我正在研究Azure IoT集线器,并试图用x.509证书将我的设备连接到IoT集线器。它与自签名证书合作,但官方建议是从可信的第三方购买根CA证书来签署设备证书。
我做了一些调查,但找不到买的地方。
你能给我一个链接吗?它要花多少钱?
浏览 13提问于2022-09-16得票数 -2
1回答
给定以前被白名单的受SSL保护的站点(允许从x.x等),以及客户更改身份验证方式的要求,使用X.509 HTTPS客户端验证。
这方面的问题是,SSL CA的“常见嫌疑人”中没有一个能够生成X.509证书,而无需购买CA的托管PKI服务。
我只为内部客户端这样做过,所以很容易生成一个自签名的CA,并将CA的公共证书放到客户端的密钥链中。对于外部客户来说,这有点不容易做到,并说服他们这样做。
因此,选择似乎是:沿着托管PKI服务的路线走。-显然,这是令人望而却步的昂贵,将意味着更换内部CA的东西也?
或
获得一个CA来签署他们的根证书.
是那么回事吗?以前有人做过类似的事吗?有没有人知道一个可信
浏览 0提问于2013-03-26得票数 2
我试着用我的新Android设备连接Wi网络Eduroam。它要求我提供CA证书,并警告说,否则我的连接将不是私有的。
未指定证书。你的联系不会是私密的。
在我以前的设备上,我没有这样的警告信息。it管理员说不提供证书是可以的,但我不太确定。他说我们的组织没有。
如果我在没有CA证书的情况下使用这个网络,我会面临哪些威胁?
一个组织要花多少钱才能得到它?
📷
浏览 0提问于2018-09-11得票数 4
我管理一个非营利组织的网站。该网站将允许人们为这一事业捐款。为这个网站购买SSL证书是个好主意吗?总共要花多少钱?
浏览 0提问于2010-12-14得票数 3
我的老板想为他的SBS买一张证书,这样就可以进行外部连接。他们访问一个IP号码。他应该在证书上花多少钱?他应该从哪里买东西?
因为它不是一个电子商务网站,只是需要一些安全措施。我见过一些以20美元/年的价格买到的便宜的证书--得到便宜的证书有什么问题吗?
浏览 0提问于2010-05-31得票数 5
回答已采纳
1回答
仅仅是由于我自己的网络中的私有兴趣和使用,我正在使用openssl创建一个证书链(根CA→中间CA→服务器证书)。我希望证书链是可追踪的,并且能够撤销证书。
目前,我还不确定在创建证书时应该设置哪些CRL分发点( openssl语音中的crlDistributionPoints)和OSCP (authorityInfoAccess = OCSP;URI: ...和authorityInfoAccess = OCSP;caIssuers: ...)。检查一些公共网站的证书,在我看来,以下是一条路。那么,请你检查一下我是否是对的?
根CA证书:
CRL:根CA CRL或根本没有
OCSP URI:
浏览 0提问于2020-04-05得票数 1
回答已采纳
1回答
目前我有两个私有CA,一个根CA和一个从属CA。从属CA的CSR由根CA签名。我们的应用程序将使用从属CA进行相互TLS身份验证。
问:我有已由根CA签名的现有证书,可以与从属CA一起使用吗?或者,我是否必须创建由从属CA签名的新证书才能使其正常工作?
浏览 4提问于2020-02-29得票数 0
1回答
PKI或数字签名证书
、、、、
请注意,这是一本长篇读物。我只是再次混淆了CA服务器如何帮助数字签名和pki工作流程。请让我知道我在下面描述的是正确的。
在此之前,让我有一个拓扑。‘,'B’是使用PKI进行VPN相互认证的两个设备,然后我们使用' CA‘将A和B称为设备,CA称为CA。
Step1:生成CA证书
“请求安全pki CA-证书注册CA-配置文件根-CA”
上面的命令请求CA服务器将CA证书发送到A和B,并加载证书。
Question1:该命令是否帮助设备向CA发送消息,然后CA是否通过发送数字签名证书和设备加载它来响应?
如果不是
,设备如何获得CA证书?
