問題タブ [ca]

の SSL 証明書が必要*です。つまり、どのドメインに対してもです。アイデアは、カスタム CA 証明書で署名し、その CA 証明書をターゲット デバイスにインストールし、そのデバイスを使用して IP ベースのアドレス (例: https://192.168.1.123) に接続することです。利用可能な DNS はなく、アドレスは毎回異なる可能性があります。ターゲット デバイスのブラウザは警告なしで動作するはずですが、MITM 攻撃の可能性を防ぐために、提示されたワイルドカード証明書が既知の CA (証明書がデバイスにインストールされたカスタム CA) によって署名されている場合に限ります。

ブラウザはそのようなワイルドカード証明書を理解できますか? ブラウザを使用して、警告なしに任意の IP ベースの SSL サーバーに接続し、同時に MITM 保護を使用できるようにする他の回避策はありますか (CA のクライアント リストをカスタマイズできると仮定して)。

サーバーがCAによって発行された特定の証明書を持っている場合にのみSSLハンドシェイクを実行する必要があるAndroidアプリケーションを開発しています(例: GoDaddy)。Android 開発者の Web サイトのドキュメントを参照しましたが、Android によって信頼されていない自己署名証明書または証明書の検証についてのみ記載されています。私の場合、クライアント証明書を取得してキーストアに追加する必要があります。 Web サービス要求。どんな助けでも大歓迎です。

デフォルトのパブリック インターフェイスとしてのみ SSL を使用するバックエンド サーバーがあります。このサーバーは、証明書、キー、および ca ファイルを使用して 443 でリッスンし、ssl 検証クライアントが true に設定されています。

クライアント側では、クライアント証明書、キー、および 2 つの CA ファイル (中間 CA、ルート CA) を 1 つの ca.pem ファイルにまとめた ca ファイルがあります。バックエンド サーバーで curl リクエストを実行すると、正常に動作します。また、gnutls-serv と openssl s_server を使用してサーバー/クライアントの証明書とキーをテストし、すべてが有効であることを確認しました。

しかし、Apigee でキーストア (クライアント証明書とキー ファイル [pem 形式]) とトラストストア (ca.pem ファイル) を作成すると、エラーが発生します: - target.name fsbca-test
- Properties - Expression ("fsbca-test " equals target.name)
- ExpressionResult true
- Tree TARGET_fsbca-test
- エラー サービスが一時的に利用できません - error.cause 一般的な SSLEngine の問題 - error.cause.cause 一般的な SSLEngine の問題 - error.class com.apigee.messaging.adaptors.http .HttpAdaptorException - 状態 TARGET_REQ_FLOW - タイプ ErrorPoint

バックエンドで SSL 検証クライアントを false に設定すると、リクエストは Apigee によって正しく迂回され、レスポンスが返されます。

ターゲット エンドポイント プロパティで IgnoreValidationErrors を true に設定すると、リクエストはバックエンド サーバーに転送されますが、サーバーのログにエラーが表示されます。

私がやっていることで何が間違っている可能性があるかについてのアイデアはありますか?

追加トラック: 2 つの証明書で構成される CA ファイルを使用する Apigee 側の問題である可能性があります (.pem で見つかった末尾の証明書を無視する場合があります)。pkcs12 と jks をテストしたいが、それらを Apigee にアップロードできなかった場合 (API ドキュメント ページでは、.pem、JAR、および証明書アクションのみが説明されています)。私は pkcs12 キーストアと jks trustore を備えた小さな Java クライアントを作成しましたが、ローカル ワークステーションから問題なく動作しました。

私を助けることができる情報を事前にありがとう。

よろしく

金

内部 Windows Server 2012 エンタープライズ ルート CA といくつかの CDP があります。Windows Server 2012 で実行されている .NET クライアント アプリケーションが、プロセスの一部として使用する CRL および Delta CRL ファイルの有効期限が切れているため、証明書チェーンを構築するときに失敗しないようにしようとしています。

これまでのところ、可能な解決策は、重複する CRL を発行することであり、Base CRL の公開を妨げている障害がそれらに応じてアプリを強制終了するまでの時間を延長することです (どのように正確にそれが行われるかについての詳細な/非理論的な説明をまだ探しています)。完了しました。例があれば教えてください）

