問題タブ [certificate-authority]

ブラウザに追加できるカスタム SSL 認証局はありますか?

次のような多くの内部 URL を使用します。

http://www.somproject.somebranch/個々のブランチで作業する場合

ブラウザ/OS に追加できるサービスがあれば、本物ではないドメインに対して単一の証明書を使用できる (または簡単に証明書を生成できる) と便利です。これは存在しますか、それとも #firstworldproblem だけですか?

多くの SSL 接続に自己署名証明書を使用しています。ただし、証明書を CA 認証する必要がある接続が 1 つあります。

同じ自己署名証明書を使用して認証局リクエストを作成し、受け取ったものをインポートした場合、既存の直接信頼 SSL 接続を変更する必要はありますか?

証明書 CA が変更を検証すると、正確にはどうなりますか?

SharpSvnを使用してSubversionリポジトリにアクセスしようとしています。リポジトリはhttps経由でのみ利用可能であり、マシンは独自のプライベート認証局を使用します（ここでのセキュリティについて心配する必要はありません。私はその認証局を信頼しています）。

認証局の公開ルート証明書を持っていますが、ユーザーアクセス権のため、証明書を証明書ストアにインストールできません。

Subversionを直接使用する場合は、次を追加できます。

コマンドラインオブジェクトまたは設定ファイルのいずれかとして。

SharpSvnでこれらのオプションを設定して、cacert.crtファイルを使用して、リポジトリにアクセスしようとしたときに「証明書の検証に失敗しました」と表示されないようにするにはどうすればよいですか。エラーを無視する必要はありません。

どうもありがとう

証明書署名要求 (CSR) を作成しました。認証局 (CA) に送信して、署名して .PFX 証明書を返してもらう必要があります。makecert.exe または openssl.exe を使用したくありません。また、証明書は自己署名されるべきではなく、C＃でプログラムでこれを行う必要があります。

また、CA が PFX を作成するのか、それとも PFX に署名するだけなのかはわかりません。簡単に言えば、自己署名ではなく、C#.Net を使用して CA によって署名されたこの CSR から .PFX 証明書を生成する必要があると言えます。

このリンクから CSR 作成コードを取得しました。

自分の電子メール セキュリティにサード パーティの認証局を使用する本当の理由はありますか?

( S/MIME を使用する意味)

私は自分自身の CAuthority になり、独自の自己署名ルート証明書を作成できることを発見しました...そして、それらは自分のマシンやモバイル デバイスにインストールしても問題なく動作します。

私が管理する自己生成および署名済み証明書の代わりに、サードパーティの有料証明書を使用するやむを得ない理由はありますか?

私は考え続けています - 私が検証済みの暗号化された電子メールの権限を持って最も信頼している人物またはエンティティは... 私です!...なぜ私が検証できない追加のエンティティをその通信チェーンに入れるのでしょうか? - 私が電子メールを送信している相手が、私を知っていて、それが私であると信頼している他の人である場合..? そして、なぜ私はそれらを支払うのでしょうか?

通信が私の商用 Web サイトと、私を知らずにお金を取引している見知らぬ外部の個人との間で行われているかどうかは理解できますが、個人的な電子メールの場合はどうでしょうか? 家族と有名な友人や同僚の間で？

公開鍵と秘密鍵の暗号化について、検証済みの大きなサードパーティに支払う価値のある証明書を提供してもらうことについて、他に理解できないことはありますか?

Web サイトで商取引を処理するとき、または安全な接続で Web サイトを信頼するときに、SSL サードパーティ検証が必要であることを理解しています。でも個人間？それは異なっているように見えます...あなたが個人的に知っている個人はさらに異なっています。いいえ？

私のブラウザでは、SSL 証明書チェーンに常に少なくとも 2 つのサブ CA があることに気付きました。いつもそうですか？本当なら、誰かが理由を知っていますか?

SSL証明書のベンダーが、証明書が128/256ビットのAES暗号化をサポートしているといつも言っているのはなぜだろうと思っていました。
つまり、対称暗号化は Web ブラウザーと Web サーバーの間で発生するものであり、SSL 証明書自体とは何の関係もありません (対称暗号化に関する情報は証明書に保存されないため...)。

なぜこれらの企業がこの声明で宣伝しているのか、誰か説明してもらえますか?
それはただの良いマーケティングですか？それとも本当の機能上の理由がありますか?

例はこちらを参照してください:
http://www.startssl.com/?app=39
https://www.symantec.com/theme.jsp?themeid=verisign-ssl-certificates&inid=vrsn_symc_ssl_Buy

外部の承認済みクライアントに Web サービスを公開する Java アプリを作成しました。Web サービスは、WS-security と証明書認証を使用します。基本的に、私たちはカスタム認証局として機能します。サーバー上に Java トラストストアを維持し、クライアントの証明書に署名して追加します。現在、WS クライアントが証明書署名要求をアップロードする必要がある手動登録プロセスがあります。CSR に署名し、コマンド ラインから keytool を使用して Java トラストストアに証明書を追加し、CA 証明書と共に署名済み証明書をクライアントに返します。次に、クライアントは秘密鍵を使用して SOAP メッセージ ペイロードに署名し、署名付き証明書をメッセージに埋め込みます。サーバー側はデジタル署名を復号化し、埋め込まれた証明書が署名されていること、およびクライアントの要求を満たす前にトラストストアと一致することを確認します。

(手作業のため) 多少の痛みはありますが、このセットアップは正常に機能しています。ルート CA 証明書が間もなく期限切れになることに気付きました。そのため、メンテナンス ポリシーの設定を検討しています。自己署名ルート CA 証明書を更新するにはどうすればよいですか? 新しいものを作成してオリジナルを置き換える必要があるようです。これは、すべてのクライアントが新しい証明書を受け取り、新しい CA 証明書をインポートする必要があることに影響します。それは正しい理解ですか、それとも状況を処理するためのより良い方法があるかどうか?

問題がある場合は、openssl を使用して元のキー ペアを生成しました。

独自の CA を作成し、内部 HTTPS Web サイトで使用する証明書に署名しました。IIS マシンの信頼されたルート認証局と中間認証局の両方に CA 証明書をインポートしました。サイト証明書はポート 4433 でサイトにバインドされています。

これは IE9 と Firefox (つまり、サイトが信頼されている) では問題なく動作しますが、Chrome (バージョン 23.0.1271.91) では、サイトが信頼されていないことを示す赤いスコアの HTTPS が表示されます。

これまでに遭遇したことはすべて、CAを信頼済みに追加すると言っています....しかし、これはChromeでは役に立たないようです。

何か案は？

でクライアントを検証することを選択できることはわかっていますが--ssl-verify、使用するCAチェーンを指定するにはどうすればよいですか？私は（curl--cacertやWEBrickのよう:SSLCACertificateFileに）ファイルを提供することに慣れているので、ファイルを用意しましたが、ファイルをに渡す方法に関するドキュメントが見つからないようですthin。