Step2: CA证书
关于CA证书,
浏览 0提问于2021-07-10得票数 0
假设Alice拥有由certi CA1 << Alice >>阳离子授权机构CA1发出的certificate CA2 << Bob >>,而Bob有一个certificate D2,它是由二层fi阳离子授权机构CA2发出的。
众所周知,CA1拥有由CA2发行的certificate CA2 << CA1 >>。鲍勃如何验证艾丽斯的certificate CA1 << Alice >>?
我认为CA2是根本权威,但我不知道如何处理这个问题。
浏览 0提问于2018-04-28得票数 2
1回答
我不明白为什么当我接受在IE浏览器上“安装”自签名的根CA时,根证书结束在“中间CA”部分,而不是在浏览器证书容器中的"Root CA“部分(在Windows证书管理器中,两者可能是相同的)。
仅在根CA部分显示受信任的CA列表是Microsoft策略吗?而不允许在本节中插入“未知”根CA?
在使用它的时候,我看不出有什么不同,但必须有一个解释。
浏览 0提问于2014-12-29得票数 3
我刚从学校开始学习网络和信息安全。我知道这是我想投入时间和学习的领域。去年有20多万名保安工作没有完成。我的问题是--我知道,真正的工作经验是公司在比较申请者时最重要的因素。在考虑到这一点之后,在安全和入门级别方面,哪些认证不仅可以帮助职业发展,而且还可以帮助工作本身?再一次,我对此非常陌生,所以那些刚从学校毕业的人就可以拿到证书了。
浏览 0提问于2014-10-17得票数 -1
1回答
我们有一个Windows 2019 DC - ADCS PKI.它由一个根CA和一个从属CA组成。当从属CA发出证书时,根CA不在链中。如果打开已颁发的证书并转到“证书路径”选项卡,则从属CA证书是链中最高的。如果您单击它,它将显示“找不到此证书的颁发方”。作为证书状态。
现在我有两个问题。
在PKI配置中可以更改什么,以便根CA始终存在于新颁发的证书中。(我假设是由于misconfiguration).Can,我将根CA添加到已经颁发的证书?中)
浏览 2提问于2021-03-16得票数 0
回答已采纳
我有一个另一个问题,我在这里询问我遇到的SSL问题。一位评论者问:“根CA和中间CA也到位了吗?”
我知道CA代表证书颁发机构,我对什么是根CA和中间CA有一个模糊的理解。我完全不知道的是,如何确定根CA (和中间CA)是否已经到位。我怎么知道?
浏览 0提问于2014-03-16得票数 0
我的网络上的服务器使用RapidSSL CA颁发的证书签名,但不提供完整的颁发者链(RapidSSL CA的证书由受信任的根权威机构GeoTrust CA颁发)。
当我使用firefox访问站点时,我会得到以下错误:
The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)
但是,如果我使用IE或chrome连接到站点,它就能工作,我注意到RapidSSL随后作为中间CA加载。我不明白Chrome/IE (我假设它使用)如何知道如何添加R
浏览 0提问于2012-11-15得票数 8
回答已采纳
2回答
我用我的根CA生成了大量的叶证书,但是现在它( root )已经过期了。即使叶子证书的有效期比根CA更长,但由于根CA的过期,它们也会过期。如果我用相同的键更新根CA,叶子证书是否仍然有效,还是需要使用更新的CA再次生成新的叶证书?
浏览 0提问于2020-07-11得票数 7
1回答
我有一个证书链,名为:root CA -> intermediate CA -> org CA -> client Cert
当我用CA作为root CA -> intermediate CA -> org CA验证客户端证书时,它的工作原理是:
$ cat org_1_ca/ca_crt.pem intermediate_ca/ca_crt.pem root_ca/ca_crt.pem > /tmp/test123.pem $ openssl verify -CAfile /tmp/test123.pem client/client_crt.pem cl
浏览 7提问于2017-06-05得票数 2
来自的openssl根ca配置示例定义了以下内容(p40):
[req]
...
req_extensions = ca_ext
[ca_ext]
...
