我正在尝试为服务器证书创建验证,我需要做的一件事是检查证书是否被吊销,但来自特定服务器的服务器证书似乎没有我可以用来检索的 CRL URL CRL 进行检查。这应该是可能的吗?在没有 CRL URL 的情况下,我应该只考虑证书没有被撤销或陈旧吗?
我们在 Windows Server 2019 上运行 Microsoft 证书颁发机构。我们通过 MDM 向 Android 设备颁发证书。Android 设备用户使用需要客户端证书的 Chrome Web 浏览器(在 Android 上)浏览到 Web 应用程序(由 Apache 托管,在 PHP 8 中实现)。
我们正在安装一个具有 Microsoft OCSP 响应者角色的单独 Windows Server 2019 实例,以验证/验证提交给 Apache Web 服务器的客户端证书是否有效。Apache 有几个指令来处理 OCSP 验证。我们还想在 PHP 中验证证书以提高安全性。
根据我阅读多个 RFC 和 Microsoft 技术文档的研究,Microsoft OCSP Responder 似乎通过引用 CRL 来验证证书的吊销状态。
如果证书已从 CA 中删除而不是吊销,Microsoft OCSP 响应程序如何验证证书?如果已删除且未撤销,它们将不会显示在 CRL 中。
我在这里错过了什么吗?Microsoft OCSP 响应程序是否会根据 CA 数据库验证序列号及其吊销状态?
在一堆服务器中,我安装了Windows 2003服务器,域控制器,企业CA,无法启动CA服务,因为“在验证当前系统时钟或签名文件中的时间戳时,所需的证书不在其有效期内”。从控制台备份 CA 和检查颁发的证书不起作用。
我安装了 Windows 2012R2 服务器、域控制器、独立 CA。CA 服务正在运行,我可以看到“颁发的证书”下没有证书。
可能(不幸的是,我不能确定)没有人使用过这些 CA。我在这里认识的没有人具备使用 Enterprise CA 的技能(和需求),包括我在内。
我可以在域成员中看到来自这些 CA 的证书放在“受信任的根证书颁发机构/证书”中,但它们都已过期,除了一个:certroot。
我们的目标是:
- 摆脱 Windows 2003 Enterprise CA 和 DC
- 摆脱 Windows 2012 Standalone CA(现在是可选的,将来是强制性的)
- 避免因 CA 移除而导致的任何类型的服务中断
问题是:
- 即使服务没有启动,是否可以从这个旧的 2003 中删除 Enterprise CA?
- 在生产环境中删除 Enterprise CA 是否安全?
- 删除是否对客户端操作(如登录、网络资源访问(如网络共享)等)有任何影响?
非常欢迎任何建议和/或建议。提前致谢
我正在升级我的 Apache Web 服务器并想知道是否需要在 vhost 配置中声明一个 CA 文件?
我的虚拟主机设置是
SSLEngine on
SSLCertificateFile /home/user/ssl/${SITE}-cert.pem
SSLCertificateKeyFile /home/user/ssl/${SITE}-key.pem
SSLCertificateChainFile /home/user/ssl/${SITE}-ca.pem
#SSLCACertificateFile /home/user/ssl/${SITE}-ca.pem
默认情况下,Apache 仅附带SSLCertificateFile和SSLCertificateKeyFileactive。与 Debian 的软件包相同。这两个我都懂。
默认情况下,Apache 的源代码和 Debian 的软件包都禁用 和SSLCertificateChainFile。SSLCACertificateFile我以为我理解了这些,但现在不太确定。
我所有的网站都可以在CA禁用这两个指令的情况下正常工作。
但我错过了什么吗?禁用它们是否会导致我的服务器在后台提供 CA,例如来自系统的 /etc/ssl/certs?
Let's Encrypt 在续订期间提供他们的 CA 文件,所以我认为指定SSLCertificateChainFile.
难道这两个 CA 指令与从 Mozilla 获取的 cURL 的 CA-bundle 文件的目的相似吗?我可以SSLCACertificateFile 在我的服务器上指向它并收工吗?
据我了解,客户负责使用其自己的授权 CA 来验证网站的证书。我错了吗?
文档似乎没有提供任何见解:
我可以找到所有其他缩写的含义,例如此处提到的 PEM 和 CSR:
但是 CRT 代表什么?
