問題タブ [ca]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

624 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
1839 参照

ssl - SNIを使用したCA証明書?

1台のサーバーで複数のSSL証明書を使用したい。以前は、それを指すIPが多い場合にのみ可能でした。クライアント側の実際のブラウザでのみサポートされていますが、それを実現できるSNIについて読みました。私は常にSNIの前提条件を読み、少なくともApacheバージョン2.2.12とOpenSSL0.9.8fが必要であることを確認しました。

では、この手法でThawte、Verisign、またはその他の認証局からの証明書を使用できますか?これらの証明書はOpenSSLではありませんか?

0 投票する
1 に答える
278 参照

windows - Windows でのアプリケーション固有の X509 証明書?

社内に内部 CA を確立しようとしています。これを行う主な目的の 1 つは、クライアントとサーバー アプリケーション (両方とも Windows OS ベース) 間の TLS 接続を確立するために使用する証明書をお客様に発行することです。私は現在、次の制約の下で作業しています。

  • サーバー証明書は、サーバーの顧客ごとに発行され、サーバー アプリケーションがそれを使用して TLS セッションを確立できるように、顧客のサーバーにインストールする必要があります。
  • CA の信頼されたルート証明書はクライアント アプリケーションにパッケージ化され、クライアント アプリケーションがサーバー証明書を検証するために使用できるように、アプリケーションと共にサイレント インストールする必要があります。(インストーラーは、クライアント マシンでの管理アクセス権を持っていると想定されます。)
  • 信頼されたルート証明書は、クライアント マシン上のクライアント アプリケーションのすべてのユーザーが利用できる必要があり、ユーザーがアクセスするためにパスワードを要求する必要はありません。
  • 信頼されたルート証明書をローカル マシン証明書ストアの「信頼されたルート証明機関」セクションに配置することをためらっています。これは、単純にアプリケーションを認証するよりも広い範囲で使用できるためです (たとえば、IE の Web ページを認証するため)。 ) ルート証明書が危険にさらされた場合でも、私たち自身のアプリケーションへの損害を制限したいと考えています。

これらの制約が満たされるように、サーバー証明書と信頼されたルート証明書をサーバー マシンとクライアント マシン (どちらも Windows OS を使用) のどこにどのようにインストールすればよいですか?

0 投票する
0 に答える
2992 参照

certificate - SSL JNDI Active Directory: 有効な証明書パスが見つかりません

他のいくつかのスタックオーバーフローの投稿を読み、数日間グーグルで検索した後、問題の解決策が見つかりません。Windows ドメインにルート CA をセットアップするために、こちらの手順に従いました: http://confluence.atlassian.com/display/CROWD/Configuring+an+SSL+Certificate+for+Microsoft+Active+Directory

次に、指示に従ってサーバー証明書をエクスポートしました。次に、そこに表示されるコマンドを使用して、Windowsボックスにインポートしました。次に、アプリケーションを実行しようとすると、次のようになります。

これは、CA のセットアップで何かが壊れていることを意味します。JDNIコードがSSLを使用するように設定されていなくても、可能な範囲で問題なく動作します。コードを使用して SSL をコメントアウトすると、正常に機能します。

問題を見つける方法がわかりません。助けていただければ幸いです...ありがとう!

0 投票する
4 に答える
85646 参照

java - SSLハンドシェイク中にJavaがクライアント証明書を送信しないのはなぜですか?

安全な Web サービスに接続しようとしています。

キーストアとトラストストアが正しく設定されていても、ハンドシェイクに失敗しました。

数日間の欲求不満、際限のないグーグル検索、および周囲の人への質問の後、唯一の問題は、ハンドシェイク中にJavaがクライアント証明書をサーバーに送信しないことを選択したことであることがわかりました。

具体的には:

  1. サーバーがクライアント証明書 (CN=RootCA) を要求しました - つまり、「ルート CA によって署名された証明書をください」
  2. Java がキーストアを調べたところ、「RootCA」によって発行された「SubCA」によって署名されたクライアント証明書のみが見つかりました。トラストストアを調べることは気にしませんでした...当たり前のことだと思います
  3. 残念ながら、「SubCA」証明書をキーストアに追加しようとしても、まったく役に立ちませんでした。証明書がキ​​ーストアにロードされるかどうかを確認しました。それらはそうしますが、KeyManager はクライアントのものを除くすべての証明書を無視します。
  4. 上記のすべてにより、Javaはサーバーの要求を満たす証明書がないと判断し、何も送信しないという事実につながります...tadaaaハンドシェイクの失敗:-(