稍后(p43)生成根ca键,然后生成根ca自签名证书。
openssl req -new \
-config root-ca.conf \
-out root-ca.csr \
-keyout private/root-ca.key
openssl ca -selfsign \
-config root-ca.conf \
-in root-ca.csr \
-out root-ca.crt \
-extensions ca_ext
在
浏览 3提问于2015-07-07得票数 2
2回答
关于自签名证书的几个基本问题
问题1
自签名证书必须有CA吗?我意识到,一个“真实”的证书必须是因为它可以被链式验证,但是自我签名呢?
问题2
如果一个自签名没有CA -它是否仍然在可信的CA存储中不引起链验证错误时使用它进行测试?
问题3
是否有一种方法可以查看自签名证书是否由CA签名--如果它有CA,是否会影响上述问题?那么,我是否必须让CA信任它,还是仍然可以将实际的证书放在CA存储中以创建一个安全的SSL通道?
浏览 0提问于2013-10-23得票数 11
回答已采纳
1回答
这可能看起来很琐碎,但我对tls并不在行。
我有一个openvpn服务器,可以进行双向tls操作。
我的虚拟专用网客户端有一个ca.crt文件:
root CA
intermediate CA
issuing CA
我的服务器的server.crt为:
server certificate # which is signed by the above "issuing CA"
但是,如果在我的vpn客户端上删除了ca.crt中的“颁发CA”和“中间CA”,那么我的vpn客户端仍然可以验证server.crt。
如果我的vpn客户端在我的ca.crt中放置了无效的“根CA”,那么
浏览 0提问于2023-02-11得票数 0
回答已采纳
我有一个从Sub CA颁发的证书,其证书路径如下:
Root CA
Sub CA
My Certificate
为什么当我试图用X509Chain.Build()验证它时,我总是需要在我的受信任的根证书颁发机构文件夹中拥有Sub才能返回true?我已经有了根CA证书,所以既然我信任根,作为一个信任网络,它不应该也信任子CA吗?因为现在,它说它无法将链构建到受信任的根证书颁发机构,除非我将Sub CA证书添加到受信任的根证书颁发机构。
浏览 0提问于2013-08-06得票数 2
回答已采纳
谁使用fabric-ca-client?用户使用fabric-ca-client还是ca的管理员使用fabric-ca-client?fabric- ca -server本身就是ca吗?我想知道fabric-ca-client和fabric-ca-server之间的关系。谢谢
浏览 17提问于2020-02-12得票数 0
我试图为CA2生成一个证书,以便:
有一个名为CA0的根CA。
有一个名为CA1的中间CA。
还有一个名为CA2的中间CA。
CA0签署CA1证书。
CA1签署CA2证书。
我使用各种方法使用keytool生成CA2。
方法1: CA0签名CA1并写入文件;CA1签名CA2并写入文件;CA0从keystore导出到文件
# Start afresh
rm -f foo.jks
rm -f *.cer
# Generate self-signed CA0 (root), CA1 (intermediate) and CA2 (another intermediate
浏览 3提问于2016-06-06得票数 1
回答已采纳
1回答
我对安全性非常陌生,对CA的概念也更加困惑。让我们假设系统中存在以下内容:
TA
|
CA_MID
/ \
CA_INT1 CA_INT2
/|\ /|\
END_ENTn1 END_ENTn2
最顶端的CA是信任锚点。CA_MID是一个只向其他CA颁发证书的中间CA。CA_INT1和CA_INT2是向终端实体、笔记本电脑(CA_INT1)和台式机(CA_INT2)颁发证书的CA。假设我有一台笔记本电脑(END_ENTn1),它导入了TA、CA_MID、CA_INT1链。
第一个问题:
浏览 0提问于2017-10-17得票数 0
回答已采纳
2回答
维基百科说:例如,如果颁发给"example.com“并由”中间CA1“颁发的证书和访问的web浏览器信任”根CA",则可以以下列方式建立信任:
证书1-颁发给: example.com;由:中间CA 1颁发
证书2-颁发给:中级CA 1;由:中级CA 2颁发
证书3-颁发给:中级CA 2;由:中级CA 3颁发
证书4-颁发给:中间CA 3;由: Root CA颁发
这里的信任是什么意思?我的浏览器是否可以信任一个中间证书,这样证书链接就会停止,我的浏览器就可以开始与服务器的会话了?