我们正在清理我们的 Windows PKI/CA 环境并用新服务器替换我们的根 CA。当前的根 CA 多年来一直在颁发以下证书模板(除了从属证书模板):
- Kerberos 身份验证
- 域控制器身份验证(我们知道这已被 Kerberos 身份验证模板取代)
- 域控制器(我们知道现在已被取代)
- 目录电子邮件复制
从属 CA 还具有“已发布”的模板。
我们知道这并不理想,新的根 CA 将被设置为仅颁发从属证书模板。
问题:
在从根CA颁发的上述模板中删除(不删除模板本身,只是将其从该根CA颁发的模板中删除)后,当域控制器自动更新上述证书时,他们是否会知道查看从属CA根据域控制器所需的模板更新/颁发新证书? 或者我们还需要做些什么来主动向环境中的 DC 颁发新证书?现有证书不会被吊销,因此在重新注册之前它们将一直有效,但我们很好奇如果原始证书是由旧根 CA 颁发的,重新注册是否会失败。我们不确定 DC 是如何“决定”的
附加附加问题:
您知道我们替换 rootCA 后从现有 SubCA 颁发的现有证书会有什么影响吗?我们正在根据以下内容将 rootCA 迁移到一个新名称:逐步将 CA 迁移到新服务器——评论中的其他人基本上问了我关于现有证书的问题,但没有回复。我的猜测是,只要客户端在其受信任的根存储中仍然有旧的 RootCA,在中间存储中仍然有 SubCA,他们应该仍然有一个良好的证书链,直到证书过期,但我想提前知道的时间。
是否可以使用两个不同的 CA 运行 FreeRadius(版本 3.0.13)?所以我有一个来自一个 CA 的服务器证书,而客户端证书来自另一个 CA?
我们当前的设置/etc/raddb/mods-enabled/eap看起来有点像:
...
tls-config tls-common {
certificate_file = ${certdir}/server.pem # certificate only from CA ONE
ca_file = ${cadir}/ca.pem # complete chain from CA TWO
auto_chain = no
ca_path = ${cadir} # contains all certs/complete chains from both CAs
}
...
这是我在日志中看到的错误:
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: TLS Alert read:fatal:unknown CA
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: TLS_accept: Failed in error
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: Failed in __FUNCTION__ (SSL_read)
一旦客户端和服务器从同一个 CA 获得证书,一切正常。
那么服务器和客户端是否可以有不同的 CA?如果是,我需要做什么才能完成这项任务?
我的任务是研究如何使用 aws 客户端 vpn 服务。经过一番阅读,我对证书的选择有些困惑。它似乎使用客户端 vpn,我们将需要使用 aws private CA,而不是公共 CA,因为公共 CA 用于域。但私有 CA 的定价有点令人惊讶,一个 CA 每月 400 美元,外加任何适用的额外费用。
如果它不是用于创建客户端 vpn 的私有 CA,请纠正我。谢谢你。
我创建了一个(自签名)根证书,并使用我用 Java 开发的系统签署了一个 Web 服务器证书(该 Web 证书用于 Apache 2.4.41)。
证书在 Linux 和 Mac 中正常工作(在不同的 Webkit 浏览器和 Firefox 中测试)。证书和服务器设置A+使用testssl.sh得分。
CA 证书在没有任何警告的情况下正确安装,但在 Windows 中不被接受(仍然显示红色三角形警告和NET::ERR_CERT_AUTHORITY_INVALID错误)(使用 2 个 Windows 10 设备进行测试,其中一个是全新安装)。在 Chrome、Edge 和 Firefox 中测试。
我尝试了很多事情:
- 使用
certlm.msc,certutil.exe, 通过settings或双击文件安装它们 - 本地或用户范围
- 使用不同的设置重新生成根证书
- 更改 Apache 设置
- 重新启动浏览器和计算机
- 停止杀毒软件
我已经阅读了这个站点中的相关问题(似乎没有解决它)并且我已经查看了其他网站的解决方案,但没有成功。
这是同一系统生成的假CA证书(设置相同,只是这里的密钥长度为1024,以减少本文的大小):
密钥和证书:
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
加州摘要
Version: 3
SerialNumber: 6873848332899071428
IssuerDN: CN=Fake Authority,C=US,ST=CA,L=LA,O=Example LTD,OU=None,[email protected]
Start Date: Thu Nov 11 06:06:53 JST 2021
Final Date: Fri Nov 11 00:00:00 JST 2022
SubjectDN: CN=Fake Authority,C=US,ST=CA,L=LA,O=Example LTD,OU=None,[email protected]
Public Key: RSA Public Key [b8:07:ef:1f:8e:91:c0:ab:12:db:38:3f:76:e7:0a:7f:21:9d:fe:49],[56:66:d1:a4]
modulus: 983fc7e042334c460e2682a9ce61fbcdf0ae367f1d5c5a67b1872bb83fb1c6b87ef175290b800eac7e8837de8713696798428e602c8018169086dc13431dfc2eacad24564b8fc47a800f4601492b693948d0b42f54082340ca734c52ef2f4246a7283c5594b7b9dc51ebb04591a60cc61b362a9c6a68230967e720f441ee4815
