問題タブ [self-signed]

自己署名証明書を使用してIIS7で実行されているWCFWebサービスがあります（これは、これが目的のルートであることを確認するための概念実証です）。SSLを使用する必要があります。

自己署名証明書を必要とせずに、WCFテストクライアントを使用してこのサービスをデバッグすることは可能ですか？

試してみると、次のエラーが発生します。

エラー：https：///Service1.svcからメタデータを取得できませんこれがアクセス可能なWindows（R）Communication Foundationサービスの場合は、指定されたアドレスでメタデータ発行が有効になっていることを確認してください。メタデータ発行を有効にするためのヘルプについては、http： //go.microsoft.com/fwlink/？ LinkId=65455.WS-MetadataにあるMSDNドキュメントを 参照してください。 ExchangeエラーURI：https：///Service1.svcメタデータに解決できない参照が含まれています：'https：///Service1.svc'。権限''を持つSSL/TLSセキュアチャネルの信頼関係を確立できませんでした。基になる接続が閉じられました：SSL/TLSのセキュリティで保護されたチャネルの信頼関係を確立できませんでした。検証手順に従って、リモート証明書が無効です。HTTPGETエラーURI：https：///Service1.svc「https：///Service1.svc」のダウンロード中にエラーが発生しました。基になる接続が閉じられました：SSL/TLSのセキュリティで保護されたチャネルの信頼関係を確立できませんでした。検証手順に従って、リモート証明書が無効です。

編集：この質問は、特にWCFテストクライアントを使用して、自己署名証明書を使用してSSL経由で既に保護されているWebサービスをテストすることに関するものです。サーバーは、提供された証明書を受け入れるように既に設定されています。これを行う方法がわからないのは、WCFテストクライアントです。

https 経由で xml rpc サーバーと通信する Silverlight 3.0 アプリケーションを作成しました。アプリケーション全体は、サーバーを異なるマシンにインストールし、クライアントを同じマシンにインストールできる LAN 環境で実行されます。サーバーのIPに対して生成された自己署名証明書を使用しており、信頼されたルート証明機関に入れる必要がありますクライアントマシン上。しかし、2番目のサーバーと通信したい場合は、その特定のサーバーのIPに対してクライアントマシンに別の証明書をインストールする必要があります。要するに、n個の異なるサーバーと通信したい場合は、クライアントにn個の証明書をインストールする必要がありますが、これは私には不可能です、LAN環境を介して単一の証明書でそれを行うにはどうすればよいですか。証明書はサーバーの IP またはホスト名に対して生成されます。SSL 証明書の検証をバイパスする方法はありますか? お気に入り

しかし、上記のコードは Silverlight では使用できませんか? 助けはありますか？

hmailserver 5.3.2 をインストールして構成しました。メールの送受信は普通にできますが、別サーバーにある.net/C#アプリからのメール送信に使いたいので、SSL通信を使いたいと思いました。以前は、アプリケーションはポート 587 で gmail 経由でメールを送信するように構成されていましたが、問題なく動作していましたが、今は独自のメール サーバーを使用したいと考えています。最初に、ポート 25 の smtp.domain.com に接続するようにアプリケーションを構成しました。これが機能し、電子メールが送信されます。

次に、安全なチャネルを介してメッセージを送信できるかどうかをテストするために、自己署名証明書を作成しました。openSSL 設定共通名で証明書を作成しました: mail.domain.com、smtp.domain.com、*.domain.com、 domain.com. ファイアウォールでポート 587 を開き、そのポートでのインバウンド接続に証明書を使用するように hmailserver を構成しました。作成した証明書はどれも機能せず (1 つ試してから別の証明書を作成するなど)、アプリケーションで次の (一般的な) 例外が生成されました。

もちろん、telnet 経由で接続しようとしました: telnet smtp.domain.com 587 で、空白の画面が表示されました。ポート 587 で ssl を無効にすると正常に接続できるため、ファイアウォールの問題ではありません。ログを見ると、SSL で 587 を使用しているときに接続しようとしている様子さえありません。

私はすでにこれらの質問をチェックしました：Getting SmtpClient to work with a self signed SSL certificateとUsing a self-signed certificate with .NET's HttpWebRequest/Response、しかしそれは私の問題を解決しませんでした。ServerCertificateValidationCallbackを使用したアプローチには何の影響もありませんでした。

ポート 25 (上記の質問の 1 つでも提案されています)、465、587 で試してみましたが、3 つすべてで同じことが起こります: 最初のハンドシェイク (SYN / SYN-ACK / ACK) と約 80 秒後に接続はクローズド (FIN)、間に何もありません。

その証明書をどこかにインストールして、.net アプリケーションが信頼できると見なす必要がありますか? つまり、すでに信頼されたルート認証局としてインストールしており、mmc を実行して確認できたので、どこに行けばよいかわかりません...

助けてくれてありがとう！

PS: C# アプリケーションだけでなくメール サーバーにも関係するため、これが ServerFault に属するかどうかはわかりません...

編集:コードサンプル:

EDIT 2: ログ (Ramunas の提案に基づく):

自己署名証明書を作成するための次のコードの perl での同等の例は何でしょうか?

私が利用できるのはCrypt::OpenSSL::RSAだけです(別のモジュールがある場合はお知らせください。私は管理者/所有者ではなく、権利の問題のために自分でインストールできないため、それが利用可能またはインストール可能であることを確認できます)そのような実装方法に関するドキュメントで見つけたものはありません...可能であればコマンドラインコマンドを避けたかったのですが、これを作成するための最後の手段である場合はそうではありません...

