問題タブ [x509certificate]

UIにはASP.net2.0、中間層には.Net Webサービス（ASMX）、DBにはSQLServer2005を備えた従来の3層Webアプリを継承しました。これは現在、会社の従業員だけがユーザーであるイントラネットアプリケーションです。現在、アプリケーションはActive Directory（AD）認証を使用しています。

ログイン画面で、ユーザーにはユーザー名/パスワードダイアログが表示されます。中間層は、ADを呼び出して、ユーザー名/パスワードを確認します。OKの場合、sessionId guidが生成され、UIに返送されます。このsessionIdは、セッション内のUIからの後続のすべての呼び出しで渡されます。中間層のすべてのメソッドは、要求を処理する前に、まずSQLServerの単純なセッションテーブルに対してsessionIDの有効性を確認します。

次に、アプリケーションの中間層のWebサービスを、パブリックインターネットで利用できる新しいUIで利用できるようにする必要があります。認証は新しいUIによって管理されるため、認証について心配する必要はありません。ただし、セキュリティなしでWebサービスを完全に開いたままにしたくありません。サービスを呼び出すシステムにそうする許可があることを確認したいだけです。現在使用されているsessionIdを維持する必要があるため、新しいUIに負担をかけたくありません。

新しいUIから呼び出されたときにサービスを保護するための最良の方法についての見解はありますか？x509証明書を使用できると思いますが、以前にこれを実行したことがあるので、不利な点（パフォーマンス？）や実装方法を認識していません。

新しいUIは、.Net3.5を使用して開発されました。中間層に.Net3.5をインストールできるので、WCFを使用することでメリットが得られると思いますか？

X509証明書をオブジェクトとしてメモリに保存し、それをpemファイルとして保存してから再度ロードすると、最初に使用したのと同じ証明書が作成されると思います。ただし、これは当てはまらないようです。元の証明書をAと呼びましょう。pemファイルBAas_text（）からロードされた証明書はB.as_text（）と同じですが、A.as_pem（）はB.as_pem（）とは異なります。控えめに言っても、私はこれに混乱しています。ちなみに、Aが別のエンティティCによって署名されている場合、AはCの証明書に対して検証しますが、Bは検証しません。

私が見ているものを示すために、小さなサンプルプログラムをまとめました。これを実行すると、2番目のRuntimeErrorが発生します。

ありがとう、
ブロック

証明書の有効期限を確認するために、findコマンドからの出力をOpenSSLに送信しようとしています。

これはファイルを見つけます

これにより、必要な証明書情報が生成されます

これら2つをマージできますか？

ご協力いただきありがとうございます。

私のコンポーネントは、サーバーからのファイルのダウンロードを担当しています。ファイル検証の一環として、CAPICOM (SignedCode オブジェクト) を使用して、証明書に特定の文字列が含まれているかどうかを検証し、SignedCode オブジェクトの Validate メソッドを呼び出しました。名前に要求された文字列のない証明書がファイルに含まれている場合、ユーザーはこのファイルを信頼するかどうかを尋ねられました。

CAPICOM は Microsoft によって非推奨になるため、.NET ライブラリを使用してこれらのロジックを実装する必要があります。.NET ライブラリを使用して同じ機能を得るにはどうすればよいですか? ウェブ上に例はありますか？

ありがとうザキー

C/CPP を使用して PKCS#7 署名付きコード イメージから署名者情報を抽出したいと考えていました。openssl API について知りたかったのです。弾む城 (CMSSignedData) を使用して抽出できます。

各署名者と署名者情報を抽出し、署名者を検証するために C/CPP で使用できる openssl API を教えてください。

X509_LOOKUP_file() の代わりに X509_LOOKUP_buffer() のような API はありますか ???

よろしくお願いします

X509Certificate.CreateFromSignedFileを使用してファイルの署名に使用される証明書を取得する場合、信頼できる機関によって署名されていることを確認できますか？これは、ある種の「自己署名」証明書ではありませんか？

証明書から「Subject」（会社）名を抽出して、使用しているアンマネージDLLが無秩序であり（頻繁に独立して更新されるためチェックサムできません）、正式なものであることを確認したいと思います。

ただし、偽のDLLが「自己署名」証明書で署名され、元の会社の名前が返される可能性があるのではないかと心配しています。したがって、証明書がVersign、Thwateなどによって発行されたことを確認したいと思います（マシンの証明書リポジトリにインストールされているものはすべて問題ありません）。

X509Certificate.CreateFromSignedFileを使用している場合、これを行うにはどうすればよいですか？または、これを自動的に実行しますか（つまり、「自己署名」証明書は失敗します）？

私は暗号化に不慣れで、少し行き詰まっています：

HTTPSを使用して（開発環境から）Webサービスに接続しようとしています。Webサービスにはクライアント証明書が必要です。これは正しくインストールされていると思います。

彼らは私に.PFXファイルを提供してくれました。Windows 7では、ファイルをダブルクリックして、現在のユーザー-個人証明書ストアにインストールしました。

次に、ストアの証明書エントリからX509Base-64でエンコードされた.cerファイルをエクスポートしました。秘密鍵が関連付けられていませんでした。

次に、私のアプリで、次のようにサービスに接続しようとしています。

接続すると502接続に失敗します。

この方法で間違っていると思われることはありますか？実稼働環境は同様の構成で動作しているようですが、WindowsServer2003を実行しています。

ありがとう！

およびクライアント証明書を使用してSslServerSocketおり、クライアントのSubjectDNからCNを抽出したいと考えていますX509Certificate。

現時点では電話をかけていますcert.getSubjectX500Principal().getName()が、もちろんこれにより、クライアントのフォーマットされたDNの合計がわかります。どういうわけか、私はCN=theclientDNの部分に興味があります。文字列を自分で解析せずにDNのこの部分を抽出する方法はありますか？

HTTP 要求を実行し、Java を使用して X.509 証明書で署名するにはどうすればよいですか?

私は通常、C# でプログラミングします。今、私がやりたいことは、Java のみで、次のようなものです。

Java でjava.security.cert.X509Certificateインスタンスを作成しましたが、それを HTTP リクエストに関連付ける方法がわかりません。java.net.URL インスタンスを使用して HTTP リクエストを作成できますが、証明書をそのインスタンスに関連付けることができないようです (また、java.net.URL の使用が適切かどうかもわかりません)。

ユーザーがサービスへの接続に使用する可能性がある iPhone アプリケーションの各インスタンスの ID を確認したいと考えています。そのために、iPhone アプリの各インスタンスをダウンロードして、生成した証明書、または生成した何らかの UUID を含めたいと考えています。App Store は、App Bundle に固有のファイルを含めることをサポートしていますか?

または、そのような識別子は、アプリのインストール後にのみダウンロードする必要がありますか? その場合、ダウンロードしたアプリがなりすましではなく、(私から) 信頼されていることを確認するメカニズムはありますか?