もう 1 つの可能な解決策 (または重複する CA との組み合わせ) は、CRL 発行間隔を長くし (たとえば 2 週間)、Delta CRL 間隔を短くする (たとえば 1 時間) ことです。ここでの質問は、次のようなシナリオで何が起こるかです:

• クライアントが Base CRL と Delta CRL をキャッシュしました
• 何らかの理由で、Delta CRL を CDP に公開できない場合があります。たとえば、6 時間 - Delta CRL の有効期限を過ぎていますが、(ほとんどの場合) Base CRL の有効期限が切れる前です。

1 時間ほど後 (Delta CRL が 1 時間ごとに発行される場合)、最後に正常に発行された Delta CRL は期限切れになるため、(しばらくの間) 有効なものは Base CRL だけになります。Base CRL をキャッシュしたので、クライアントは処理を続行しますか? それとも失敗しますか？私が見つけた最も近い説明は、この古い記事からのものです。「有効なベース CRL が存在し、利用可能であるが、利用できるデルタまたは時間有効なデルタがない場合、証明書チェーン エンジンは利用可能なデルタ CRL がないという警告を返します」。クライアントは例外をスローせずに処理を続行する必要があるようですが、それは理にかなっていますが、これは非常に古い記事であり、より最新のものを使用する方が快適だと思います... :)

要するに、上記の記事は最新のシステムにも当てはまりますか? また、Windows Server 2012 Enterprise CA で重複する CRL 公開を設定する方法に関する詳細情報がある場合は、共有してください... :)

ありがとう！

最近まで、さまざまなサーバーやドメインで xbap アプリケーションを公開するための独自の証明書を作成していました。ここで、信頼できる CA からの証明書を使用するように変更する必要があります。

さかのぼって Java をいじりましたが、ssl とコード署名の両方の証明書がドメインにバインドされていたことを思い出してください。

IE でドメイン foo.com を foobar.org に変更した場合、証明書とパッケージの名前空間を com.foo.* から org.foobar.* に変更する必要がありました。

いずれかの方法; このルールは xbap アプリケーション (名前空間を除く) にも適用されますか? 完全信頼のコード署名用にドメインごとに証明書が必要ですか? それとも、ドメインに依存していませんか?

foo.com にデプロイされた xbap アプリケーションには、エンド ユーザーに手間をかけずに完全な信頼を与えるために、foobar.org にデプロイされた証明書とは別の証明書が必要ですか?

Brgds, スティアン

SSL 接続用に CA を設定する方法を決定しようとして、.NET Framework 2.0 を使用したアプリケーションでのサポート証明書を読んでいます。

Validating Certificatesの下の記事の中ほどで、MSDN はいくつかのコードを提示します。

じゃあ後で：

本当に明白な何かが欠けているように感じます。たとえば、コールバックは必要ありません。「SSL 接続を確立してください。信頼できる CA は 1 つだけです」と言いたいだけです。しかし、上記のコードではそれがわかりません。

X509ChainaddCA またはルート オブ トラストを追加する方法がないようです。コールバックの前に CA を設定するべきではありませんか? しかし、上記のコードではそれがわかりません。

Java では、使用する特定の CA をロードした後にTrustManager(またはTrustManagerFactory) で実行されます (例については、HTTPS 要求のためにファイルシステムで PEM エンコードされた CA 証明書を直接使用しますか? を参照してください)。

質問: .Net または C# で SSL 接続に使用する CA を設定するにはどうすればよいですか?

私はイントラネット用のプライベート認証局を設定する方法を研究しており、私が読んだツールの 1 つに tinyca があります。Google とウィキペディアによると、公式 Web サイトはhttp://www.sm-zone.net/です。このサイトは完成したようですが、私だけではありません ( http://downforeveryoneorjustme.com/www.sm-zone.net )。サイトは最近移動しましたか？それとも、プロジェクトで何か他のことが起こっていますか?

人々が代わりに推奨する、プライベート CA を作成するための他の簡単なツールはありますか?

ありがとう。