Roger Lipscombe's questions

我希望将 CloudHSM 用于中间 CA。为此，我需要生成一个密钥对并使用根（离线 HSM）CA 对其进行签名。我们正在使用 ECDSA。

但是，当我从 ECC 密钥对生成 CSR 时，验证失败。这就是我正在做的事情：

genECCKeyPair -i 2 -l intermediate-ca -nex
getCaviumPrivKey -k 42 -out intermediate-ca.key

openssl req -engine cloudhsm -new -key intermediate-ca.key -out intermediate-ca.csr -subj "/CN=Intermediate CA"

openssl req -in intermediate-ca.csr -verify -noout

这报告：

verify failure
139822323439520:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:a_verify.c:249:

如果我尝试签署 CSR，openssl 报告Signature did not match the certificate request

如果我使用 RSA 密钥执行相同的步骤，一切都很好。

我究竟做错了什么？

如果我运行git clone [email protected]:some-org/some-repo.git，我会收到以下提示：

The authenticity of host 'github.com (192.30.253.113)' can't be established.
RSA key fingerprint is SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8.

显然，我根据https://help.github.com/articles/github-s-ssh-key-fingerprints/的列表验证指纹，然后回复yes：

Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'github.com,192.30.253.113' (RSA) to the list of known hosts.
...etc.

这导致两个条目被添加到我的~/.ssh/known_hosts文件中，两者都具有相同的密钥，都经过哈希处理。

如果我用 确认密钥ssh-keyscan github.com，则密钥匹配。

但是为什么我有两个条目known_hosts，而不是一个？

如何known_hosts安全地将主机密钥添加到 SSH 文件？

我正在设置一台开发机器，并且我想（例如）防止在我使用 SSHgit克隆存储库时出现提示。github.com

我知道我可以使用StrictHostKeyChecking=no（例如这个答案），但这并不安全。

到目前为止，我发现...

1. GitHub 在GitHub 的 SSH 密钥指纹中发布他们的 SSH 密钥指纹

2. 我可以ssh-keyscan用来获取github.com.

我如何结合这些事实？给定一个预填充的指纹列表，我如何验证 的输出是否ssh-keyscan可以添加到known_hosts文件中？

我想我在问以下问题：

如何获取返回的密钥的指纹ssh-keyscan？

假设我已经接受了 SSH的 MITM，但我可以信任 GitHub HTTPS 页面（因为它具有有效的证书链）。

这意味着我有一些（可疑的）SSH 主机密钥（来自ssh-keyscan）和一些（可信的）密钥指纹。我如何验证一个与另一个？

相关：我如何散列输出的主机部分ssh-keyscan？或者我可以混合散列/未散列的主机known_hosts吗？

我有一个运行 DNS 和 DHCP 服务器的 Windows 2012 域控制器。默认设置似乎是仅在 DHCP 客户端请求时才动态更新 DNS A 和 PTR 记录。

（这是在Scope Properties->下DNS）

选择始终动态更新 DNS A 和 PTR 记录有缺点吗？

这与为不请求更新的 DHCP 客户端（例如，运行 Windows NT 4.0 的客户端）动态更新 DNS A 和 PTR 记录有什么区别？

当你openssl req -x509 -new -nodes -key my.key -days 366 -out my.pem用来生成自签名证书时，它会提示你输入一堆信息，比如“Country Name (2 letter code)”等。

有什么方法可以自动响应这些提示，使流程非交互式？

我有一个服务于几个虚拟主机的 nginx 安装；这些工作正常。但是，我似乎记得该服务器负责托管其他几个网站。我不记得是哪些。

我不希望这些请求解析为默认（任意）虚拟主机。

目前，例如，转到http://10.0.0.10/（内部地址）解析为默认虚拟主机。这个虚拟主机正在运行drupal，并且——因为drupal 不能识别虚拟主机——它会显示drupal 安装说明。我担心解析到此服务器的其他外部名称会发生​​这种情况。

有没有办法设置 nginx 以便它记录和丢弃与配置的虚拟主机不完全匹配的请求？

或者，我想，这个问题可以表述为：“如何设置与所有未知名称匹配的默认虚拟主机？以及如何配置该虚拟主机以记录和删除访问？”

我通过简单地复制“Hyper-V”文件夹将我的 Hyper-V 虚拟机从一个磁盘复制到另一个磁盘。现在我无法重新创建虚拟机。如果我尝试使用 Import，它会失败；如果我将虚拟硬盘连接到新的虚拟机，它会使用最旧的快照。

我该如何恢复？

我有一个文件README.TXT。如果我发出以下命令：

PS> Get-Item ReadMe.txt

...然后它返回“ReadMe.txt”。我想找出磁盘上文件的实际名称，包括大小写。如何让它返回“README.TXT”？

我问是因为我试图找出 Windows 上不区分大小写的文件名与 Unix 机器上区分大小写的文件的问题，我想获得 Windows 机器上使用的实际大小写。

更多详细信息：我有一个文件列表（存储在一个.CSPROJ文件中），这些文件与存储在磁盘上的文件不同。我想确保它们匹配。例如：如果.CSPROJ文件是“ReadMe.txt”，但磁盘上的文件是“README.TXT”，有时在 Visual Studio 中编辑文件会将文件重写为“ReadMe.txt”，这会使 Perforce 感到困惑，因为它是大小写-sensitive，并且文件名不再具有预期的大小写。我想写一个脚本来发现不匹配的文件名，这样我就可以在它引起问题之前对它们做一些事情。

我需要备份一个（虚拟）Ubuntu 服务器。备份媒体（外部 USB 磁盘）安装在 Windows (Hyper-V Server) 主机上。同一主机上的 Windows 服务器可以简单地使用 Windows Backup over SMB 进行备份。

鉴于 Linux 机器最终将保存在 NTFS 格式的磁盘上，我应该如何备份它？

更新

我不太确定 Samba 是否可以工作——它不会保留符号链接、devnodes、权限等。同样，它不会保留文件名大小写和其他奇数字符。

我希望它是全保真的，这样我就可以将它用于灾难恢复......

