問題タブ [pki]

API のエンドポイントに自己署名証明書があります。シミュレーターを使用していくつかのことをテストしようとしていますが、「信頼されていないサーバー証明書」を取得しています。

シミュレーターで safari を使用して .crt ファイルをダウンロードしようとしましたが、うまくいかないようです。

iPhone Simulator はどこからキーチェーンを取得しますか? アプリケーションが機能するように、信頼できる証明書を追加するにはどうすればよいですか?

アップデート

CA を作成し、iPhone プロビジョニング ツールを使用して CA 証明書を追加することで、機能するようになりました。その後、API サーバーでその CA 証明書によって署名された証明書を取得でき、NSConnection が機能しました。何らかの理由で、自己署名証明書を使用して機能させることができませんでした。プロビジョニング ソフトウェアを使用して、これを再試行する必要があります。

私の本当の質問は、これをシミュレーターで動作させるにはどうすればよいですか? シミュレーターは実際のコンピューターのキーチェーンを使用していると思います。

私は暗号化の専門家ではありません。実際に使用した経験はほとんどありません。いずれにせよ、私のアプリケーションの 1 つが暗号化をセットアップすることを要求する時が来ました。プログラムは、多くの損害を引き起こす可能性のある非常に重要なものを管理しないことに注意してください.

とにかく、私が使用しているこのスキームが一般的であるかどうか、および欠陥があるかどうかを確認しようとしていました（完全に愚かで恐ろしく欠陥のある設計がある可能性があるため、私は尋ねています）。

わかりました、クライアント -> サーバー通信があります。クライアントは、2048 ビットの RSA キーの公開部分にハード コードできます。クライアントが安全な接続を開始したい場合、クライアントは自分のユーザー名、パスワードの md5 ハッシュ、およびランダムな UUID のハッシュを送信します。これらはすべてサーバーの公開鍵に対して暗号化されています。サーバーは情報を受け取り、秘密鍵を使用して復号化します。データベースをチェックして、彼のログイン + パスが機能するかどうかを確認し、機能する場合は、DB の「セッション」テーブルに新しいエントリを作成します。これには、SessionID、UID (ユーザー ID)、および UUID ハッシュが含まれます。対応するセッション ID の UUID をキーフレーズとして使用すると、サーバーは Blowfish の暗号化された単語「Success!」を含むメッセージを返信します。+ ランダムな UUID (このメッセージはデジタル署名されているため、サーバーから送信されたかどうかを判断できます)。その時点から、クライアントがサーバーに情報を送信すると、平文の sess_id が含まれ、対応するセッション ID のフグの秘密 (DB に暗号化されて保存されます) を暗号化/復号化のキーとして使用して、フグの暗号化メッセージが含まれます。

具体的には、このシステムが「機能するはず」なのか、それとも MITM などの脆弱性が明らかに明白に存在することに誰かが気付いたのか、私は興味があります。

現在、クライアントが Web ブラウザーを使用して Web サイトにアクセスする限り、相互認証セキュリティの実装に成功しています。これは、ブラウザーがすべての証明書交換を処理するためです。次に、サーバーが必要とする相互認証を使用して、ユーザーが HTTPS 経由で Web サービスにアクセスできる安全なインターフェイスを作成する必要があります。

まず、これに役立つリソースを知っている人はいますか? 私はかなり長い間探しましたが、何も見つかりませんでした。これを行う方法について誰かが私に与えることができる他のヒントはありますか?

第二に、私の最大の障害は、証明書の処理方法を理解していないことだと思います。サーバーのキーを受け入れ、自分のキーをサーバーに提示することをネゴシエートするにはどうすればよいですか? これは Java です。

自社のCAで署名された証明書を使用してサービスに接続するiPhoneシミュレーターでアプリケーションをテストしたいと思います。CA証明書を持つプロビジョニングプロファイルを追加することにより、実際のデバイスでこれを行うことができます。標準のOSXキーチェーンにCA証明書があると機能すると思っていましたが、機能しません。

そのため、Safari経由で警告なしにサービスにアクセスできますが、シミュレーターで実行しようとするとエラーが発生します。

公開鍵とBlowfishアルゴリズム、または公開鍵とAES-256アルゴリズムのいずれかで暗号化されたファイルがあります。

私は、ファイルを復号化するために（私が持っている）秘密鍵を使用できるPerlスクリプトをまとめようとしています。

公開鍵ファイルと秘密鍵ファイルはすべてPEM形式であり、PEMファイルを読み取る方法や、鍵を使用してデータを復号化する方法は見つかりますが、PEM->鍵から移動する方法はまだ見つかりません。

助言がありますか？

SSL を使用して Tomcat サーバーを構成しようとしています。私はこうしてキーペアを生成しました：

次に、証明書署名要求を生成します。

次に、内容をコピーtomcat.csrして Thawte の Web サイトのフォームに貼り付け、試用版の SSL 証明書を要求します。その見返りに、 で区切られた 2 つの証明書を取得し、 と の下に-----BEGIN ... -----END保存します。(Thawte では、2 番目の証明書を「Thawte Test CA Root」証明書と呼んでいます)。tomcat.crtthawte.crt

どちらかをインポートしようとすると失敗します:

これらのコマンドのいずれかにオプションを追加し-trustcacertsても、何も変わりません。

私がここで間違っていることは何か分かりますか?

tomcat server.xmlのcrlファイルを作成および更新するにはどうすればよいですか？

証明書の件名は証明書の内容ですか?

そのような：

Subject DN = Subject Distinguished Name = これが何であるかの一意の識別子。一般名、組織、組織単位、国コードなど、認証されているものに関する情報が含まれます。

Subject Key = 証明書の秘密鍵と公開鍵のペアの一部 (またはすべて)。証明書からのものである場合、それは公開鍵です。セキュリティで保護された場所にあるキー ストアからのものである場合は、おそらく秘密キーです。キーのいずれかの部分は、証明書を受け取ったモノが使用する暗号化データです。

サブジェクト証明書 - トランザクションのエンドポイント - これは、整合性チェック、認証、プライバシーなどの安全な機能を要求するものです。

また、IKE V2 では Subject のどのような内容が使用されますか?

PKIインフラストラクチャに関連する質問があります。組織は、Microsoft PKIまたは独立した個別のPKIインフラストラクチャを使用する必要がありますか？Microsoft PKIインフラストラクチャを使用している場合、ライセンスの制限はありますか？または、PKI TSAおよびSP（Signature Proof）インフラストラクチャを提供するベンダーから独立したPKIインフラストラクチャを入手する必要があります。

拡張機能を追加したいX509Certificateがあります...PrivateKeyUsage拡張機能を追加したいのですが、PrivateKeyUsageオブジェクトを作成する方法やnotBefore＆notAfter値を指定する方法がわかりません...ありがとう