問題タブ [x509certificate]

次のことを行う作業用の簡単なプログラムを作成する必要があります。

1. 設定ファイルを読む
2. 多数のサーバーに接続する
3. SSL ソケットを確立する
4. サーバーの x509 証明書から情報を引き出し、現時点では有効期限とホスト名を取得します
5. 完了したらレポートをメールで送信

項目 3 と 4 は、2001 年頃の 1.2 以降、Java をよく知らないので、検索/ググるのに不運に見舞われたものです。

Ruby で自己署名証明書を生成しようとしていますが、問題が発生しています。これは私が現在持っているものです：

生成された秘密鍵と証明書を apache で使用しようとすると、次のエラーが発生します。

これは私の証明書が言うことです：

これは、私がオンラインで見つけたもののほとんどがそのapache2エラーについて言っていることです（CSRとCERTが混同されている可能性があります）。私の推測では、正しいタイプの証明書を生成していません。シリアルまたはバージョン属性を変更する必要があるかもしれません。また、とにかく私が知っていることではなく、どこでも自己署名を行っていません。私はあなたがこのようなことができることを知っています：

注意: 私の目標は、私の長い質問が途中で焦点を失った場合に備えて、自己署名証明書を生成することです。

編集:本当の問題は、鍵で証明書に署名する方法だと思います

keytool を使用して、サーバーとクライアントの認証を行う Web サービスを実装しました。問題は、ホストの名前を含めないと、この認証が機能しないことです。例えば：

しかし、ホストまたは IP による検証は必要ありませんし、好きではありません。それを回避する方法はありますか？

ありがとう。

以下のコードを使用してクライアント証明書をサーバーに渡そうとしていますが、それでも HTTP エラー 403.7 - 禁止されています: SSL クライアント証明書が必要です。HttpWebRequest がクライアント証明書を送信しない理由として考えられるものは何ですか?

WCF で認証を使用する場合は、サーバーとクライアントの間でやり取りされるデータを暗号化するために WCF が使用する証明書をサーバーにインストールする必要があることを理解しています。

開発目的では、makecert.exe ユーティリティを使用できると思います。開発証明書を作成します。

この証明書を実稼働環境で使用すると、最悪の事態が発生しますか?

と...

この証明書を本番環境で使用できないのはなぜですか?

と ...

このシナリオで、証明書は実際に何をするのでしょうか?

[編集：別の質問を追加]

最後に...

Web サイトに HTTPS サポートを提供する証明書がインストールされているシナリオでは、同じ証明書を WCF サービスにも使用できますか?

私のアプリケーションに関する注意: NetTCP クライアントおよびサーバー サービスです。ユーザーは、クリア テキストで渡される Web サイトで使用するのと同じユーザー名とパスワードを使用してログインします。u/n + p/w をクリアテキストで WCF に渡すことができれば幸いですが、これはフレームワークで許可されておらず、証明書が必要です。しかし、予算の制約から証明書を購入したくありません。

（おそらくばかげた質問で申し訳ありませんが、私はこれを本当に理解していないので、これについての助けを歓迎します）.

Server1 の Windows サービスでホストされている WCF サービスがあります。このマシンには IIS もあります。Web アプリからサービスを呼び出すと、正常に動作します。しかし、このサービス内で、Server2 にある別の WCF サービス (これも Windows サービスでホストされています) を呼び出す必要があります。セキュリティ資格情報は「メッセージ」と「ユーザー名」に設定されています。「SOAP プロトコルのネゴシエーションに失敗しました」のようなエラーが表示されます。認識されていないように見えるのは、サーバー証明書の公開鍵に問題があります。ただし、コンソール アプリで Server1 から Server2 のサービスを呼び出すと、正常に動作します。

このチュートリアルに従って証明書をセットアップしました: http://www.codeproject.com/KB/WCF/wcf_certificates.aspx

2番目のサービスを呼び出そうとするServer1上の私のサービスからの構成ファイルは次のとおりです。

Server1 でサービスを呼び出す Web アプリの構成ファイルは次のとおりです。

サービスからではなくコンソールアプリで呼び出すと、なぜ機能するのですか? おそらく、 certificateValidationMode="ChainTrust" と関係がありますか？

チェーンが任意に長くなる可能性がある場合に、m2cryptoを使用して、X509証明書の公開鍵バージョンから既知のルートCAのセットの1つに戻る信頼のチェーンを検証する方法を理解しようとしています。SSL.Contextモジュールは、SSL接続のコンテキストでこれを行っておらず、load_verify_locationsに渡された情報がどのように使用されているかがわからないことを除いて、有望に見えます。

基本的に、私は次のものと同等のインターフェースを探しています：openssl verify pub_key_x509_cert

m2cryptoにそのようなものはありますか？

ありがとう。

私はJavaセキュリティに不慣れです。自己署名ルート証明書で署名された証明書があります。client.pem が署名済み証明書で、root.pem がルート証明書であるとします。

署名された証明書は、クライアント プログラムに組み込まれます。

サーバープログラムへの接続が確立されたとき。

呼び出しが認証クライアントからのものであることを確認する必要があります。クライアントはその証明書をサーバーに送信する必要があります。

Java API を使用して、cleint.pem が実際に root.pem で署名されているかどうかを確認する必要があります。

2 つの同じ証明書を検証するための java.security.cert.Certificate.verify(PublicKey key) メソッドについていくつかのアイデアがありますが、これは信頼のルートを検証するのに役立ちますか?

助けてください。

ありがとう

Java ME で Bouncy Castle を使用して X.509 証明書を検証する例を教えてもらえますか? java.security.cert.Certificate.verify() を使用して Java SE コードでこれを簡単に行う方法を確認できますが、軽量の BC API で同等のメソッドを見つけることができませんでした。

前もって感謝します！

乾杯ディノ

次の Java を Python に相当するものに翻訳しようとしています。

これは、AWS FPS で使用される PKI 署名検証用です。http://docs.amazonwebservices.com/AmazonFPS/latest/FPSAccountManagementGuide/VerifyingSignature.html

ご協力いただきありがとうございます！