問題タブ [certificate-authority]

Microsoft が提供する Certificate Enrollment API と Cryptography API を使用すると、証明書をプログラムで適用し、ローカル マシンにインストールできます。

Windows SDK 7.0に同梱されているサンプルコード(enrollWithICertRequest3)を参考にしたところ、ICertRequest3インターフェースを使ってWebサービス経由で証明書を申請できることがわかりました。これはクールですが、副作用として、createPFX メソッドを呼び出して最終的な証明書ファイル (秘密鍵を含む) を抽出する前に、申請した証明書をローカル マシンにインストールする必要があります。

ICertRequest3 インターフェイスを掘り下げた後、GetCertificate メソッドを見つけました。しかし、この方法で取得できるのは、"----begin cert--- ---end cert---" で囲まれた証明書であり、秘密鍵情報は含まれていません。

ここで自分自身を十分に明確にしたかどうかはわかりません。だから私が必要とするのは、プログラムでWeb経由で証明書を申請することですが、ローカルマシンにインストールする必要はありません。最終的なpxfファイルがポイントです:(

以下は、参考までにサンプル コード スニペットです。

あらゆる種類のアドバイスをいただければ幸いです。お返事をお待ちしております。

あなたの、

ヨルダン

まず、AD についての知識は非常に限られています。

問題: ユーザー証明書を使用して AD でユーザーを認証しています。さまざまなデバイス (モバイル デバイスを含む) でユーザーを認証したい。それぞれが CA を介して独自の証明書を生成します。CA は AD と結び付けられているため、ユーザーは証明書を介して AD で認証されます。

問題は次 のとおりです。AD のユーザー アカウントは、1 人のユーザーに対して複数の証明書を保持できますか。私の場合、秘密鍵はデバイス間で共有されないため (デバイスは CA に接続して独自の ID 証明書を取得します)

助けてください

サーバー上で実行されているサーバー アプリケーション (明らかに) と、ユーザーの PC にインストールされるクライアント アプリケーションを備えた、自己ホスト型の WCF アプリケーションがあります。この時点まで、私は自分のマシンでシステムを開発し、「開発用」x.509 証明書を使用しており、すべて正常に動作しています。証明書認証の仕組みなどには満足していますが、必要な証明書を使用してクライアント側のソフトウェアを展開するにはどうすればよいですか?

参考までに: アプリケーションは HTTP ではなく TCP を使用します。

サーバー上で Active Directory 証明機関のセットアップを使用したいのですが、正直なところ、展開がどのように機能するのか理解できません。IIS をセットアップする必要があり、http を使用して証明書を手動で要求する (またはそれらの行に沿ったもの) チュートリアルを見たことがあります。しかし、その目的のためだけに IIS をセットアップしたくありません... それとも、それが私の唯一の選択肢ですか?

また、ClickOnce を使用して配布されるクライアント アプリケーションについて、インストール前にユーザーが手動で証明書を取得する必要がありますか、それともこのプロセスを自動化できますか?

これらの質問が「初心者」に出くわしたら申し訳ありませんが、私はこれを数時間調査しましたが、この件について明確にするものは何も見つかりませんでした! 私は必要と思われる方法でこれを機能させる準備ができています...しかし、何が必要ですか?

御時間ありがとうございます。

Windows、Linux にインストールするか、firefox (windows/linux/macosx) の証明書ストアを使用しても、終端プロキシと完全に連携する自己署名ルート認証局を作成しました。

システムキーチェーンにインストールし、証明書を常に信頼するように設定しました。

Chromeブラウザの詳細内に、「この接続試行中にChromeが受け取った証明書の形式が正しくないため、Chromeはそれを使用して情報を保護できません。エラータイプ：不正な証明書」と表示されます

このコードを使用して証明書を作成しました。

問題が不正な形式ではない場合 (他の場所でも機能するため)、他に何が考えられますか? 間違ってインストールしていますか？

明確にするために: Windows/Linux OS 内では、すべてのブラウザーが完全に動作します。Mac 内では、キーチェーンではなく内部証明書ストアを使用する場合にのみ、Firefox が機能します。問題を引き起こすのは、証明書をインポートするキーチェーン方式です。したがって、キーチェーンを使用するすべてのブラウザーは機能しません。

無効な証明書のために安全な Websocket が閉じられたことを検出することは可能ですか?

もしそうなら、どのように？

私たちのプログラムは、パートナーから提供されたサードパーティの証明書を使用する必要があります。この証明書では、クライアント サーバーに接続する前に、提供された認証局をインストールする必要があります。基本的に、自己署名証明書を使用する必要があります。

アプリケーションは C# で記述されています。アプリケーションを実行する前に認証局をインストールする方法をエンド ユーザーに指示することもできますが、理想的には、認証局の .pfx ファイルを一時的に追加/信頼し、そのファイルをリソースとして .exe に埋め込みたいと考えています。

誰かアイデアがありますか？