我有一个启用了ssl的db2 WoC实例。与其他启用SSL的db2仓库不同,我不需要提供显式的证书路径-- db2驱动程序能够处理它。所以我的连接字符串看起来是:
<host>:<port>/db:sslConnection=true;
我没有安装db2驱动程序包,它配备了CA证书。我只有一个独立的db2jcc驱动程序。
证书是从哪里来的?我往罐子里看了看,但也找不到它。
浏览 8提问于2022-10-10得票数 0
我有两个驱动程序文件,它们似乎被正确地烧录了:
bobbarker@bobbarker-PC /cygdrive/c/Users/bobbarker/Desktop
$ ./SignTool.exe verify /kp /v /ph /d truecrypt.sys
Verifying: truecrypt.sys
Hash of file (sha1): 8562AC6F95298C1904DFC0B579C51CBB414D13C9
Signing Certificate Chain:
Issued to: AddTrust External CA Root
Issu
浏览 2提问于2014-12-30得票数 1
回答已采纳
4回答
如何使MySQL JDBC在SSL上工作(使用X509证书验证)?
我已经得到了自创建的证书,如MySQL手册中所描述的,在Using SSL for Secure Connections中,特别是:
# Create CA certificate
shell> openssl genrsa 2048 > ca-key.pem
shell> openssl req -new -x509 -nodes -days 1000 \
-key ca-key.pem > ca-cert.pem
# Create server certificate
shell
浏览 3提问于2011-01-11得票数 2
3回答
我公司正在为我们的硬件开发驱动程序。现在我需要在32位和64位平台上签名。
请告诉我,现在我需要购买授权代码证书,对吗?
使用什么CA?
DigiCert?
GlobalSign?( http://www.sslshopper.com/microsoft-authenticode-certificates.html )
赛门铁克?( http://www.symantec.com/verisign/code-signing/microsoft-authenticode )
这个CA提供的区别是什么?
我需要使用WDK的工具吗?
浏览 0提问于2012-09-19得票数 1
回答已采纳
下面是一个非常好的答案,它涉及自签名CA的创建,然后用获得的证书对可执行文件进行签名:。
我在网上读到了很多关于驱动程序签名是如何工作的讨论,答案似乎是明确的,如果没有启用测试模式,就不能加载未签名或自签名的驱动程序。然而,我联系的答案,尤其是Roger Lipscombe的一条评论,似乎提供了一个自相矛盾的观点:
如果要将此用于对驱动程序进行签名,则需要将CA证书导入计算机存储区。我的示例将它导入到用户存储中,这对于大多数软件来说都很好,用于测试/内部目的。
在我看来,只要CA证书被导入到机器商店,我就可以安装带有自签名证书(由自签名CA颁发)的驱动程序。我不需要对系统进行任何其他更
浏览 7提问于2014-12-31得票数 30
1回答
我有一个带有Windows2019的"CA1“服务器,它具有CA根企业服务。此外,我有另一个服务器“CA -从属”与Windows2019与CA从属服务"CA1“。CA根服务器"CA1“,我将解压缩它,并安装一个新的CA根服务器”CA“。当我关闭"CA1“服务器时,”CA -从属“证书和CA服务是否仍能在此服务器上工作?我是否可以将从属CA“CA -从属”移动到新的根CA服务器“Can”,使其从属于它?
谢谢
浏览 0提问于2023-05-17得票数 0
我正在试着给一个司机签名,我有一个证书"Thawte Code Singing CA -G2“,我是这样做的。
signtool sign /v/t /n "CertName“/ du www.bla driver.sys
在检查驱动程序时,我得到以下结果:
signtool验证/v/d/a/ kp driver.sys
签名证书未链接到Microsoft根证书
也许我需要某种交叉证书?如果是,那么我可以从哪里获得它,以及如何指定signtool的参数?
浏览 1提问于2013-08-12得票数 1
3回答
我做了个司机,现在我要签了。它以内核模式运行。
根据我在微软的中所读到的,我必须从商业购买软件发行者证书。在那份文件中,他们说要看到底,然后向查询一个CA列表,我可以从中购买该证书。我觉得这个链接很混乱,因为我不知道我到底需要买什么证书。我需要在驱动程序上签名,这样它才能安装在64位Windows系统上。直接链接将是非常欢迎(我想购买它从GlobalSign)。
是来自的Microsoft吗?