SSLSocket を使用してデータを交換する単純なクライアント/サーバー システムを構築しようとしています。(JavaSE 6) サーバーには独自の証明書が必要ですが、クライアントには必要ありません。

私はこれから始めました http://java.sun.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore サーバーのキーと自己署名証明書を生成するには。要約すると：

次に、サーバーコードで行います

「javax.net.ssl.SSLException: 有効な SSL 暗号スイートに対応する利用可能な証明書またはキーがありません」というメッセージが表示されるため、基本的にいくつかの点が欠けています。サーバーを実行しようとすると。

証明書に問題がある可能性はありますか? keytool で -validity を使用すると、証明書は自己署名されるため、間違っていなければ機能するはずです。

ドキュメントを読むと、SSLContext を正しくセットアップするには、プロパティ「javax.net.ssl.keyStore」を設定するだけで十分なようです。なにか提案を？

私はしばらくの間 WCF に苦労してきましたが、それを理解できないようです。SSL が有効になっている (自己署名ルート CA からの署名付き証明書を使用する) 自己ホスト型 WCF サービスを使用していますが、これまでのところ問題ありません。このサービスは企業間通信のためのものであるため、証明書が最適なソリューションであると思われました。

(私は現在 WS バインディングを使用していますが、すべてのバインディング メソッドが (私の知る限り) クライアント証明書によるトランスポート レベルのセキュリティをサポートしているため、これは開発目的のためだけです。)

サービスに関連するいくつかの構成ビット:

WCF サービスを実行しているユーザーの「信頼できる人」ストアにある自己署名証明書をクライアントに使用させると、失敗します。自分のルート CA によって署名された証明書を使用すると、「信頼できる人」ストアになくても機能します。

自己署名証明書を使用して「信頼できる人」ストアに保存すると、うまくいくと思っていました。しかし、追加の検証が行われているようです。何か足りないものがありますか? より良い方法はありますか？

自己署名証明書を使用する SSL でアクセスする必要があるリソースがいくつかあります。一般に、ほとんどのツールには、エラーや警告なしでこれらにアクセスできるようにするための簡単な設定があります。ただし、JVM でこれを行う適切な方法は、署名証明書を CA としてキーストアにインポートすることです。

使用したい Groovy スクリプトがありますが、キーストアを変更したり、新しいキーストアを配布したりせずに、任意の JVM でスクリプトをスタンドアロンで動作させたいと考えています。証明書の検証を無効にする簡単な方法はありますか?

SSL の問題に 1 か月以上悩まされています。

openssl を使用して、独自の CA、サーバー、およびクライアント証明書を生成しました。また、Apache Web サーバーで「SSLrequire」を有効にしました (htaccess では、これは間違っている可能性があります)。つまり、サーバーで https 経由で接続しようとする人は、有効な証明書を提示する必要があります。

手順は次のとおりです。

• CA キーを生成する
• CA CSR を生成する
• CA キーで CA CSR に署名する

そのため、サーバーとクライアントの証明書に署名するために使用される独自の CA があります。

次のステップ

• サーバーキーを生成する
• サーバー CSR を生成する
• CA キーでサーバー CSR に署名する

これで、サーバー証明書とサーバー秘密鍵がサーバーに正常にインストールされました

次は

• クライアントキーを生成する
• クライアント CSR を生成する
• CA キーでクライアント CSR に署名する

次に、クライアント証明書を CA 証明書と共にユーザーに配布します。どちらもブラウザにインストールされていました。

接続しようとすると、「証明書を発行した CA をピアが認識せず、信頼していません。」というエラーが表示されました。

自己署名 CA 証明書がサーバーにインストールされていないという問題を特定しました。通常、サーバーは信頼できる CA のリストをデバイスに接続しようとして提示し、デバイスはサーバーが提示したいずれかの CA によって署名された証明書を送信する必要があります。しかし、自己署名 CA 証明書がサーバーにインストールされていなかったため、ブラウザーはサーバーが受け入れる証明書を提示できました。

そこで、サーバー - コントロール パネル Hsphere に CA 証明書をインストールしました。

CA 証明書の内容を取得し、サーバーの「認証局ファイル」テキスト領域にコピーしましたが、サーバーは「SSL 構成の更新に失敗しました。キーと証明書が異なります」と不平を言うたびにそれを受け入れませんでした。

CA証明書はそれ自体で署名されているため、サーバーは証明書とキーが異なるとどのように言うことができますか.

また、CA 証明書ファイルと CA キー ファイルの両方の内容を「Certificate Authority File」テキスト領域にコピーしようとしましたが、これもうまくいきませんでした。

私が言ったように、私たちは1か月以上それと格闘してきました. 誰かがそれを助けることができれば、本当に感謝しています。サービスの料金を支払う必要がある場合は、お知らせください。

前もって感謝します。

AdobeAIRを使ってアプリを開発したい。ただし、コード署名証明書を使用して署名する必要があります。コード署名証明書を購入したくありません。自己署名証明書を使用してアプリを配布しても大丈夫ですか？

プライマリ アプリケーション ドメインで GoDaddy の SSL 証明書を使用する予定です。ただし、2 番目のドメインから画像、css、および JavaScript ファイルを提供しています。画像などを提供するドメインに自己署名証明書を使用する場合、自己署名証明書に関する警告メッセージをユーザーに表示せずに機能しますか?

ご回答ありがとうございます。ところで、なぜ両方の証明書を取得しないのかを聞かないでください。問題はもう少し複雑ですが、この質問をするために単純化しました。ありがとうございました。