問題タブ [certificate]

私は現在、WSE3.0またはWCFを介したSOAPメッセージの暗号化と署名のトピックを研究しています。私はパブリックインターネットを含む分散アプリケーション開発に参加したことがないので、X.509証明書が不足していて、Windows証明書ストアメカニズムでどのように機能するかについての知識があります。非対称暗号についてではありません。それはPKIエコシステムについてです。

したがって、Windowsのセキュリティメカニズム、証明書ストア、CAトラストチェーンを適切に使用および管理する方法、およびWSEやWCFなどのAPIが相互作用して証明書を使用する方法について、包括的な説明を提供する記事や書籍を集めたいと思います。 。推奨事項？

双方向認証の場合、両側から証明書をインポートする必要がありますか?

コマンド ラインを使用して、Java 証明書ストアに対して X509 (または DER 形式) の証明書を確認するにはどうすればよいですか?

ユーティリティの使用を調べましたkeytoolが、インポート/エクスポート/表示機能のみを処理しているようです (検証なし)。

編集:検証に使用できるように見えますkeytoolが、インポートが試行された場合のみです。この質問をするより良い方法は、より受動的なアプローチ (キーストアを変更しないなど) が利用可能かどうかだと思います。ありがとう！

GoDaddyへのFAQによると、MicrosoftのSignToolをサポートしていますが、mage.exeについては言及されていません。Mage.exeを使用してアプリケーションに署名しますが、mage.exeがSignToolを使用しているかどうかを確認できませんでした。ClickOnceにGoDaddyのコード署名証明書を使用したことがある場合は、簡単な確認をお願いします。

私の iPhone アプリケーションはシミュレーターで正常に動作します。物理的な iPhone に展開しようとしています。プロビジョニング プロファイルをインストールすると、オーガナイザーに「このプロファイルに一致する署名 ID がキーチェーンに見つかりませんでした」と表示されます。

これを解決できません。私は何をしますか？

MakeCert.exe を使用して証明書を生成するときに、キー サイズを 1024 から 2048 に変更したいと考えています。

これは可能ですか？または、認証局 (CA) をセットアップする必要がありますか?

Java アプレットで SSL 経由の SOAP ベースの Web サービスを使用する必要があります。サーブレットを仲介/プロキシとして機能させることができることは知っていますが、アプレットに SSL 経由で Web サービスを直接使用させたいと考えています。問題は、Web サービスをホストしている Web サーバーに証明書を提供することです。Java コントロール パネルからこれらの Java アプレット ランタイム設定を指定しました。

-Djavax.net.ssl.keyStore= <local path to .p12>

-Djavax.net.ssl.keyStorePassword= <password>

また、Java コントロール パネルを介してクライアント証明書 (.p12) をクライアント証明書としてインポートしました。私はやりたいと思っていました：

キーストア ks = KeyStore.getInstance("JKS"); ks.load(new FileInputStream(System.getProperty("javax.net.ssl.keyStore"), System.getProperty("javax.net.ssl.keyStorePassword").toCharArray());

そこからキーストアを使用します。しかし、サイコロはありません！アプレット内からこれらのプロパティにアクセスできないようです。パスもハードコーディングしたくありません。JRE 1.6.0_10 を使用しています

サーブレット プロキシ アプローチなしでアプレットに Web サービスを使用させる他の方法はありますか? 間違った道を進んでいる可能性が高いです。また、可能であれば、Web サービスがアプレットをホストしているものとは異なる場合に、この作業を行うことに興味があります。

ところで：私が離れたいサーブレットプロキシのアプローチは、ここで詳しく説明されています： http://www.ibm.com/developerworks/xml/library/x-jappws/

ありがとう！

XML を https 経由でサーバーにポストする必要がありますが、(機密情報を含む) XML をプッシュする前に、自己署名サーバー証明書が正しいことを確認する必要があります。

私は perl ソリューションを好みますが、実際に証明書を検証する CPAN ソリューションはないようです。 node_id=739072 )

Python を簡単に調べました (実稼働サーバーに非 perl 言語をインストールできるかどうかはわかりませんが) が、証明書の検証はバージョン 2.6.0 までサポートされていないようです。

おそらく私は何かにシェルアウトすることができます-wgetは実際にピア証明書を検証しているようですが、検証されるまでxml投稿を保留する方法がわかりません。これには 2 つの wget リクエストが必要なようです。1 つは証明書を検証するため、もう 1 つは xml を投稿するためです。これは、私にとって最も安全な解決策とは思えません (2 番目の投稿はハイジャックされる可能性があります)。

任意のヒント？

ありがとう

誰かがこの問題について私を助けてくれることを願っています。証明書を使用する以外に、WCF サービスでメッセージ レベルのセキュリティを有効にする方法を探しています。問題は、VPN を介して、それぞれが独自のドメイン コントローラーを持ち、ドメインが相互に信頼していない複数のサイトに接続するクライアントでアプリケーションが使用されることです。私は証明書にまったく慣れていませんが、多くの人がそれが進むべき道だと言っていますが、この環境で機能するかどうかわかりませんか?

助けを乞う :) よろしく Andries