浏览 0提问于2015-05-28得票数 3
回答已采纳
1回答
也许是个简单的问题。我们有Palo,它使用内部根CA颁发的子CA证书执行SSL解密。这适用于我们的内部windows域计算机,因为根CA和子CA通过组策略向下推到所有这些计算机。我的问题是,我们有几个Mac用户GPO不工作,所以他们需要手动添加证书。
我的问题是,如果在Palo (为站点进行动态SSL生成)上安装的subCA也安装在这些Mac上。为什么用户仍然在浏览器中检测到不可信的连接?它抱怨说,“无法向受信任的证书颁发机构验证此证书”。
如果我另外安装根CA证书,它们将不再接收错误。万岁!
但是,我的问题是,如果子CA (在Palo上)是生成显式证书(如bankofamerica.com等
浏览 0提问于2015-05-14得票数 2
1回答
Ubuntu 12.04
OpenSSL 1.0.1 14
Wget 1.13.4
我的设置:
创建我们自己的CA (our_own_ca.crt)
生成使用上述CA (graphite.local.crt)签名的证书
将该证书和CA证书连接到一个包文件中。
Nginx配置:
ssl_certificate /etc/ssl/certs/graphite.local.crt;
ssl_certificate_key /etc/ssl/certs/graphite.local.key;
ssl_client_certificate /etc/ssl/certs/our_own_ca_chaine
浏览 0提问于2015-03-11得票数 3
我第一次遇到这样的场景:
我的服务器证书由中间-CA1签名,而后者又由ROOT-CA1签名。ROOT-CA1在我的浏览器/操作系统的信任存储中。
也就是说,ROOT-CA1也是由ROOT-CA2签名的,它也在我的浏览器/操作系统的信任存储中。
这意味着,在一个信任路径上,根-CA是根-CA(因此不需要由服务器发送),而在另一个信任路径上,根-CA1必须被视为中间-CA2,因此应该由服务器发送。
显然,这不能同时实现,因为所选的信任路径取决于客户端在其信任存储中的根CA。
所以我主要问两个问题:
这才是处理这种情况的正确方法。我的预感是,作为服务器的我也应该发送ROOT-CA1证书,但是我没有R
浏览 0提问于2020-04-09得票数 0
1回答
我有一个包含SSL证书链到根CA证书的信任存储:
根CA ->中间CA - SSL证书
根据我所看到的最佳实践,只有根CA证书应该添加到信任存储中,因为SSL服务器应该将SSL证书与其中间CA证书一起发送,因此我们可以验证整个链。
但是,如果我只想信任一个颁发SSL证书的特定中间CA,而不是其他的呢?
根CA的管理方可以发布另一个中间CA2,然后我的应用程序也会信任它。如何避免这种情况?
将中间CA证书包含到信任存储中并不能解决这个问题,因为中间CA2证书仍然是可信的。
浏览 0提问于2016-07-14得票数 3
回答已采纳
1回答
我正在尝试实现一个系统,客户端可以从服务器下载应用程序包,以便在客户机上安装/更新它们。我认为客户端就像嵌入式系统上的一个平台。为了保证应用程序包的完整性,我正在考虑使用数字签名。
我做了一些研究,发现客户端必须有一个CA证书,而服务器必须有一个由CA和私钥签名的服务器证书。我知道,如果我要求的话,服务器证书可以由CA颁发。然后,服务器将其存储在某个地方,并将其与应用程序包和它们的签名一起发送,以便客户端可以使用CA证书验证它们。
我的问题是客户端应该如何安装/更新CA证书。当我们使用其他类型的客户端(如web浏览器和邮件应用程序)时,我们无法识别这些应用程序在安装/更新CA证书时所做的事情。
浏览 0提问于2014-12-26得票数 0
回答已采纳
1回答
我知道如何验证证书
通过SSL_CTX_load_verify_locations(ctx, caName, caPath)或通过创建X509_STORE并向其添加CA证书来加载CA证书。
启用SSL客户端以供SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL)进行对等验证
通过这种方式,我们可以验证由加载的CA证书签名的所有证书。
我想知道的是:
1.验证自签名证书
如何通过SSL_CTX_load_verify_locations(ctx, caName, caPath)加载多个CA证书
如何在上述功能中提供caPath?