私の質問:

  1. KeyManagerがクライアント証明書のみをロードし、残りを無視するように、「証明書チェーンを壊す」などの方法で「SubCA」証明書をキーストアに追加した可能性はありますか? (Chromeとopensslはそれを理解することができたのに、なぜjavaできないのでしょうか?-「SubCA」証明書は常に信頼できる機関として個別に提示されるため、Chromeはハンドシェイク中にクライアント証明書と一緒に明らかに正しくパックすることに注意してください)
  2. これはサーバー側の正式な「構成の問題」ですか? サーバーはサードパーティです。サーバーが「SubCA」機関によって署名された証明書を要求することを期待します。それが提供されたものだからです。これがChromeとopensslで機能するという事実は、それらが「制限が緩い」ためであり、Javaは「本通りに」失敗するためだと思います。

私はなんとかこれに対する汚い回避策をまとめましたが、あまり満足していないので、誰かが私のためにこれを明確にしてくれるとうれしいです.

0 投票する
0 に答える
2707 参照

openssl - OpenSSLとのクロス署名

2つの自己署名認証局(異なる人に属する)を作成し、それらを相互署名して、発行された証明書が両方によって信頼されるようにする必要があります。

ただし、驚くべきことに、OpenSSLを使用してこれを行う方法に関するドキュメントが見つかりません。

インターウェブには、クロス署名を説明する(すでに死んでいる)スクリプトがいくつかありますが、私もそれらを掘り下げることができませんでした。

では、ここでOpenSSL CAの経験がある人はいますか?:)

0 投票する
2 に答える
3260 参照

powershell - 非自動登録証明書の Certutil.exe 出力のフィルタリング

Tom Nolan のスクリプトを使用して、CA に期限切れの証明書を問い合わせています。ただし、自動登録されていない証明書のみが対象であるため、これらの証明書の出力をフィルタリングすることはできませんでした。それが問題の行です:

-restrict パラメータを次のように絞り込んでみました。

しかし、成功しませんでした。

これを達成する方法を知っている人はいますか?

ご協力いただきありがとうございます!

0 投票する
2 に答える
2386 参照

security - (内部)WebLogic上のCA署名付き証明書と、私のマシン上の同じCA証明書(公開鍵)。ブラウザはまだ信頼していません

キーストアで秘密鍵と自己署名証明書を作成

keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn = mydomain.com -keyalg RSA -sigalg SHA1withRSA

証明書要求を作成し、内部CAに送信しました

keytool -certreq -alias mydomain -keystore mydomain.ks -file mydomain_project.csr

Internal(Company)CAが証明書を発行すると、次のようになります。

例えば----- CERTIFICATE ----- MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF UbM77e50M63v1Z2A / 5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw E + cFEpf0WForA + eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39 + l5aCEGGbauLP5W6 ----- END証明書をBEGIN -----

これを.pemファイルにコピーしました

(ID)KeyStoreの自己署名証明書をCA署名証明書で更新し、新しいJava Key Store(Trust)CA署名証明書を作成しました(.pemファイルを使用)

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore mydomain.ks

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore trust.jks

Weblogicで、次のようにキーストアをインポートし、SSLを有効にしました。

ID-mydomain.ks(秘密鍵+ CA証明書付き)

信頼-trust.jks(CA証明書があります)

問題:weblogicにデプロイされた内部サイトにアクセスすると。メッセージが表示されます-信頼できる証明書ではありません。次に、ブラウザから証明書をダウンロードするとhttpsが機能しますが、証明書には、内部CA名ではなく、指定したドメイン名で署名されていることが示されています。

質問:内部CA証明書と他の内部アプリケーションがhttpsで動作しているので、(実際に再度ダウンロードしなくても)動作することを期待していました。私は何か間違ったことをしましたか?

0 投票する
0 に答える
1311 参照

web-services - CA Service Desk Web Service API : How to sort data using query

I am trying to fetch data from CA service desk in a customized application. To fetch data:

SDProxy.doSelect() method is used.

I want to sort the data in service desk itself like we do in SQL. But I'm not able to find any solution.

Note: I found sortBy keyword which do not work with whereclause in service desk.


12345678910