Perguntas[certificate](computer)

Há algum tempo, comprei um certificado EV de assinatura de código da DigiCert. Eu já tinha um eToken USB, então selecionei um método de entrega onde o baixei do site deles. O pedido exigiu que eu anexasse um CSR, que gerei por meio do Certificate Utility para Windows. Em nenhum momento houve qualquer interação usando o eToken de hardware existente e ele nem estava conectado, então sei que a chave privada deve ter sido armazenada na máquina Windows, que gerou o CSR, e não no eToken USB.

Quando eles me enviaram os links de download, eu simplesmente os importei para o DigiCert Certificate Utility deles. O que significa que o certificado e a chave privada agora residem no meu PC, não no meu eToken USB.

Parece que nem preciso que o dispositivo eToken assine o código, o que me faz pensar, qual era o objetivo do eToken em primeiro lugar para esse método de entrega específico? Eu deveria exportar a chave privada e o certificado e importá-los para o eToken USB e depois excluí-los da minha máquina? Supondo que o único trabalho do eToken seja armazenar uma chave privada que não pode ser exportada facilmente, por que há uma opção para entregar um certificado EV por meio de um link de download e por que consegui gerar CSR com um programa utilitário sem anexar o eToken USB?

Eu criei uma CA e gerei um certificado autoassinado assinado usando essa CA, depois disso, vinculei-o ao meu site local no servidor IIS, funciona bem no meu PC, mas quando eu acesso em outro PC na mesma intranet, ele dá um erro de editor desconhecido. O que eu quero alcançar é que eu possa acessar o site hospedado localmente no servidor IIS em https na intranet.

Na RFC 5280 está escrito que por exemplo X520OrganizationNamepode usar uma das seguintes codificações:

X520OrganizationName ::= CHOICE {
      teletexString     TeletexString
                          (SIZE (1..ub-organization-name)),
      printableString   PrintableString
                          (SIZE (1..ub-organization-name)),
      universalString   UniversalString
                          (SIZE (1..ub-organization-name)),
      utf8String        UTF8String
                          (SIZE (1..ub-organization-name)),
      bmpString         BMPString
                          (SIZE (1..ub-organization-name))  }

Como posso pesquisar a codificação usada em um determinado certificado X509? Existe algum comando openssl ou software semelhante?

Estou acostumado a clicar no cadeado do Chrome para baixar o certificado e instalá-lo no meu jre.

Agora que o cadeado desapareceu, não consigo mais descobrir como baixar o certificado.

$ConfigContent = @"
; Request.inf
[Version]
Signature="`$Windows NT$"

[NewRequest]
Subject = "CN=$CN,C=ES,ST=Barcelona,L=Barcelona,O=$O"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=$CN&"
_continue_ = "DNS=testing.$CN&"
"@

    $ConfigContent | Out-File -FilePath "$CN.inf" -Encoding ASCII

    # Create a certificate request
    if (certreq -new -f "$CN.inf" "$CN.csr") {
        # Submit the request to a Certificate Authority
        # Define a regular expression pattern to match the ID
        $pattern = 'Id\. de solicitud: (\d+)'
        $commandOutput = certreq -submit -config "localhost\COMPANY-AD01-CA" "$CN.csr" "$CN.crt"
        # Use the Select-String cmdlet to find the first match in the output
        $match = $commandOutput | Select-String -Pattern $pattern | Select-Object -First 1
        if ($match) {
            $id = $match.Matches.Groups[1].Value
            # Accept the issued certificate
            certutil -config "localhost\COMPANY-AD01-CA" -resubmit $id
            certreq -config "localhost\COMPANY-AD01-CA" -q -f -retrieve $id "$CN.crt"
            Remove-Item -Path "$CN.inf", "$CN.csr", "$CN.rsp", "$CN.csr" -Force
        }
        else {
            Write-Host "Failed to submit the certificate request."
        }
    }
    else {
        Write-Host "Failed to create the certificate request."
    }

Usando isso eu crio um certificado, envio para a CA e aceito.

certreq -retrievesó me dá o certificado, não a chave, como faço para obter a chave ou como uso esse certificado no Apache?

Gostaria de usar o offlineimap como backup para meus e-mails. Como obtenho o certificado do servidor de e-mail?

Além disso, o que devo fazer se precisar de toda a cadeia de certificados? Suspeito que o certificado do servidor seja assinado por uma autoridade de terceiros.

Estou trabalhando em um novo site e uso HTTPS. No meu computador pessoal e no iPhone, tudo está funcionando bem, mas meu amigo de outro país está enfrentando o seguinte problema:

NET ERR CERT NOME COMUM INVÁLIDO

Eu uso o certificado Let's Encrypt, NGINX e Keycloak. O SSO do Keycloak está localizado no próprio subdomínio.

Qual pode ser o motivo desse problema e como resolvê-lo?

É possível impedir que os usuários ignorem um aviso de certificado exibido em seu navegador e, em caso afirmativo, como?

Assumindo que não temos controle no servidor remoto e controle total no computador cliente.

A pergunta está relacionada ao navegador da Web Chrome.

O contexto é um domínio do Windows. Meu objetivo final aqui é ter um site interno (o servidor do site é associado ao domínio) mostrado como "confiável" quando eu o visito da estação de trabalho do meu domínio.

Atualmente (no Firefox ou Edge, por exemplo), o site mostra "Conexão não segura", mas instalei o .cer do site na Autoridade de Certificação do controlador de domínio. Eu posso vê-lo em certsrv em Certificados Emitidos! (Tive que censurar a maior parte do conteúdo), mas posso garantir que: Número de série, País/Região Emitido, Nome Comum Emitido=Nome do Assunto Nome Comum, Validade Antes e Depois de tudo correspondem entre esta tela abaixo e o certificado que vejo em um navegador

No final, este site interno ainda está se mostrando inseguro.

Tenho um certificado com a seguinte CRL:

URL=ldap:///CN=GOLF Root-CA,CN=VSCERT02,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=toplevel-domain,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=GOLF%20Root-CA,CN=VSCERT02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=toplevel-domain,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint

Porque depois de migrar de VPN para uma solução de rede ZTNA, temos problemas com essa CRL. Infelizmente, não consigo descobrir o FQDN que está em um nível de DNS/rede solicitado para acessá-lo.

Como obtenho o FQDN dessa CRL?

Com os melhores cumprimentos Linus