問題タブ [certificate-authority]

私は多数の SSL 暗号化 Web サイトを実行しており、これらで実行する証明書を生成する必要があります。これらはすべて内部アプリケーションであるため、証明書を購入する必要はなく、独自のアプリケーションを作成できます。

常にopensslを使用してすべてを行うのは非常に面倒であることがわかりました.これはおそらく以前に行われた種類のことであり、そのためのソフトウェアが存在すると考えています.

私の好みは Linux ベースのシステムで、GUI よりもコマンドライン システムの方が好きです。

誰か提案はありますか？

C# でユーティリティを作成して、誰かが Windows で認証局 (CA) を簡単に作成できるようにしたいと考えています。アイデア/提案はありますか？

OpenSSL を使用してこれを行うことができることを知っています。最終的には、このユーティリティで CA を生成する以上のことを行いたいと考えています。また、ユーティリティを実行するために OpenSSL をインストールする必要も避けたいと考えています。

サービスを販売する Web サイト用に 128 ビット SSL 証明書を購入したいと考えています。http://www.rapidssl.com/ssl-certificate-products/ssl-certificate.htmとhttp://www.geotrust.com/ssl/compare-ssl-certificates.htmlを確認しました。QuickSSL (Geotrust、249 ドル) と RapidSSL (rapidSSL、69 ドル) の価格がそれほど異なるのはなぜですか? これには特別な理由がありますか、それとも単なるマーケティングですか?

RapidSSL は次のように述べています。

ただし、50 を超えるトランザクションを実行するサイトにはプロフェッショナル レベルの SSL 証明書が必要であると考えています。その理由は、ウェブサイトの顧客が、信頼性が高く確立された SSL プロバイダーおよび国際的に認められた有名な SSL ブランドからの SSL を期待する可能性が高まるためです。

(「プロフェッショナル レベル SSL」とは、Geotrust 証明書を意味します)

PS ユーザーは本当に SSL 発行機関のブランド名に注意を払うのでしょうか?

SSL証明書をインストールしました。この証明書は 2048 ビット暗号化で暗号化されています。

ただし、暗号は 128 ビット暗号化 (または 40、またはブラウザーに応じて他のバリエーション) です。

ここには 2 つの異なるタイプの暗号化があるようです。2048 の「ハンドシェイク」暗号化と、それよりも小さい「オーバー ザ ワイヤ」暗号化。

理論上、私にはこの権利がありますか? 誰かがそれをよりよく説明できますか？

私はGoogleのいたるところにいましたが、2つの違いの明確な説明を見つけることができません.

証明機関 (CA) が、独自の秘密鍵で証明書に実際に署名する前に、証明書署名要求 (CSR) を変更することを許可されているかどうか教えてください。

具体的には、署名を追加する前に CA が追加のフィールド (EKU など) を証明書に挿入することが有効かどうかを知りたいです。

.net プラットフォームを使用して Windows Server 2008 の証明書ストアを照会することはできますか? このシステムによって発行された証明書に関する情報を取得したいと考えています。

tnx グレガ g

質問が言っていることはほとんど。根の 2 つのクラスの違いは何ですか? そのようなルートによって署名された証明書の違いは? クラス 1 の署名付き証明書には、クラス 3 にはない用途と、その逆の用途がありますか?

階層型PKIをセットアップしようとしています。ルートCA証明書のみを含むトラストストアを作成できますか？つまり、アプリケーションは、ルートCAによって署名されたサブCA証明書によって署名された証明書を信頼しますか？

余談ですが、ルートCA証明書を含む証明書チェーン全体を提供する必要があるようです。確かに、ルートCAが信頼されている場合は、証明書を送信する必要はありませんか？次の証明書が署名されているかどうかを確認したいだけです。

Windowsモバイルアプリケーションのプログラムによる署名を可能にする認証局はありますか？現在、私のチームはGeotrustを使用しています。ビルド手順は次のようになります。

• アプリをビルドする
• マルチステップツールを備えた「事前署名」アプリ（
• フォームに記入し、geotrustWebサイトに「事前署名済み」アプリをアップロードします
• 署名されたアプリをダウンロード
• 繰り返す

これを行うためのより良い方法があるはずです。

私は現在、CA証明書とそのCA証明書の子証明書をいくつか作成したプロジェクトに取り組んでいます。証明書は、SAMLV2セットアップでサーバー間の通信を保護するために使用されるため、IDプロバイダー用の証明書とサービスプロバイダー用の証明書を用意します。ユーザー/ブラウザーは証明書を検証しないため、カスタムCAを信頼する必要があるのはサーバーのみです。私の証明書ツリーは次のようになります。

• CustomRootCACert
  • CustomIdentityProviderCert
  • CustomServiceProviderCert

今では、自家製の証明書を本番環境で使用するのは悪いと多くの人が言っています。しかし、私が理由を尋ねると、人々は通常、セキュリティについて何かをつぶやくだけで、詳細には決して入りません。自分の証明書を本番環境で使用しない技術的な理由はありますか？何も考えられません...もちろん、ルート証明書の制御を失うと、だれでもあらゆる種類の証明書の作成を開始できることに気付きます。ただし、この場合、サーバーに証明書をインストールし、それらを使用するようにsamlアプリケーションを構成する必要があります。そうして初めて、彼らは私のアプリケーションへの偽のsamlリクエストとレスポンスを生成し始めることができました。

これが唯一の問題である場合、このソリューション（本番環境で自家製の証明書を使用）は、現在のログイン設定よりも優れています。