我需要创建一个按照 RFC 6187 编码为 X.509 的 SSH 证书,用于安全 Shell 身份验证的 X.509v3 证书. 根据ssh-keygen (1)手册页通过一些在线教程,我现在可以创建 CA、签署用户身份并将其保存为 OpenSSH 证书格式。 以下是说明: 创建 CA 密钥 ssh-keygen -b 4096 -t rsa -f example-com-ca -C "CA key for example.com" 创建用户密钥 ssh-keygen -b 2048 -t rsa -f id_rsa -C [email p...
我想从 CSR 创建 CA 证书。但是该过程失败且没有错误消息,所以我不知道在哪里可以找到解决方案。 [user@computer myca]$ openssl ca -config openssl.cnf -out user1cert.pem -in user1req.pem Using configuration from openssl.cnf [user@computer myca]$ 我的配置文件如下所示: [ca] default_ca = CA_default [CA_default] dir = . # where everyth...
我想将 Procuration 扩展添加到我的证书中。因此我使用工具 XCA,它使用 OpenSSL conf 来创建证书。 这是 ASN1 结构: ProcurationSyntax ::= SEQUENCE { country [1] EXPLICIT PrintableString OPTIONAL typeOfSubstitution[2] EXPLICIT DirectoryString OPTIONAL signingFor [3] EXPLICIT SigningFor } SigningFor ::= CHOIC...
问题: 当我在 foreach 之外单独导入证书时,它会根据需要打印指纹;但是,我需要遍历文件共享上的 .cer 文件列表,以便我可以针对本地计算机当前安装的证书运行它们。当我尝试通过 foreach 运行证书列表时,它失败了。 工作代码(单独) <# Notice the explicite .cer file #> $certGet = Get-ChildItem -Path \\fileserver\...\Certs\cert.cer $cert = New-Object System.Security.Cryptography....
我正在尝试连接到启用了相互 TLS 身份验证设置的第三方 API。因此,我应该将客户端证书安装在密钥存储中,并在 TLS 握手过程中发送它。我现在已经完成了认证安装,服务器证书请求如下 我的证书属性是这样的 当我尝试连接时,我在 Schannel 上收到类似这样的错误 远程服务器已请求 TLS 客户端身份验证,但找不到合适的客户端证书。将尝试匿名连接。此 TLS 连接请求可能会成功或失败,具体取决于服务器的策略设置。 所以我的猜测是请求和可用的证书不匹配。有人能指出证书上的哪个属性与请求不匹配吗? CertUtility 提供...
我正在尝试连接到已启用相互 TLS 身份验证设置的第三方 API。因此,我应该将客户端证书安装在密钥存储中,并在 TLS 握手过程中发送它。 对于这个过程我现在正在使用commodo positive SSL作为客户端证书。当我进行 TLS 调用时,即使服务器正在请求证书,客户端也不会发送证书。当我检查 SChannel 日志时,我可以看到这样的警告 远程服务器已请求 TLS 客户端身份验证,但找不到合适的客户端证书。将尝试匿名连接。此 TLS 连接请求可能会成功或失败,具体取决于服务器的策略设置。 所以我的疑问是,我是否使用了正确类型的 X5...
是否可以提取创建 CSR 期间使用的值(例如使用 openssl)? 换句话说,公钥(.crt 文件)是否包含以下数据: C=?、ST=?、L=?、O=?、OU=?、CN=?、name=?、emailAddress=? ...
我正在使用 PowerShell (4.0) 脚本颁发 X.509 证书。除了其他行之外,以下是与此问题相关的行: certreq -new "$INFPath" "$CSRPath" certreq -submit "$CSRPath" "$CERPath" 当我运行脚本时,每个证书都会出现一个“选择证书颁发机构”对话框,我需要手动单击它: 有没有办法跳过这个对话框?我找不到该命令的任何相关参数,也没有找到可能具有与该命令类似的功能的 CmndLets。 ...
我想购买 X.509 证书用于用户身份验证,而不是 SSL。证书中应该包含我的电子邮件地址,并且应该在 KeyUsage 扩展中设置 2 位: nonRepudiation digitalSignature 网上有数百个地方出售 SSL 证书。有人能推荐一下哪里可以买到符合上述要求的证书吗? 谢谢。 ...
我不清楚第二条命令是做什么的 openssl genrsa -des3 -passout pass:123 -out private/server.key 2048 openssl rsa -passin pass:123 -in private/server.key -out private/server.key 第一个生成使用 des3 加密的 RSA 密钥,密码为 123。第二个呢?它会删除密码吗? 谢谢你, ...
我对 OpenSSL 还不太熟悉,我正在尝试使用 OpenSSL 指定一个有效期仅为一小时的证书。我已经使用openssl ca和-startdate选项成功完成了此操作-enddate,但我想知道是否可以在配置文件中设置有效性以供使用openssl req?如果可以,您能举个例子吗? 我尝试使用类似的语法: privateKeyUsagePeriod = ASN1:SEQUENCE:privateKeyUsagePeriod [privateKeyUsagePeriod] notBefore = IMPLICIT:0,GENERALIZEDTIME...
我实现了一个应用程序,它在用户的计算机上安装 X509 客户端证书。它们应该用于登录 SSO 系统。它们安装在当前用户和本地计算机的上下文中。 问题是,当用户尝试登录并且服务器要求提供客户端证书时,所有浏览器都只提示当前用户存储中的证书,即使以管理员身份启动也是如此。如下所示: 浏览器会忽略本地计算机存储中的证书。浏览器有什么办法可以考虑它们吗?否则,如果在这种情况下不使用个人证书,那么在本地计算机环境中,个人证书的用途是什么? ...
我可以使用查看证书 openssl s_client -showcerts -connect www.masaood.com:443 </dev/null 我可以查看 RSA 的公钥,但找不到任何有关 DHE 的信息: openssl s_client -showcerts -connect www.masaood.com:443 </dev/null | openssl x509 -pubkey -noout 如何使用 OpenSSL 查看证书中 DHE 协议的素数和基数 g,或者任何 DHE 共享密钥交换的信息? ...
当 libreSwan 仅配置为使用 PSK 并且只有少数站点到站点隧道时,它是否需要 X509 证书基础设施? 我阅读了 RedHat 安装文档,他们没有在其操作指南中创建 CA。 ...