我试过的是
浏览 7提问于2017-05-04得票数 0
1回答
递归CRL验证
、、、、
假设我有根CA ->子CA 1 ->子CA 2 ->叶证书。我需要通过获取Sub CA 2提供的所有CRL来检查叶证书的吊销状态,如果叶证书在CRL中,则表示它不再有效。一切都很好,但是如果Sub CA2本身过期或者被Sub CA1撤销(甚至Sub CA1本身过期或者被Root CA撤销)呢?Sub 2中的CRL是否仍然有效?是否需要从叶证书到根证书递归检查吊销状态?
浏览 36提问于2021-01-08得票数 0
当我使用自签名证书时,我创建了一个self-CA.cer和一个server.cer,server.cer用于web服务,self-CA.cer被添加到客户端代码中。当我检查证书时,我检查server.cer是否来自这个self-CA.cer,对吗?但是,如果我购买CA证书,我得到的只是CA生成的server.cer,对吧?CA证书可以生成很多server.cer,而且它们都是可信的,我得到的就是其中的一个。在我的客户端代码中,其他人说我只需要在购买CA之后将我的http更改为https,仅此而已。但是,我如何区分哪个服务器证书来自我自己的服务器?我只想信任来自我自己服务器的服务器证书。
浏览 5提问于2017-08-30得票数 0
1回答
中间根权限交叉链验证
、、、
我已经创建了一个根CA(CAI2)和两个中间CA(CA-I1&CAI2)(都是自签名的)。
使用CA-I1,我为server1 1/client1 1生成了一个私钥,CSR &创建了证书。安装了用于Server1(Apache2)和client1.Im的证书,可以使用Myclient1(Python)成功地连接到server1。
Here is the chain -> client1->server1->CA-I1->root CA
使用CA-I2,我为server2 2/client2 2生成了一个私钥,CSR &创建了证书。安装了Serve
浏览 5提问于2017-06-25得票数 0
回答已采纳
在试图理解由我们加密创建的fullchain.pem文件的用法或含义时,我偶然发现了这个帖子,其中fullchain.pem被解释为:
fullchain.pem是cert.pem和chain.pem在一个文件中的连接。在大多数服务器中,您将指定此文件为证书,因此整个链将立即发送。有些客户端要求您单独指定上述两个文件。那样的话你就不需要
而另一方面,chain.pem被描述为
chain.pem包含中间证书,由我们加密的证书包含公钥,它“耦合”到签名您的证书的私钥(上面的那个)。客户端需要此中间证书来验证您的证书;
但我真的很难理解这意味着什么。我的意思是什么是中间证书,它是从哪里来的。
我理
浏览 0提问于2020-12-29得票数 5
回答已采纳
1回答
我有一个需求,在节点js中的REST服务需要在HTTPS上使用。为了启用HTTPS,我们需要3个params -一个密钥文件,一个cert文件和ca文件。要使用此服务,我们只需要拥有ca文件。
我使用Open创建了一组新的自签名证书,并且能够使用我的服务。
现在,对于生产部署,我们不能使用自签名证书。因此,从证书颁发机构收到了密钥文件、证书文件和ca文件。与我正在使用的自签名证书不同,来自证书颁发机构的CA文件包含两个ca cers --一个根CA和一个子CA。
在试图使用此CA文件使用HTTPS服务时,我一直收到错误信息:无法获得颁发者证书/无法获得本地颁发者证书。
使用OpenSSL命令
浏览 1提问于2016-01-15得票数 2
1回答
我目前正在实现SSL代理,并且遇到了一些有关证书的问题。
我们有一个离线的“公司根CA”和一个在线的“公司中间CA”。在代理上,我生成了一个“代理中间CA",它再次由我们的”公司中间CA“签署。
所有浏览器都信任我们的根CA和我们发布的CA。
当我通过代理访问SSL站点时,我会收到一个证书警告。在研究浏览器中的证书链时,我看到:
代理中间证书
“假”网站证书
如果我将代理中间CA导入到我的证书存储区,一切都正常。然后,证书链在访问站点时如下所示:
公司根CA
公司中间CA
代理中间CA
“假”网站证书
为什么浏览器不信任代理中间CA颁发的证书?
