問題タブ [digital-certificate]

私のシナリオは、特定のフォルダーにある場合に他のプログラムを起動する 1 つのプログラム (exe) があるというものです。私たちの企業証明書 (Verisign 承認済みなど) で署名されたプログラムのみが開始されるようにしたいと考えています。基本的に、それ自体と同じ証明書を持つプログラムのみを開始します。証明書自体を発送したくありません。

私は Web とシステム名前空間を検索してきましたが、ファイルから証明書データを読み取り、それを検証し、別のファイルと照合できる明確な例を見つけられませんでした。私が見つけた最も近いのはSigntoolであり、この検証を別のexeで行うことはあまり意味がありません。ここで有益に説明されているように、デジタル署名されたファイルは異なるため、厳密な命名は役に立たないことを知っています (http://blog.codingoutloud.com/2010/03/13/three-ways-to-tell-whether-an-assembly- dl-is-strong-named/) また、生データの暗号化と検証を示す SO の他の例もいくつかありますが、何らかの方法でパッケージ化されたアセンブリではありません。

アイデアや提案はありますか？

私はapache-santuario1.4.4を使用して、この署名されたメッセージを生成しています。

使用しているサービスに送信すると、次のように応答します。

私はたくさんグーグルで検索しましたが、このエラーについてはほとんど何も見つかりませんでした。参照は正しく宣言されていませんか？何が間違っている可能性がありますか？任意のアイデアをいただければ幸いです。

前もって感謝します。

CAによって署名された有効な証明書をJavaで作成するプロセスで混乱しています。Javaには、公開鍵と秘密鍵と証明書を作成するため
のツールがあることを私は知っています。 また、JKSとPKCS＃12もサポートしています。 したがって、公開鍵と秘密鍵のペアと証明書 を使用してキーストアを作成できます。たとえば、これにより、証明書（自己署名）を使用してキーストアが作成されます。 これまでのところ理解しています。 もちろん、秘密鍵を使用せずに、CSR要求の証明書をエクスポートしてVerisignなどのCAに送信できます。 この部分の後、私は迷子になります。 CAが署名し、キーストアに再インポートする必要がありますか？これにより、すでにキーストアにある元の証明書が置き換えられますか？ ただし、それでも自己署名されます。keytool


keytool -genkey -keyalg RSA -alias aCert -keystore someKeystore.keystore





発行者はCA自体ではありませんか？しかし、これはどのように可能ですか？私は公開鍵のみを送信し、証明書は送信しませんか？
プロセスをクリアするのに何か助けがありますか？
更新：
CAは証明書（Verisignなど）に署名することも発行者ですか？または、証明書に署名することはできissuer==subjectますか？
ありがとう

Java コードに署名するための Verisign からの証明書を既に所有しています。Java アプリケーションをサポートするために、Outlook マクロを作成し、署名したいと考えています。これは、Java 証明書を使用すると機能しません。誰か教えてください:

a) 有効な Verisign Java 証明書を使用して vba コードに署名する方法があります
。b) そうでない場合、証明書の言語を特定する技術的な違いは何ですか。

別の Verisign 証明書に同じ金額を再度支払うのは、ほんの数行の vba コードに対して少し面倒なのでお願いするだけです。

iOS のセキュリティ API は、証明書の特定の部分の抽出のみをカバーしているようです。

証明書バイトから拡張機能、ポリシーなどを取得できるようにするために、openSSL または asn1c を使用した人はいますか?

サードパーティがプラグインを作成できるようにするWin32プログラム（=ホスト）を開発します。一部のプラグインには貴重なコード（たとえば、高品質のビデオスカラー）が含まれているため、サードパーティはプラグインをホストプログラムでのみ機能するように制限したいと考えています。

私たちのアイデアは、MicrosoftAuthenticodeテクノロジーを使用してホストに署名することです。次に、サードパーティは、ホストをチェックするために次のアルゴリズムを実装するように求められます。（サードパーティは、アルゴリズムに対して十分なコード難読化を行うことが期待されています）。

1. WinVerifyTrust（）APIを使用して、ホストの証明書が有効であることを確認します（=取り消されていない、改ざんされていないなど）。

2. 件名が当社であることを証明します。

問題はステップ（2）についてです。ホストのデジタル証明書は証明書の有効期限後に更新されるため、サードパーティは単にサムプリントまたはシリアル番号を確認することはできません。

私の考えは、米国で会社名の競合がないと仮定して、サブジェクトの識別名の一部、具体的には「国（C）」と「一般名（CN）」をチェックすることです。会社が移転する可能性があるため、州や都市などの他の属性を確認するべきではありません。実際、1年前にある都市から別の都市に移転しました。

質問：目標を達成するための良い方法ですか？

キーストアとその内部キーを生成しました。次に、テスト アプレットに署名しました。しかし、jnlp アプレットを起動するたびに、インターネット ブラウザのセキュリティ警告ダイアログが表示され、...

• 発売元：不明
• から：http://localhost:8080...

私が見逃したものは何ですか？パブリッシャーの設定を手伝ってください。

有益なコメントをお待ちしております:)

サーバーがクライアントを認証できる必要があり、すべての通信を暗号化する必要があるクライアント/サーバーアプリケーションを作成しています。

これを提供するメカニズムは、サーバーとクライアントアプリケーション内に自己完結型であり、完全に自動化されている必要があります（人間の操作は必要ありません）。SSLはこれを行うための最良の方法のようであり、私が使い慣れているものでもあります。

クライアントソフトウェアの展開が必要なクライアントごとに、アプリケーション、クライアント証明書（サーバーによって署名されたもの）、秘密鍵、およびサーバーの公開証明書（クライアントができるようにするため）を使用してMSIインストーラーを（オンザフライで）作成することを計画しました。サーバーを認証します-サーバー証明書は自己署名できます）。

クライアントのキーを生成してCSRを作成することはできますが、実際にCSRに署名してクライアントの証明書を生成する方法を見つけることができないようです。Win32 Crypto APIを調べましたが、実際にCSRに署名してクライアント証明書を取得する方法の例を見つけることができませんでした。

私はopensslツールを使用してコマンドラインからこれらすべてを実行する方法を知っていますが、アプリケーション内からそれを実行する方法がわかりません。

システムコールをopensslツールに呼び出し、動作することがわかっているパラメーターを渡すことはオプションではないことに注意してください。opensslツールが危険にさらされていないことに依存することはセキュリティ上の大きなリスクです。このようにすると、自己完結型の要件を満たすことはできません。

私はこれを正しい方法で行っています、または同じことを達成するためのより良い方法があります-基本的にサーバーに接続するクライアントの認証と接続するクライアントが接続するサーバーを認証する方法はすべて暗号化されています。

静的IPまたはホスト名を持つサーバー（またはクライアント）については推測できません（DNSはとにかく壊れている可能性があります）。また、既存のPKIインフラストラクチャについても推測できません。

私はこれを主にC＃.Netで書いていますが、この機能が得られる場合は、これにC++拡張機能を書くことを検討します。

最後に、これが私の最初の投稿です。明らかなことを見逃したり、詳細が不足している場合は、質問してください。ギャップを埋めます:)

ありがとう、

ジェームズ

ドキュメントをアップロードするasp.net Webサイトがあります。セキュリティ上の理由から、列に格納できるように、ドキュメントからハッシュを作成します。

しかし、ユーザーの個人証明書ストアにある証明書を使用して、その「ハッシュ」を暗号化する必要があります。

ブラウザーからこれを実行したいのですが、最終的に IE でのみ展開できるソリューションになってもかまいません。