public exponent: 10001
Signature Algorithm: SHA256WITHRSA
Signature: 610d8fbef7d049ef56b46ea9789e01e766c6d4cc
ec53e8c4f71738a1611fbde924a633a467875b93
cf6005578066c4b175f7dc41f14fc91284f6fb9b
62b77dc6e7a6500184e7567232a25631ac05471b
57755d5ee9ad4e4c7d6a2a4b3ad686f0b51b9104
ec1ea145b82ab3928022c1dd58665ca55e609895
869bc90b1ce2fcc2
Extensions:
critical(true) BasicConstraints: isCa(true)
critical(true) KeyUsage: 0x6
critical(false) 2.5.29.14 value = DER
服务器证书
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
证书摘要
Version: 3
SerialNumber: 6648705147606043571
IssuerDN: CN=Fake Authority,C=US,ST=CA,L=LA,O=Example LTD,OU=None,[email protected]
Start Date: Thu Nov 11 06:08:37 JST 2021
Final Date: Fri Nov 11 00:00:00 JST 2022
SubjectDN: CN=fake.example.com,C=US,ST=CA,L=LA,O=Example LTD,OU=None,[email protected]
Public Key: RSA Public Key [2e:cd:8e:16:02:6f:b3:27:16:01:21:cb:1a:2b:9b:27:18:71:86:87],[56:66:d1:a4]
modulus: 8cccc3f04931d04dac6eaed7e71455572d79c33a4a251b68ae0381fb2a43eb8b3676e2f968142537e77c2c4f661527dca4230f98e7cbd7a84c3c42396138731131eb5679a10c1f9eb6ba16a46fc4be280ad037b49987dbf0ed317b3b0882220fec59c95ef3b8fd1134a736d6783341cc43eb3e00e5f48c32c35805b4f305e4d215c038732f69aaa70b736823de3f8e842812572d682a5486ba2f92698322b247b9fa6552d31d26baa4ce1ad47f328792c95304b7931c01c780d757e392636226d996a558deb2e7b3d3480c8375f7d722027269a9296fa7ae5230b254305169da458ad3f4bc8274e8e354237063013584782a21803e664fce3691405c3d1bc99d
public exponent: 10001
Signature Algorithm: SHA256WITHRSA
Signature: 88dd18b477a5ba113a2145a18a2d2a87e520dfff
f8340bdb76ae9da8c7ca68063b803253c7b519fa
6df302eb122cab39e30d86529e2d9810c7fa6012
e2be299ba3dad80b5f04fc8e6ee4ab2abc86becd
ee5565de54ecef3ee3ef1469ff91fd17b881d7fb
789de3d3688fe1df3029ebdf51f0fc55cb9d771f
66ad6aa5b8211929
Extensions:
critical(true) BasicConstraints: isCa(false)
critical(false) 2.5.29.35 value = Sequence
Tagged [0] IMPLICIT
DER Octet String[20]
critical(true) KeyUsage: 0xa8
critical(false) 2.5.29.17 value = Sequence
Tagged [1] IMPLICIT
DER Octet String[16]
Tagged [2] IMPLICIT
DER Octet String[16]
Tagged [2] IMPLICIT
DER Octet String[20]
critical(false) 2.5.29.14 value = DER
我的设置有什么问题?
我们开发了自己的 XCEP/CES WCF 服务实现,该服务使用我们的证书管理解决方案和 Microsoft CA 的组合来颁发证书。使用标准 XCEP XML 定义(与标准 Microsoft XCEP/CES WCF 服务相同)。我们对 WCF 服务使用相同的 WSDL。这适用于 CEP 和 CES。
现在,我们扩展了软件以使用不同的证书颁发机构(不是 Microsoft)。新 CA 是 GlobalSign,它有自己的证书模板定义和设置(不同于 MS CA 证书模板设置)。CEP 策略服务工作正常,并根据 CEP XML 策略结构创建策略定义,但我们还有一个问题。
XCEP 策略如何定义 SubjectType,即策略(证书模板)是针对用户还是计算机?目前,客户端将它们解释为用户模板,我们看不到可以定义目标类型“计算机”的属性(或基本约束扩展)。
我们看到的唯一选项是一个名为“证书模板”扩展的扩展:
