問題タブ [certificate]

テスト環境で自己署名証明書を作成しています。ここに私がしていることの詳細があります。

http://www.hanselman.com/blog/SigningPowerShellScripts.aspx

私の簡単な手順は次のとおりです（目的は、証明書に基づいてコンピューターCとコンピューターAの間に信頼接続を確立することです）、

1. makecert.exe を使用してコンピューター A をルート CA にします。
2. ルート CA としてコンピューター A によって発行された証明書 B に自己署名します。
3. 通信に使用する証明書として証明書 B をコンピューター A にインストールします。
4. ルート CA (コンピューター A) をコンピューター C にインストール/信頼します。
5. 次に、コンピューター C は、証明書 B を使用してコンピューター A の通信を信頼します。

私の混乱は、コンピューター C が証明書 B をインストールせずにコンピューター A を信頼していることです。ルート CA の証明書と相手方の証明書の両方をインストールする必要があると思います。コメントやアイデアはありますか？

前もって感謝します、ジョージ

makecertツールの次の概念について混乱しています。特に、場所（-srパラメーター）と保存（-ssパラメーター）の意味について。このリンクを読んで混乱しました。「場所」と「店舗」の意味についてのチュートリアルを見つけようとしましたが、何も見つかりませんでした。誰かが明確にするのを手伝ってもらえますか？

関連リンクは、このMSDN の記事です。

「サブジェクト」という用語について、私はいつも混乱しています。たとえば、sk オプションは「サブジェクトのキー コンテナーの場所を指定します」、sr オプションは「サブジェクトの証明書ストアの場所を指定します」などです。ここでの件名とは正確には何を意味するのでしょうか? 証明書の所有者？証明書の発行者 (例: 証明書を発行するルート CA)? または、他の何か？

私は、ユーザーが HTTPS 経由でクライアント証明書を使用して認証する ASP.NET アプリケーションに取り組んでいます。ユーザーは IE7 のみを使用しています。

クライアント証明書を使用して正常に認証されると、プロセスが閉じられるか、ユーザーが手動で SSL キャッシュをクリアするまで、ブラウザーの SSL キャッシュに残ります。システムのセキュリティを向上させるために、ユーザーがログアウトするかセッションが期限切れになるたびに SSL キャッシュをクリアできるようにしたいと考えています。

クライアントはすでにスマートカードを使用してシステムにアクセスしており、カードがクライアント コンピューターから取り外されると自動的に証明書がアンロードされますが、これはブラウザーのキャッシュをまったくクリアしないため、同じアクセス権を持つ別のユーザーから攻撃を受ける可能性があります。真のユーザーとしてマシン。

JavaScript から実際のキャッシュをクリアする方法を見つけました。

document.execCommand("ClearAuthenticationCache");

これは、ユーザーが明示的にログアウトした場合に完全に機能します。これは、ユーザーが再度ログインできるようにする前にクライアントでスクリプトを実行できるためです。

注: IE7 では、Web サーバーで HTTP キープアライブが無効になっている場合にのみ、キャッシュをプログラムでクリアできます。

ここで注意が必要な点があります。クライアントのセッションが期限切れになった場合、ユーザーが再度ログインを試みる前にブラウザーでこれを処理する方法がわかりません。サーバーでページが実行される前に、状態をクリアし、新しい証明書を選択する必要があるため、ログインページに到達したときに状態をクリアできません。

何か案は？質問が長くなって申し訳ありませんが、これには背景が重要です。

シナリオ

証明書を使用してドキュメントに署名しようとしています。初めて署名すると、OS はユーザーに PIN を設定するためのダイアログを表示しますが、次回は表示されません。セキュリティ上の理由から、署名するたびに、OS がユーザーに PIN を要求する必要があります。誰もそれを行う方法を知っていますか?

これはコードです：

CryptSetProvParam一部のページでは、 を使用するとピンをきれいにできることがわかりましたが、これまでのところ機能していません。

ステートメント:

呼び出し:

エラー：

指定されたタイプが無効です。(HRESULT からの例外: 0x8009000A)

また、マルチスレッド (署名のためだけに別のスレッドを使用) を使用してテストしますが、機能しません。

どうもありがとうございました！

Microsoft の TS ゲートウェイを使用して新しいリモート アクセス ソリューションをセットアップしました。これを機能させるには、エンド ユーザーに代わっていくつかの面倒な手順が必要です (ルート CA 証明書のインストール、RDP 6.1 クライアントの要件など)。

このセットアップ プロセスをできるだけ簡単にするために (これらのユーザーの多くは技術的なことに関心がありません)、これらすべてのタスクを自動的に実行するプログラムを作成したいと考えています。私はほとんどの作業を行っていますが、ルート CA 証明書を Windows 証明書ストアにインポートする方法が完全にはわかりません。

これは、さまざまなレベルのパッチや更新プログラムを適用したさまざまなコンピューターで実行できる可能性があるため、.NET やネイティブではないものは避けています。ツールは、ユーザーがインストールしなくても「ただ実行する」必要があります。余分なもの (まあ、サービス パックなしの Windows XP が Windows の最低限必要なバージョンです)。そうは言っても、ツールにバンドルできるサードパーティのものを使用してもかまいませんが、それが巨大でなく、インタラクティブな手順を導入しない限りは問題ありません。理想的には、Windows API の何かが最適ですが、関連するものを追跡できないようです。

現在、このツールは C++ アプリケーションなので、かなり低レベルのものであってもかまいません。

Solaris サーバーで tomcat を実行していますが、VeriSign の中間 CA 証明書をインストールする方法を教えてください。

私は何日も苦労しており、keytool エラーが発生し続けています: java.io.EOFException どうすれば解決できますか?

makecertコマンドに関する 2 つの簡単な質問

次のコマンドを使用しているとします。

秘密鍵は証明書マネージャーのどこかに自動的に登録されますか、それとも秘密鍵はファイル root.pvk にあるだけですか?

次のコマンドを使用しているとします。

このコマンドを実行した後、秘密鍵はどこに保存されますか (オプションを指定しなかったため-pe、秘密鍵は証明書に埋め込まれませんが、どこにありますか) ?

証明書ファイルのエンコードタイプを知る方法はありますか？

ファイルがデジタル署名されているかどうかをプログラムで確認したいと思います。

しばらくの間、私はコンパイルされないかなりあいまいなMicrosoft コードを見つけました...

この件について何か考えはありますか？

ちなみに、コマンドラインを備えた外部ツールも素晴らしいでしょう。