浏览 0提问于2013-10-15得票数 2
1回答
我正在开发一个使用ECDSA证书的应用程序。在cert生成之后,应该对它们进行验证,但目前收到了以下错误:
C = CA, ST = BC, L = City, O = Corp, OU = Software, emailAddress = administrators@corp.com, CN = va.corp.com
error 18 at 0 depth lookup: self signed certificate
当调用以下命令时:openssl verify -CAfile ca-chain en-cert.pem
证书使用类似于openssl ca -in CSR的CSR生成。
浏览 0提问于2021-09-21得票数 1
我试图使用根CA创建中间CA,我的根CA和中间CA的文件夹结构如下所示。创建中间ca的步骤是
使用tls-enable运行根CA实例。在Org1CA中创建所有fabric-ca服务器文件。
我在ICA文件夹中复制tls-cert.pem文件.
我正在为中间ca使用init命令,它将使用chain-ca.pem.生成ICA文件夹中的所有fabric CA服务器文件。
,我正在启动fabric中间CA实例,命令在docker-compose.yaml中启动,它正在工作。
当我启动中间实例时,它不会创建tls-cert.pem,当我用TLS handshaking error.注册对等体并运行对等容
浏览 0提问于2020-06-04得票数 0
1回答
我有一个SSL证书,它由中间CA签名,然后中间CA证书由根CA签名。为了访问此服务,我需要将这些证书导入到我的信任库。
我的问题是-是否有什么特别的命令,我需要遵守进口这些证书。
例如,首先导入SSL证书,然后导入中间CA证书,然后导入根CA证书。
或者我可以按任何顺序导入证书,并确信它会工作。
问题的第二部分-当PKIX路径构建发生时,它是否关心信任库中证书的存在顺序。
浏览 0提问于2018-09-19得票数 3
回答已采纳
1回答
我有一个离线根CA和一个颁发CA的企业。我从发行CA创建了一个req,并在离线根CA上发出了一个证书。当我试图在颁发CA上安装证书和证书颁发机构卡时,我会得到以下错误:
无法验证证书链。您想忽略错误并继续吗?无法验证证书的签名。0x80096004 (-214689244)
有什么想法吗?
浏览 0提问于2020-04-26得票数 0
1回答
在大量搜索之后,我没有找到如何在Java代码中创建以下命令:
openssl pkcs12 -cacerts -in /path/to/file.p12 -noout
仅从此p12或openssl pkcs12 -clcerts -in /path/ to /file.p12 -noout获得ca证书以获得证书
在java中,我加载了file.p12,因此所有这些证书都存储在PKCS12密钥存储库中,但无法区分哪些是CA证书,哪些是简单证书。怎么做?
(在我的p12中,我有我的证书和签署它的N个CA证书: CA 2已经签署了证书,CA 3已经签署了CA 2证书. CA N已经签署了CA证书)
浏览 1提问于2016-11-09得票数 2
3回答
为什么需要安装中间CA?
、、、、
最近,我尝试通过java访问一个HTTPS网站。我遇到了一个关于SSL的错误,它说
无法找到被请求目标的有效证书路径
我试着检查我的信任存储,并安装了根证书和由根CA签名的中间CA。唯一不存在的是另一个中间CA,它是用来签署网站证书的。
我试着安装中间CA并使其正常工作。我想知道,为什么需要安装中间CA?它不是在没有安装到我的信任商店的情况下从某个地方获得它的吗?