浏览 2提问于2010-10-07得票数 1
回答已采纳
当我试图安装我的设备驱动程序时,我会得到
“程序兼容性对话框”需要一个数字签名的驱动程序:进程检测驱动程序Cetrus。Windows阻止了数字无签名驱动程序的安装。卸载使用该驱动程序的程序或设备,并检查发布服务器网站上是否有该驱动程序的数字签名版本。
我的司机签名:
Verifying: PDetect64.sys
Signature Index: 0 (Primary Signature)
Hash of file (sha1): 039DFBD6C922B86BC9D8E2ABF9AADAB800ABE21E
Signin
浏览 7提问于2017-06-26得票数 0
回答已采纳
3回答
我正在尝试为CentOS7上的螺栓通信设置启用了TLS的Neo4j。服务器当前作为系统服务安装。我已经生成了一个自签名证书和密钥:
sudo openssl genrsa -des3 -out /var/ssl/ca.key 4096``
sudo openssl req -new -x509 -days 365 -key /var/ssl/ca.key -out /var/ssl/ca.crt
sudo openssl genrsa -des3 -out /var/ssl/neo4j/serv.key 1024``
sudo openssl req -new -key /var/ssl/ne
浏览 5提问于2018-07-15得票数 4
我创建了一个私有CA并形成了一个用于测试的pkcs12证书文件。我是通过以下方式在我的Linux盒上使用openssl做到这一点的:
openssl req -config /etc/openssl.cnf -subj /CN=aa1@2C/O=Ruckus Wireless, Inc./ST=CA/C=US -batch -new -nodes -key users/2C.key -out users/2C.csr
openssl ca -config /etc/openssl.cnf -extensions client_cert -batch -in users/2C.csr -
浏览 9提问于2012-07-11得票数 9
我发布了,并从Thawte获得了一个新造的代码签名证书。
我遵循了说明(或者我是这么认为的),代码签名声称成功了,但是当我尝试验证工具时显示了一个错误。
验证步骤的结果似乎表明它是正确的,但是有一个错误,并且没有任何关于错误存在的原因的解释。
任何意见或建议都是非常感谢的。
用于签名exe的命令行:
signtool sign /f mdt.pfx /p password /t http://timestamp.verisign.com/scripts/timstamp.dll test.exe
结果:
The following certificate was selected:
I
浏览 0提问于2010-04-27得票数 11
回答已采纳
1回答
更新企业CA证书
、、、
我刚刚更新了根CA证书,并且有问题更新了我的企业CA证书。我的设置是根CA与联机颁发CA服务器脱机。当我进行更新时,任何事情都不会发生,并在事件日志中得到以下内容
企业CA的CA证书链中的证书已过期。当根据当前系统时钟或签名文件中的时间戳进行验证时,所需证书不在其有效期内。0x800b0101 (-2146762495 CERT_E_EXPIRED)。
用于xxxx企业CA的CA证书0链中的证书已过期。当根据当前系统时钟或签名文件中的时间戳进行验证时,所需证书不在其有效期内。0x800b0101 (-2146762495 CERT_E_EXPIRED)。
我正在用相同的私钥和公钥更新,是否需要
浏览 0提问于2023-01-31得票数 0
1回答
我正在研究如何增加使用签名和加密的“东西”-- LibreOffice文档,私下聊天,PDF,电子邮件等等。我发现有些东西只支持x509格式--证书,还有一些只支持OpenPGP格式的证书。
我还喜欢OpenPGP不依赖CA,并且不喜欢CA模型易受政府干预的影响。但是,CA模型在某些用例中是方便的(例如,将签名的PDF发送给一个对加密一无所知的老学者)。
我想过要从同一个密钥对创建一个Frankensteinian 509/OpenPGP混合,但我不确定是否值得这样做。
因此,我认为问题是:拥有和维护两个密钥对是明智的吗?一个是x.509格式,另一个是OpenPGP?
浏览 0提问于2013-12-18得票数 7
回答已采纳
3回答
所有人。我已经为Windows Vista/7/8开发了NDIS 6.0协议驱动程序,并计划使用证书对其进行签名。大多数公司都提供了支持.exe .ocx .dll签名的代码签名证书,但他们对驱动程序(.sys)的支持却非常不确定。一些公司提供了另一种名为“内核模式驱动程序签名”的服务,该服务支持直接.sys签名,但它比“普通”代码签名更昂贵。
那么,普通的代码签名支持驱动程序签名吗?我应该选择哪一个来为Windows Vista/7/8驱动程序签名?更便宜更好。普通代码签名v.s.内核模式驱动程序签名?
