問題タブ [ssl-certificate]

SslStreamを使用してSSLソケットを提供する.Netサーバーアプリケーションに取り組んでいます。一部のクライアント（libcurlに基づくクライアントなど）では機能しますが、中間証明書がないために他のクライアントがエラーをスローします。これらのクライアントを満足させるために、中間証明書をSslStreamまたはX509Certificate2オブジェクトに関連付けるにはどうすればよいですか？

接続を受け入れるときに現在使用しているコードは次のとおりです。

OpenSSLを使用している場合は、これを使用しますSSL_CTX_add_extra_chain_cert()。X509Chainオブジェクトを見ましたが、どのように収まるかわかりません。

ありがとう。

テストサーバーのペア（2008 R2、IIS7）の1つに最初のSSL証明書を要求しています。私たちのCAはADの一部ではないので、「インターネット証明書の要求」を行う必要があることがわかりました。ただし、このリンクは、ボックスに何を入れるかを教えてくれないため、あまり役に立ちません。「一般名」ボックス以外はすべて問題ないと確信しています。ここにサーバー名を入れる必要があると思いますが、よくわかりません。

通常、私は自分のサイトでホストヘッダーを使用して、ネットワーク担当者がサーバーのペア間で負荷分散または少なくともフェイルオーバーを提供できるようにしています。ここでそれを行うことはできますか？その場合、ホストヘッダー名またはサーバー名を入力しますか？

mechansim を使用して Netbeans を使用して Web サービスを保護したい:「SSL を介したメッセージ認証」と、Netbeans のドキュメントと Sun WSIT チュートリアルで指示されたすべてのことを行います。生成された SSL キーもクライアント jre にインポートしますが、クライアント コードを実行すると、まだ次のエラーが発生します。

次の WSDL にアクセスできませんでした: https://localhost:8443/SecureWebService?wsdl。失敗しました: sun.security.validator.ValidatorException: PKIX パス構築に失敗しました: un.security.provider.certpath. SunCertPathBuilderException: 要求されたターゲットへの有効な証明書パスが見つかりません。

誰かが私を助けてくれますか？

複数のsubjectAltNamesを含む証明書 (IIS 7 の SSL 用) を要求しました。一般の人々が異なるサイト間のリンクを見ることができるため、これを好まない人もいると読んだことがあります。(証明書は内部使用のためのものであるため、これは問題ではありません)。しかし、これは、証明書を表示したときに subjectAltNames を表示できるはずであることを示唆しています。私はできません。

それらを見ることができるはずですか? もしそうなら、どこで?

SSL証明書のプロパティページ（mmc /certificatesを使用してWindowsでアクセス可能）では、各証明書は次のような目的のセットに関連付けられています。

電子メールメッセージを保護します

リモートコンピューターに自分の身元を証明する

リモートコンピュータのIDを確認します

ソフトウェアがソフトウェア発行元からのものであることを確認します

公開後のソフトウェアの改ざんから保護します

すべての発行ポリシー

またはこのように：

1.3.6.1.4.1.6449.1.2.1.3.4

これらの文字列と人間が読める形式との対応をどのように取得できますか？

MATLAB のコマンドを使用して内部データベースにアクセスしていますurlread。サービスが安全なサーバー (つまり、HTTP アドレスではなく HTTPS アドレス) に移動されるまで、すべて正常に機能していました。urlread結果を正常に取得できなくなりました。エラーが発生します：

URL のダウンロード中にエラーが発生しました。ネットワーク接続がダウンしているか、プロキシ設定が正しく構成されていない可能性があります。

問題は、サービスが無効なデジタル証明書を使用していることだと思います。Web ブラウザーでリソースに直接アクセスしようとすると、サイトを例外リストに追加することで通過できる「信頼できない接続」という警告が表示されるためです。urlreadこの問題を処理する明確な方法はありません。

内部でurlreadは Java を使用して Web リソースにアクセスしており、次の行でエラーがスローされます。

はurlConnectionJava オブジェクトです: sun.net.www.protocol.https.HttpsURLConnectionImpl.

この問題の回避策を提案する人はいますか?

エグゼクティブ サマリー: Java コードを使用して新しいルート証明書を Java にインストールするにはどうすればよいですか?

さまざまな Web サービスにアクセスするデスクトップ アプリケーションがあります。最近、そのうちの 1 人が SSL 証明書を Trustwave によって署名されたものに切り替えました。Trustwave SSL 証明書は通常のインターネット ブラウザで受け入れられますが、Java には前提条件となるルート証明書が付属していないようで、指定された Web サービスへのアクセスが失われ、次のエラー メッセージが表示されました。

プロバイダーに Verisign に戻すよう説得することで一時的な猶予を得ましたが、彼らが元に戻すときは準備ができていなければなりません。そのため、必要に応じて Trustwave ルート証明書を自動的にインストールするデスクトップ ソフトウェアが必要です。私たちの顧客は keytool コマンドを使用するほど技術に精通しておらず、脆弱なソリューション (Mac と PC の個別の実装、Vista の実行制限との闘い、インストールする正しい JRE を見つけるのに苦労) のように思うので、スクリプトを作成したくありません。など）。

keytool は内部で Java を使用していると思います。keytool の機能を複製し、ルート証明書をプログラムでインストールするには、Java 内でどのコマンドを使用できますか?

Hudson (SVNKit を使用) を使用して、アクセスにクライアント証明書が必要な Subversion リポジトリにアクセスしようとしています。Eclipse 経由で同じクライアント証明書を使用して (SVNKit も使用して)、同じリポジトリにアクセスできます。

Hudson がリポジトリをチェックアウトしようとすると、次のエラーで失敗します。

Hudson は Tomcat で実行されているため、Tomcat ログ ( ) で ssl デバッグをオンにしました-Djavax.net.debug=ssl。

握手の終わりに私は見る：

それが問題の核心であるかどうかはわかりません。

これは、認証局のリストに従います。サーバーの証明書ルート発行者とcacerts中間発行者がインポートされていることを確認しました。私はまだ同じ問題を抱えています。

何を見るべきかについてのアイデアはありますか？

ログは pastebin にあります。

サーバー上に自己署名証明書を作成しました。

次に、証明書をトラストストアにインポートして、アプリケーションを作成する必要があります。Tomcatの場合は、ここに配置します：％JAVA_HOME％\ jre \ lib \ security \ cacerts

JBossの同等のものはどこにありますか？どこを見ればいいですか？

SSLに加えてアプリケーション認証を備えた相互SSLサービスがあるとします。したがって、クライアントは証明書（およびサーバー）を提供しますが、クライアント要求（REST要求など）には、バックエンドアプリケーションサーバーが認証するユーザー名/パスワードも含まれます。

クライアント認証の「程度」に関しては、複数のレベルがあるようです。1つのレベル（a）は、クライアントがサーバーCAストアにあるCAによって署名された証明書を提供するためのものです。もう1つの明らかなレベル（b）は、サーバーが（a）に加えて、アプリケーションの資格情報が正しいことを確認することです。3番目のレベル（c）は、（a）と（b）を実行し、さらにクライアント証明書がアカウントに一意に関連付けられていることを確認することです。

（c）の利点は、「信頼できるCA」によって信頼されている誰かが、違法に取得されたアプリケーションパスワードを悪用するのを防ぐことです。

これはすべて非常にありそうもないことですが、単純に（a）または（b）ではなく、（c）が相互SSLの一部であるとどの程度想定されているのでしょうか。