問題タブ [pki]

iPhoneのPKIライブラリを使用して短い文字列（12345678）を暗号化しようとしていますが、SecKeyEncryptを使用しようとすると、エラー-9809（つまり、errSSLCrypto）が発生し続けます。SecureTransport.hヘッダーファイルは、このエラーを単に「根本的な暗号化エラー」として記述していますが、これはあまり意味がありませんでした。

私のコードは次のとおりです。

どのパディングを使用するかは関係ありません。どちらも同じエラーを出します。公開鍵はクライアントから提供された証明書から取得され、鍵が有効であることを確認しました。何が間違っているのですか？関数を正しく使用するにはどうすればよいですか？

keyusage、regestrationIDなどのフィールドをCSRに追加する必要があります。JavaIBM-sdk60を使用しています。x500 name APIを調べましたが、解決策が見つかりませんでした。APIに関するヘルプをいただければ幸いです。前もって感謝します

次のように、PKIカードから証明書をロードするためのPKCS＃11ドライバーとしてSiemensのCardOSAPIドライバーを使用しています。

私はそれをパラメーターとして渡しますが、ドライバーは各キーのPINを要求します。APIでPINを渡す他の方法はありますか？有効にできる「PINキャッシュ」はありますか？

自分のサイトの特定のページに、X.509 認証後にのみアクセスできるようにしようとしています。問題は、特定の中間 CAによって発行された一致する証明書を持つすべてのクライアントがそれを利用できるようにしたいということです(自己生成されたルート CA の下にいくつかの中間 CA を持つつもりですが、特定の 1 つの中間 CA によって発行されたクライアント証明書のみが必要です)。 CA はこのページにアクセスできます)。これはPHPを使用して可能ですか？

さらに詳しく説明する必要がある場合はお知らせください。詳細を追加してみます。ご協力いただきありがとうございます！

TC

ベータ版で動作しないという報告を受けた後、iOS5にアプリケーションを更新する必要があります。この問題は、カスタムSSL証明書の検証が機能しなくなったという事実にまでさかのぼります。

didReceiveAuthenticationChallengeセクションで、ルート証明書を取得し、SecTrustEvaluateを呼び出します。これはiOS4で正常に機能します。

証明書は、アプリケーションに含まれるリソースとしてDER形式で保存されます。

基本的に、アプリが接続するサーバーの証明書を発行するために使用する独自のCA証明書があります。

AdvancedURLConnectionsサンプルアプリケーションを使用してこれを再作成できます。

SecKeyGeneratePairを介して2つのSecKeyRefアイテムを作成しましたが、公開鍵をx509デジタル証明書に変換するか、公開鍵と秘密鍵の両方をPKCS＃12（.p12）証明書に変換してディスクに保存します。ファイルとして。このようにして、他のサービスやコンピューターに証明書を送信するなど、必要なことは何でもできます。

キーチェーンを使用したくないのですが、それでも、SecKeyRefのペアから証明書を作成し、証明書ファイルとして書き出す方法についての適切なドキュメントを見つけるのに苦労しています。

任意の場所 (CurrentUserまたは)にあるすべてのシステム証明書ストアを取得する方法を探していますLocalMachine。

列挙には、またはStoreLocationで作成されたユーザー定義の証明書ストアは明らかに含まれません。また、これはまたはなどの他の標準ストアを定義しません。X509Store(String)X509Store(String, StoreLocation)SPCRequest

API を確認しましcrypto32.dllたが、登録/登録解除以外に関連するものは何もありませんでした。

非ファイル システム ベースのストアがレジストリに表示されます (例: HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\Root)。PowerShell 証明書プロバイダーはストアに問い合わせることができます。これは -- レジストリへのクエリ -- 内部で何をしているのか? そのような手作業で作成したソリューションは、XP/Vista/7/8 間で移植できますか?

私は PKCS#11 と Common Access Cards を初めて使用しますが、私が理解しているように、カードには抽出できる証明書と抽出できない秘密鍵があります。認証に証明書を必要とする Web サーバーと通信するアプリを作成しようとしています。ハードウェア ベンダーから提供されている PKCS ライブラリはかなり薄いです。基本的に、カード上の秘密鍵を使用して、証明書オブジェクトにアクセスしたり、データに署名したりできます。

Webサーバーに接続するときのハンドシェイクなどの処理方法がわかりません。秘密鍵によって署名された他のものと一緒に証明書を提供することになっていますか? もしそうなら、秘密鍵で署名するのは何ですか? 私はこれをグーグルで検索しましたが、このプロセスについて何らかの説明を見つけることができませんでした.

私はデジタル署名用のJavaAPIを理解しようとしています。カスタム暗号プロバイダーを使用してデジタル署名を作成する必要があります。このCSPを使用してドキュメントに署名し、切り離された署名を取得する方法を知っています。次に、この署名にタイムスタンプと証明書のステータスを追加する必要があります（政府当局が署名を有効にするため）。これらのことは、TSPとOCSPを使用して行われます。質問：

1. TSPクライアントはどこで入手できますか？
2. 証明書を検証するために組み込みのJavaOCSPサポートを使用するだけで十分ですか？
3. tspと検証情報はどういうわけかCMSに関連していますか？
4. 最後の最も興味深い：タイムスタンプ情報と証明書検証情報をどうすればよいですか：それは切り離されたファイルですか、それとも署名の一部ですか？

ビルド/署名/リリースプロセスを再設計するように依頼されました。私はWindowsに非常に満足しており、必要なことを実行するネットワーク化されたHSM製品をいくつか特定しました。これらは基本的にCryptoAPIと直接統合されているため、署名を行う人は通常どおりsigntool.exeを使用できます。

現在、独自のビルド/署名/リリースを行う別のMacチームがあります。これはすべて、DCの1つにあるいくつかのMacMiniで正常に機能しています。Macソフトウェアキーも保護したいので、ネットワーク化されたHSMをMacの署名プロセスに統合する方法を見つけようとしています。

これについての良い情報はどこにも見つかりません！ですから、ここにいる誰かがすでにこれを行っており、私の痛みを和らげることができることを願っています。

実際の質問は次のとおりです。

1）標準のMacコード署名ツールでHSMを使用できますか？2）誰かが上記のベンダー/製品を推薦できますか？3）Macコード署名とMac暗号インフラストラクチャの内部動作に関するいくつかの優れたドキュメントを誰かに教えてもらえますか？

乾杯

BHB