問題タブ [ca]

同じポリシーを持つ CA によって署名された新しい証明書の keyUsage を設定するにはどうすればよいですか?

以下のコマンドを実行して、証明書を生成しようとしました。

証明書の keyUsage を設定するために含める必要があるコマンド パラメーターはありますか?

ここ数日、Android 2.2 を実行している Samsung Galaxy Tab のキーストアを更新しようとしています。私の会社は最近、Citrix サーバー アプリ (具体的には XenApp) を更新し、セキュリティ証明書も CA から Comodo に変更しました。

証明書を手動でロードすることから、Java と BouncyCastle を使用して証明書をタブレットから cacerts.bks ファイルに入れること、Portecle を使用して新しい bks ファイルを作成することまで、あらゆることを試しました。これまでのところ、これらのオプションはどれも機能していません。

Android 4.1.1 を実行している携帯電話から cacerts.bks ファイルを取得しましたが、動作しないというリスクを冒したくありませんでした。(4.1.1 でまだ cacerts.bks かどうかは不明)

どんな助けでも大歓迎です。cacerts.bks ファイルを携帯電話からタブレットに移動するだけでよい場合は、今後数日間、頭を机にぶつけることになるでしょう。

皆さん、ありがとうございました！

ジョー

質問は次のとおりです。

CA証明書でSAMLアサーションを保護する利点はありますか? SAML アサーションが転送される SSL 接続を確立する際に CA 証明書を使用するとどのように役立つかは理解していますが、SP が SAML アサーション自体を受け入れるときに発生する PKI ハンドシェイクの CA 証明書についてはどうでしょうか? SAML交換内では、SPがルートCA証明書への信頼のチェーンを反復する方法はないと主張する一方、反対側ではできると言っている人がいます。

あなたの答えを裏付ける信頼できる情報源を教えていただければ、ボーナス ポイントです。

Autosys（別名：CA Workload Automation）コンポーネントをジョブ/ボックス間の依存関係を示す図として表示するためのツールはありますか？依存関係グラフについて聞いたことがありますが、ジョブの実行ステータスが表示されていないようです。他のツール、CAまたはサードパーティはありますか？

アンドリューありがとう

管理ページへのアクセスに問題がありますが、現在EJBCAでテストしています。

EJBCA-4.0.13は、apache-ant-1.8.4、jboss-5.1.0-GA、mysql、およびmysql-connector-javaを使用してCentOS6.2で実行されています。インストールはOKで、jbossサーバーログにエラーは発生していません。URL：https：//：8443/ejbcaを使用してEJBCAパブリックWebページにアクセスできます。この情報で管理ページ（https：//：8443 / ejbca / adminweb）にアクセスできませんが：

承認が拒否されました原因：証明書が取り消されているか、データベースにありません。

どんなアイデアでも大歓迎です！

自分が所有していないドメインへの署名付き SSL 証明書を取得するのを妨げているのは何ですか?

つまり、単に google.com の新しい証明書を購入して悪事を働くことができないようにするために、どのようなチェックが行われるのでしょうか...

確かに、CA に (ばかげた金額の) 金銭を与えることの全体的なポイントは、人々が接続しているサーバーが正しいサーバーであることを疑う余地がないようにすることです。いいえ？

ありがとう。

Windows 7 (IIS7) 開発者マシンで ASP.NET Web API プロジェクトを HTTPS(443) でホストし、SSL Required に Require Option true をオンにしました。

テストのために、ホスト ヘッダー値に www.certtest.com を指定し、同じものをローカル マシンのホスト ファイルに追加します。

また、CA を構成し、CA からテスト証明書を取得する W2k3 マシンもあります。

クライアント認証のために IIS7.0 に同じ証明書をインポートします。

サイトにアクセスしようとすると、初めて証明書を要求され、その後証明書がルート証明書とともにローカル ストアにインストールされますが、すぐに 403.7 Forbidden エラーが表示されます。

また、自己署名証明書で試しました。それも同じ問題です。

これを行うには、Thwate タイプの CA によるクライアント認証用の有効なトライアル証明書が必要ですか?

