户端的身份验证: openssl req -x509 -sha256 -newkey rsa:4096 -subj "$SUBJECT" -days 3650 -keyout root_ca.key -out root_ca.crt openssl req -newkey rsa:4096 -nodes -sha256 -subj "$SUBJECT_CLIENT" -out client.csr -keyout client.key openssl x509 -req -sha256 -in c...
我已经使用 Putty 生成了私钥/公钥对。我有一个扩展名为 .pem 的私钥文件和一个扩展名为 .pub 的公钥文件。 现在我想从中创建一个证书并导入到 Windows“受信任的根证书颁发机构”。这样做的原因是我需要使用私钥连接到 SFTP,而我不想将私钥存储在磁盘上。 我尝试了下面显示的 OpenSSL 命令,但失败并出现错误 -“没有证书与私钥匹配” openssl pkcs12 -export -out MyCert.pfx -inkey private.pem -in public.key 如何解决?并获取包含这两个密钥的证书文件? ...
当我将 .p12 导入 Chrome 时,需要输入密码。输入密码后,密码将存储在 Chrome 的密钥存储中,我无需再次输入密码即可使用它。 Chrome 如何管理这一点?它会存储密码并在每次使用时应用它吗?还是它会提取证书和私钥,并将它们存储在某个地方? ...
我一直在学习 TLS 协议握手过程。据我所知,TLS 版本完全由客户端操作系统\浏览器支持决定。所选的密码套件由服务器决定(基于客户端可用的套件) 我正在尝试了解证书对协议的哪一部分有影响。我记得 Chrome 警告过我有关 sha1 证书的问题,并强迫我在服务器上续订证书(本质上是强迫我升级我的组织 CA 服务器) ...
我有一个 CertAndKey.pfx 文件和相应的 EncryptedKey.pem - 均由 CA 提供。以下命令生成 2 个不同的解密密钥文件 key1.pem 和 key2.pem: openssl rsa -输入加密密钥.pem -输出密钥1.pem openssl pkcs12 -in CertAndKey.pfx -out key2.pem -nodes (当然我已经编辑了 key2.pem,公共部分已被清除,仅保留了私钥部分。) 解密密钥的差异不仅在于“开始/结束 rsa 私钥”与“开始/结束私钥”行(key1 在此行中有“RSA”字...
因此,我们与合作伙伴一起开展这个项目,合作伙伴应该使用我们的一个 API。老板决定沟通应使用 TLS 相互认证。 在托管 API 的服务器上,我们很久以前就安装了由知名公共 CA 颁发的证书。 以我对 PKI 的理解(相当欠缺),我们不需要向我们的合作伙伴发送任何证书。在启动连接时,他们的系统(作为客户端)将简单地请求我们服务器的证书,并通过 CA 进行验证。如果他们还在客户端上安装了“公共证书”,则服务器应该能够通过 CA 进行验证,并且通信将相互认证。然后,客户端和服务器将就加密通道的通用方法达成一致。 我对使用证书进行相互认证的理解至少部分正确吗...
在 HTTPS 安全会话握手中,我理解服务器出示其公钥,客户端使用该公钥加密对称会话密钥并将其返回给服务器。 我的问题是,服务器何时生成其私钥/公钥对?我可以看到它为每个连接生成一个密钥对,并且我可以看到它只有一个密钥对,它会在每个连接中重复使用。为每个连接创建密钥对似乎更安全。这重要吗? ...
我尝试设置一些 PKI 结构,但当我从保险库请求中间 CSR 时,没有私钥被发回。地形我尝试在哪里实现它,也不是通过 API。 我试过: APIhttps://www.vaultproject.io/api/secret/pki/index.html#sample-payload-2 并获取 CSR: bash curl \ --header "X-Vault-Token: s.123456789abcdef" \ --request POST \ --data @example.json \ http://vaul...
我们希望存储 PDF 签名的数字证书虚拟的智能卡。PIN 输入的默认行为是,在会话期间仅输入一次 PIN。是否可以将其更改为“始终提示”,以便每次使用 VSC 的数字证书签署文档时都必须输入 PIN? 谢谢! ...
我使用 OpenSSL 设置了根 CA 和中间 CA,并开始颁发服务器证书。对于 MS RDP (RemoteApp),它需要 OCSP,因此我还使用 OpenSSL 设置了 OCSP 响应器。使用openssl ocsp命令进行测试工作正常,但使用 MS RDP 或甚至使用 Firefox 访问的带有已颁发证书的 Web 服务器 (IIS) 时,都会抱怨无法联系 CA。 我发布了所有内容这里,但过了一会儿我意识到 OpenSSL OCSP 手册是这么说的: OCSP 服务器仅用于测试和演示目的:它实际上不能用作完整的 OCSP 响应器。它仅包含一...