我有一台 Windows 2008（显然是 Service Pack 1）PC 作为我的工作站。Windows 2008 Service Pack 2 已经推出一段时间了。为什么我没有在 Windows 更新中作为选项提供它？

我有一个 Hyper-V Server 2008（即核心）盒子运行以下内容：

1. Windows 2008 域控制器和文件服务器。
2. 备份域控制器（也是 Windows 2008）。
3. 一个 Ubuntu 服务器 Web 服务器。

我想确保将其备份到外部（USB）硬盘，但我遇到了一些问题。

1. 我无法在任何来宾中安装 USB 硬盘（或者我可以吗？）。这意味着必须从主机进行备份。
2. 文件服务器来宾安装了几个物理磁盘（即它们不是 VHD 文件）。这意味着我无法从主机备份它们。

我应该如何备份这个？

更新

我将尝试以下方法：

1. 将外部磁盘插入主机，挂载并共享。
2. 在 Windows PC 上，使用 WBADMIN 对网络共享进行完整备份（例如\\HOST\USBDISK）。
3. 我仍然想知道如何将 Ubuntu 机器备份到外部磁盘。我会就此提出另一个问题。
4. 我还想知道如何编写脚本/计划这个——我不能使用内置的 Windows 备份计划，因为外部磁盘可能不可用。

我已经设法（暂时）获得了另一台支持 Hyper-V 的 PC，所以我将在周末尝试灾难恢复方案。

我进行了搜索，但找不到任何可以解释为什么 Microsoft 开始将新版本的 Windows Server（以及现在的 SQL Server）标记为 R2 版本的内容。

如果它们是新版本，为什么不简单地给它们起新名字呢？

或者升级定价或许可是否有问题？

我的工作站运行的是 Windows Server 2008。我没有本地管理员权限。我有一个 Hyper-V Server 2008 R2（即 Core+Hyper-V）盒子。在那个盒子上，我确实有本地管理员权限。

我可以远程桌面到盒子；Hyper-V 管理器工作正常（在服务器管理器之外）。只是有些事情在服务器管理器（分区磁盘等）中比在命令行中更容易。

我想在我的工作站上使用服务器管理器来管理 Hyper-V 机器。

然而：

• 当我在我的工作站上运行服务器管理器时，它会提示提升，然后不会让我连接到另一台服务器。
• 如果我尝试运行 MMC，然后将“服务器管理器”添加为管理单元，它不会提示我输入服务器名称。然后它抱怨我不是管理员。它不提供连接到另一台服务器。
• 远程服务器管理工​​具 (RSAT) 适用于Windows Vista和Windows 7 RC。这些不安装在 Windows 2008 上。

Windows 有网络位置感知 (NLA) 的概念，这意味着您可以将网络配置为“公共”（即家庭/工作）、“私人”等。

为此目的，它使用什么信息来“指纹”网络？

我有一台装有两个网络适配器的 Windows 2008 机器。一个连接到公司网络，另一个连接到专用（实验室）网络。它们都是由 DHCP 配置的。它们不重叠：公司网络是 192.168.xy 网络，实验室网络是 10.abc 网络。两个网络始终处于运行状态。

也就是说，实验室本身被划分为两个子网：10.5.26.x 和 10.5.24.x。有一个 R/RAS 盒子连接这些子网。这台机器连接到 10.5.26.x。我不是特别需要这个盒子直接进入 10.5.24.x 网络（它模拟的是低带宽链路），所以我没有设置静态路由。

实验室仅连接到这台计算机。我squid在机器上配置了（和 WSUS）以允许实验室访问外部世界。

我希望这台机器忽略实验室网络的003 Router选项（默认网关）和006 DNS Servers选项。如果它使用这些，它与 Internet 的连接将变得不可靠（因为网关选项冲突）。

我也不是特别想在专用适配器上使用静态 IP，因为那样网络位置感知不起作用，我无法轻松配置专用/公共设置。

我想我可以配置专用网络上的 DHCP 服务器来为该特定保留发出“外部”路由器和 DNS 服务器条目，但这似乎是一个 hack。

有人有更好的想法吗？

我想为 Microsoft Virtual Server 2005 SP1 使用带有虚拟机远程控制 (VMRC) 的 TLS 加密。

虚拟服务器不允许您上传任意自签名证书；它生成一个证书签名请求 (CSR)，然后需要由证书颁发机构 (CA) 签名。

我没有 Windows 证书颁发机构，也无法安装它，因为我无权访问 Windows Server。

我可以使用自签名 CA 证书（使用 MakeCert 或 OpenSSL 生成）对 Virtual Server 生成的证书签名请求 (CSR) 进行签名吗？

如果是这样，我该怎么做（使用 MakeCert 或 OpenSSL）？我只使用过 MakeCert 和 OpenSSL 从头开始​​创建签名证书，而不是签署 CSR。

我刚刚设置了一个新的 ConfigMgr 2007 SP1 环境进行测试。我正在尝试配置客户端推送安装，我想为此使用 Active Directory 系统发现。

但是，当我尝试将“本地域”添加到容器列表时，我得到一个ActiveDirectoryServerDownException. 这是怎么回事？