ルビーでSSL証明書をOpenSSLで検証できないという問題が発生しています。これは、ca-bundle.pemがスクリプトで認識されていないことが原因だと思います。ca-bundle.pemのパスを手動で設定する可能性はありますか？

カスタム ルート CA を使用してエンタープライズ ソフトウェアの一部を保護する次のスキームを見つけました。そのようなことをするのは正しい方法ですか？そのような方法は何か問題がありますか？

スキーム:

1. カスタム ルート CA があります。この CA によって作成された単純な証明書のセットがあります。
2. .NET アセンブリ セットがあります。セット A のアセンブリは CA の証明書 A で署名され、セット B のアセンブリは CA の証明書 B で署名されています。
3. CA を信頼する一連のクライアントがあります (証明書スナップインのサードパーティ ルート CA フォルダーに証明書があります)。
4. 信頼できる証明書で署名されたアセンブリは正常に動作し、信頼されていない証明書で署名されたアセンブリは動作しません。
5. 証明書 B を取り消します (ルート CA のあるサーバー上)。

質問：

1. 情報 (証明書 B が取り消された) は、OCSP を使用してすべてのクライアントに自動的に送信されますか?
2. すべてのアセンブリ ロードは、インターネット接続を使用して OCSP 呼び出しを行いますか? 私のアセンブリを含むすべてのコンピューターがそのような呼び出しを行いますか?
3. ドメイン内の 1 台のコンピューターがインターネットに接続されていない場合、失効した証明書を信頼することになりますか?
4. それは保護されていますか - クライアントは OCSP リクエストを壊したり、サーバーのアドレスをブロックしたりできますか?
5. 証明書 B は、クライアントのサーバーの Untrusted Certificates フォルダーに自動的に配置されますか?
6. 一般に、クライアントは私のソフトウェアを信頼できない証明書で動作させることができますか?
7. アセンブリからこの証明書の署名をクリアすることは可能ですか?

Railsアプリケーションをhttps：//として機能するように変換しようとしています。テストの目的で、opensslを使用して自己署名証明書を作成しました。Webサーバーとしてnginxを使用しています。次に、この証明書を使用してnginxを構成しました。

しかし、アプリケーションを使用している間、アドレスの前にhttps：//が表示 されますが、このWebページにはリダイレクトループがあるため、結果が表示されます。このWebページhttps://myapp.comは、Chromeでのリダイレクトが多すぎ、別のブラウザでもリダイレクトの問題が表示されます。 。

あまりにも多くの調査の結果、この問題を解決するために連鎖証明書を使用する必要があるなどの手がかりを見つけました。次に、証明書のチェーンを作成しようとしました。私が使用した方法は以下に説明しています。

ca.pemをにコピーしました

とca.keyto

次に、必要に応じてopenssl.confを編集し、 / etc/ssl内に2つの新しいディレクトリCAとnewcertsを作成しました。

次のコマンドを実行して、新しいシリアルファイルとデータベースファイルを提供します。

次に、次のコマンドを実行してクライアント証明書を作成しました。

この証明書はca.pemに依存します

次に、次のコマンドを使用して、2番目の証明書がclient.cerを意味し、ca.pemに依存しない3番目の証明書を作成しました。

そしてopenssl.confオプションを変更しました

今、私は次のような証明書チェーンを持っています

ca.pem-> client.pem-> client1.pem

これらの3つの証明書をバンドルして、チェーン証明書を適切に作成するにはどうすればよいですか。私は自分のやり方で試しましたが、同じエラーが表示されます。

誰かが問題を解決するのを手伝ってくれませんか、過去1週間は問題に取り組んでいます。

ありがとうございます。それでは、お元気で