不久前,我从 DigiCert 购买了代码签名 EV 证书。我已经拥有一个 USB eToken,因此我选择了一种交付方式,即从他们的网站下载。订单要求我附加一个 CSR,这是我通过他们的 Windows 证书实用程序生成的。在任何时候都没有使用现有的硬件 eToken 进行任何交互,甚至没有插入,所以我知道私钥一定存储在生成 CSR 的 Windows 计算机上,而不是 USB eToken 上。
当他们向我发送下载链接时,我只需将其导入他们的 DigiCert 证书实用程序即可。这意味着证书和私钥现在都位于我的电脑上,而不是我的 USB eToken 上。
似乎我甚至不需要 eToken 设备来签署代码,这让我很疑惑,对于这种特定的交付方式,eToken 的意义何在?我是否应该导出私钥和证书并将其导入 USB eToken,然后将其从我的机器中删除?假设 eToken 的唯一作用是存储无法轻松导出的私钥,为什么甚至有通过下载链接交付 EV 证书的选项,为什么我能够在不连接 USB eToken 的情况下使用实用程序生成 CSR?
我已经创建了一个 CA 并生成了一个使用该 CA 签名的自签名证书,然后将其与 IIS 服务器上的本地网站绑定,在我的 PC 上工作正常,但是当我在同一 Intranet 上的其他 PC 上访问它时,它会给出一个未知发布者的错误。我想要实现的是,我应该能够在内网上通过 https 访问 IIS 服务器上本地托管的网站。
RFC 5280中写道,例如X520OrganizationName可以使用以下编码之一:
X520OrganizationName ::= CHOICE {
teletexString TeletexString
(SIZE (1..ub-organization-name)),
printableString PrintableString
(SIZE (1..ub-organization-name)),
universalString UniversalString
(SIZE (1..ub-organization-name)),
utf8String UTF8String
(SIZE (1..ub-organization-name)),
bmpString BMPString
(SIZE (1..ub-organization-name)) }
如何查找给定 X509 证书中使用的编码?有没有openssl命令或者类似的软件?
$ConfigContent = @"
; Request.inf
[Version]
Signature="`$Windows NT$"
[NewRequest]
Subject = "CN=$CN,C=ES,ST=Barcelona,L=Barcelona,O=$O"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=$CN&"
_continue_ = "DNS=testing.$CN&"
"@
$ConfigContent | Out-File -FilePath "$CN.inf" -Encoding ASCII
# Create a certificate request
if (certreq -new -f "$CN.inf" "$CN.csr") {
# Submit the request to a Certificate Authority
# Define a regular expression pattern to match the ID
$pattern = 'Id\. de solicitud: (\d+)'
$commandOutput = certreq -submit -config "localhost\COMPANY-AD01-CA" "$CN.csr" "$CN.crt"
# Use the Select-String cmdlet to find the first match in the output
$match = $commandOutput | Select-String -Pattern $pattern | Select-Object -First 1
if ($match) {
$id = $match.Matches.Groups[1].Value
# Accept the issued certificate
certutil -config "localhost\COMPANY-AD01-CA" -resubmit $id
certreq -config "localhost\COMPANY-AD01-CA" -q -f -retrieve $id "$CN.crt"
Remove-Item -Path "$CN.inf", "$CN.csr", "$CN.rsp", "$CN.csr" -Force
}
else {
Write-Host "Failed to submit the certificate request."
}
}
else {
Write-Host "Failed to create the certificate request."
}
我使用它创建一个证书,将其发送到 CA 并接受它。
certreq -retrieve只获取证书,而不获取密钥,我如何获取密钥或如何在 apache 中使用该证书?
我想使用 Offlineimap 作为我的电子邮件的备份。如何获取邮件服务器的证书?
另外,如果我需要整个证书链怎么办?我怀疑服务器证书是由第三方机构签署的。
我正在开发新网站并使用 HTTPS。在我的个人台式电脑和 iPhone 上,一切正常,但我来自另一个国家的朋友遇到了以下问题:
NET ERR CERT 通用名称无效
我使用 Let's Encrypt 证书、NGINX 和 Keycloak。Keycloak SSO 位于自己的子域中。
这个问题可能是什么原因以及如何解决?
是否可以阻止用户绕过浏览器中显示的证书警告,如果可以,如何?
假设我们无法控制远程服务器,并且完全控制客户端计算机。
问题与 Chrome 网络浏览器有关。
上下文是一个 Windows 域。我的最终目标是让一个内部网站(网站服务器已加入域)在我从域工作站访问它时显示为“受信任”。
目前(例如在 Firefox 或 Edge 中),网站显示“连接不安全”,但我已在域控制器的证书颁发机构中安装了该网站的 .cer。我可以在颁发证书下的 certsrv 中看到它!(必须审查大部分内容)但我可以保证:序列号、颁发的国家/地区、颁发的通用名称=主题名称通用名称、之前和之后的有效性在下面的这个屏幕和我看到的证书之间的所有匹配浏览器
最后,这个内部网站仍然显示为不安全。
我有一个带有以下 CRL 的证书:
URL=ldap:///CN=GOLF Root-CA,CN=VSCERT02,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=toplevel-domain,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=GOLF%20Root-CA,CN=VSCERT02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=toplevel-domain,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint
因为在从 VPN 迁移到 ZTNA 网络解决方案后,我们遇到了该 CRL 的问题。不幸的是,我找不到要求访问它的 DNS/网络级别的 FQDN。
如何从该 CRL 获取 FQDN?
最好的问候莱纳斯