浏览 0提问于2017-09-07得票数 9
回答已采纳
1回答
我有一个.keystore文件,Tomcat的配置是: keystore=.keystore和truststore=.keystore
.keystore包含一个PrivateKeyEntry (由CA1签名)和一个trustedCertEntry (CA1)。
到目前为止大家都还好。
如果导入服务器证书时不存在trustedCertEntry,我将得到:
Failed to establish chain from reply
删除trustedCertEntry (CA1)时,Tomcat无法启动,原因是:
java.security.InvalidAlgorithmParameterEx
浏览 7提问于2022-01-21得票数 0
回答已采纳
我有一个rails应用程序,当我试图运行bundle安装时会抛出一个错误。错误如下:
bundle stdout:无法验证的SSL证书,您可能遇到了中间人攻击,但您的系统很可能没有验证所需的CA证书。
我们的SSL证书几天前刚刚更新,我们没有在应用程序中做任何更改。它开始把这个错误抛出意料之外。
是否有可能需要更新系统中的根证书?我是说像运行sudo更新卡证书之类的?这样做安全吗?
该应用程序在digitalOcean中,我们使用capistrano部署该应用程序。
@玲燕,非常感谢你引导我朝着正确的方向前进!我读了你发布的链接,但在我的例子中,我不得不稍微改变一些步骤,因为我不在Centos
浏览 7提问于2021-10-28得票数 1
回答已采纳
1回答
如果客户端向CA发送CSR并返回由CA签名的证书,那么客户端是否可以验证证书是否确实由CA签名,或者客户端是否可以信任CA &假设没有妥协(中间人等)。
浏览 0提问于2016-10-07得票数 2
1回答
我正在跟踪和app工作,但是我用服务器密钥创建的证书工作起来了
我知道我需要用我的服务器接受的证书传递ca选项,但我不知道如何指定我需要的证书。
我希望接受来自其他CA的证书,而不仅仅是那些用我的服务器密钥签名的证书.
[The peer's certificate must be chainable to a CA trusted by the server for the connection to be authenticated. When using certificates that are not chainable to a well-known CA, the ce
浏览 5提问于2019-10-04得票数 0
回答已采纳
是否可以使用通用公共CA (如DigiCert)或任意非fabric CA作为中间fabric ca服务器的父服务器?官方医生似乎认为,你只使用织物CA作为父母。
这个问题背后的意图是减轻单一根CA的集中化性质。
编辑:我所说的“非Fabric CA”是指除Fabric CA之外可以充当CA的任何实现,例如OpenSSL。
浏览 0提问于2019-01-11得票数 2
回答已采纳
1回答
到目前为止,我清楚地知道:如果代码签名证书本身过期,签名代码将被验证/接受,以防它用时间戳签名。如果没有,签名的代码也将过期。
但是,如果我的CA本身过期(根CA是发出CA的根CA),会发生什么?
如果有时间戳,代码还会被接受吗?
是否必须仍然存在过期的根和颁发CA证书(例如,在受信任的根ca证书存储区中)?这是我的假设,即使CA可能被降级,执行签名的客户端仍然必须信任CA?否则信任链就会被打破,对吧?
缺乏CRL或AIA会带来什么问题吗?
浏览 0提问于2017-10-17得票数 13
1回答
我读过一篇关于如何创建本地SSL证书的。基本步骤如下:
创建密钥对
openssl genrsa -des3 -out applicant.key 2048create证书签名请求
使用ca.key(私钥)和cacert.pem (CA证书)为申请人openssl req -new -sha256 -nodes -out applicant.csr -key applicant.key -config someCert.csr.cnfcreate证书
openssl x509 -req -in applicant.csr -CA cacert.pem -CAkey ca.key -CAcrea
浏览 8提问于2020-03-03得票数 0
1回答
我想建立我自己信任的根CA。然后,我将使客户谁将从我的CA获得证书,以确保通信安全。但是,为了验证服务器颁发的证书,客户端必须拥有自己的CA证书,其中包含CA的公钥,并且应该预装在所有客户端中。如何在所有客户端(即我的客户端将是计算机系统)上安全地安装我的CA证书。
浏览 3提问于2016-04-20得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
