問題タブ [ssl-certificate]

アプリケーションを構築しており、データ転送を保護するために OpenSSL を使用する予定です。

クライアントにサーバーの証明書のみを検証させることを計画しています。サーバーの証明書を保護する方法について混乱しています。秘密鍵を含むサーバーの証明書を暗号化したいのですが、この暗号化にハードコードされた鍵を使用したくありません。

SSL を使用するアプリケーションが従う一般的な方法にはどのようなものがありますか?

証明書ストアに pfx を追加するコードを次に示します。

しかし、NetworkService が秘密鍵にアクセスするためのアクセス許可を設定する方法が見つかりませんでした。

誰でも光を当てることができますか？前もって感謝します。

Windows CE 5.0 アプリケーションには、ワイルドカード SSL 証明書 (*.domain.com) に問題があり、有効なものとして受け入れられません。

Windows Mobile 6.0 はワイルドカード証明書をサポートしており (以前のバージョンはサポートしていません)、それが WinCE 5 に基づいて構築されていることを理解しています。これは、WinCE 5 を変更してワイルドカード証明書を受け入れるようにすることが可能であることを示唆しています (編集 - どうやらこれは、環境であり、有効な推定ではありません!)。

これについてどうすればよいか、誰か提案できますか？何百もの既存のクライアントに展開できるように、変更はプログラムで行う必要があります。

ヘルプ！

最近、www.example.com には有効だが * .example.comには無効な Web サイトのセキュリティ証明書を購入しました (ワイルドカード バージョン - より高価です)。安全なバージョン (ssl が有効なページ) https://example.comでは、無効な証明書の例外が発生します。これは完全に理解できます。

リクエストが実際にサーバーに到達する前に、https トラフィックを www.example.com バージョンにリダイレクトするにはどうすればよいですか? URLの書き換えとリダイレクトを試みましたが、運がありませんでした。何か案は ？

Web サイトは ASP.NET を使用して構築され、IIS 7 サーバーでホストされています。

ありがとう！

SSL はどのように機能しますか?

証明書はクライアント (またはブラウザー?) とサーバー (または Web サーバー?) のどこにインストールされていますか?

ブラウザーに URL を入力してサーバーからページを取得すると、信頼/暗号化/認証プロセスはどのように開始されますか?

HTTPS プロトコルはどのように証明書を認識しますか? すべての信頼/暗号化/認証作業を行うのは証明書であるのに、HTTP が証明書を処理できないのはなぜですか?

私はSSLを私のRailsサイトにすぐに切り替えるつもりで、誰が最高のプロバイダーであるかについて誰かが考えや提案を持っているかどうか疑問に思っていましたか？

誰かが特定のベンダーに関して何か幸せな話や恐怖を持っていますか？

ありがとう

ケント

clickonce (web サイト foo.com) を使用して展開され、暗号化されたトランスポートで WCF を使用してサーバーに接続するソフトウェアを開発しています。

したがって、次のようなSSL証明書が必要です。

• 私の foo.com ウェブサイトが本当に私のウェブサイトであることを特定する
• clickonce を使用してデプロイした exe を正規のものとして識別します
• 私のアプリケーション サーバーが実際に私のアプリケーション サーバーであることを確認します。

また、自分の SSL 証明書が一般に知られている機関によって署名されることを望んでいます (つまり、firefox や Windows は、最初に機関の証明書をインストールするようにユーザーに要求しません!)

どの SSL 証明書を購入しますか?

Verisign の Web サイトを閲覧しました。「Secure Site EV」証明書は年間 1150 ユーロです (「Pro」バージョンは、古いブラウザーとの互換性のためにのみ役立つようです)。

SSL 経由のトラフィックを許可するようにサーバーをセットアップしようとしています。SSL が Name Virtual Host で機能しないことは承知していますが、専用のプライベート IP を持つ仮想マシン上にすべての Apache サーバーがあります。適切な VM にトラフィックをルーティングするための mod_proxy セットアップを持つプライマリ仮想マシンがあります。

ただし、https トラフィックをルーティングするには、VM だけでなくプロキシにも証明書をインストールする必要があります。すべてのホストで使用できるワイルドカード証明書があります。すべてが正常に動作しているように見えますが、プロキシの apache ログに次のメッセージが表示されます。

[警告] 初期化: SSL サーバーの IP/ポートの競合: host1.domain.com:443 (/etc/apache2/sites-enabled/host1:1) vs. host2.domain.com:443 (/etc/apache2/sites-有効/ホスト 2:1)

プロキシでセットアップしたホストごとに、これらのエラー メッセージのいずれかが表示されます。プロキシの仮想ホストのセットアップは以下に掲載されています。

これを機能させる方法はありますか？

自己署名 SSL 証明書を使用する API に接続しようとしています。.NET の HttpWebRequest および HttpWebResponse オブジェクトを使用してそうしています。そして、次の例外が発生します。

基になる接続が閉じられました: SSL/TLS セキュア チャネルの信頼関係を確立できませんでした。

これが何を意味するのか理解しています。そして、 .NET が私に警告して接続を閉じる必要があると感じる理由を理解しています。しかし、この場合はとにかく API に接続したいので、中間者攻撃はやめてください。

では、この自己署名証明書に例外を追加するにはどうすればよいでしょうか? または、証明書をまったく検証しないように HttpWebRequest/Response に指示するアプローチですか? どうすればいいですか？

.key ファイルから .pfx ファイルに変換する方法はありますか? ありがとうございました。

編集: 私は .key ファイルしか持っていませんが、私のホスティング プロバイダーは、そのファイルだけで .pfx に変換できると言っています。