这是我收集的一个列表,也许对你有帮助:
VeriSign/Symantec 499$ (
浏览 0提问于2013-07-02得票数 1
我在Apache配置文件中有我的mongo详细信息。并得到这个错误。 SetEnv MONGO_URL mongodb://:@XXXXXXXXX.docdb.amazonaws.com:27017/?ssl=true&ssl_ca_certs=/home/ec2-user/rds-combined-ca-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false App 2291 output: MongoNetworkError: failed
浏览 50提问于2020-05-01得票数 1
我想在我们公司的工作站上预装一些医疗设备的USB驱动程序。不幸的是,这些驱动程序没有签名。基于在这里和其他地方做的一些研究,我使用我创建的证书对这些驱动程序进行了自我签名:
makecert -r -pe -n "CN=Self Root CA" -b 01/01/2006 -e 01/01/2099 -eku 1.3.6.1.5.5.7.3.3,1.3.6.1.4.1.311.10.3.6 -sv selfcert.pvk selfcert.cer
我将证书添加到“受信任的根CA”和“受信任的发布者CA”中,并对驱动程序进行签名:
signtool sign /f selfc
浏览 0提问于2013-05-17得票数 1
回答已采纳
1回答
我正在使用Firefox5.0在ubuntu11.04上运行一个GPF-隐蜱。使用智能卡是一件很棒的事情,但我没有找到任何好的方法。也许这只是缺乏理解。
首先:我的密码滴答(Smartcard)运行良好。我正在使用它对远程服务器进行ssh。我可以看到我的智能卡与gpg --card-status和ssh-add -l显示我的钥匙。一切都很好。
第二:我已经建立了一个需要Apache2 2/mod的网站
SSLVerifyClient require
SSLCACertificateFile conf/whatever/ca.crt
SSLVerifyDepth 1
通过使用openssl生成自
浏览 0提问于2011-06-30得票数 0
回答已采纳
在开发64位驱动程序时,我们了解到每个驱动程序都需要正确的数字签名才能安装(测试模式除外)。
最近,我们偶然发现了一个驱动程序(一个USB摄像头),它似乎缺少一个有效的签名。在安装过程中,我们得到了有关未签名驱动程序的红色警告屏幕,但是设备使用该驱动程序时工作正常。
我拍过照片。抱歉,图片的墙壁,我害怕错过一个重要的点,因为我显然不明白这里发生了什么。
Devive Manager
驱动程序属性
驱动程序详细信息
来自%system32%\DriverStore\FileRepository的驱动程序文件
证书详细信息
测试模式已经关闭(并且我
浏览 3提问于2013-12-13得票数 14
我用brew在我的mac上安装了Jmeter。我确实设置了我的Jmeter脚本记录,并开始脚本记录。我听到一个弹出式消息说:
根CA证书ApacheJMeterTemporaryRootCA在JMeter bin目录中创建
您可以按照组件参考文档中的说明安装它
请参见安装HTTPS记录段落的JMeter CA证书。
但是,当我查看/usr/local/Cellar/ Jmeter /5.3/bin/和/usr/local/c业力/jmeter/5.3/libexec/bin/目录时,我找不到ApacheJMeterTemporaryRootCA。我是在找对地方还是错过了任何一
浏览 2提问于2020-09-10得票数 1
我们必须在最终用户iOS设备上手动安装CA证书,或者通过MobileIron服务为我们的用户推送证书。仅安装CA证书成功后,我们的App用户就可以受益于我们的服务。
到目前为止,我还没有看到在运行我的iOS测试之前在AWS device Farm的AWS设备上安装CA证书的任何选项。
有没有办法添加和激活证书?
浏览 15提问于2019-12-18得票数 0
3回答
我在学习蟒蛇的第一步,请原谅我的问题。我想运行下面的代码(摘自:):
import socket, ssl, pprint
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# require a certificate from the server
ssl_sock = ssl.wrap_socket(s,
ca_certs="F:/cert",
cert_reqs=ssl.CERT_REQUIRED)
ss
浏览 9提问于2012-10-14得票数 4
1回答
使用PKI证书的MFA
、、、
我正在尝试使用PKI证书建立多因素身份验证。PKI基础设施已经准备好使用,我计划将这些证书放在智能卡上。我正在寻找一个智能卡阅读器,我偶然发现了一个:https://www.amazon.ca/-/fr/Gemalto-Idbridge-CT30-USB-lecteur-carte/dp/B00G46Y7CG?language=en_CA,我的问题是:我需要软件在我的卡片上放证书吗?谢谢。
浏览 0提问于2020-10-05得票数 0
最近,我们用于软件和驱动程序签名的SafeNet身份验证令牌过期了(Symantec),我们订购了一个新的(现在是Thales,购买了Symantec?)。
过期的一个拥有以下CA:
VeriSign Class 3公共Primarey证书颁发机构- G5Symantec Class 3扩展验证代码签名CA - G2
用户证书的目的是:代码签名。
替换令牌具有以下CA:
Digicert可信G4代码签名RSA4096 SHA384 2021 CA1Digicert可信根G4
用户证书的目的是:代码签名。
与旧的令牌:,我们可以签署驱动程序和目录,并使用这些直接在PC上没有安全启动。我们可以在微
浏览 0提问于2022-11-15得票数 0
回答已采纳
1回答
仅仅是由于我自己的网络中的私有兴趣和使用,我正在使用openssl创建一个证书链(根CA→中间CA→服务器证书)。我希望证书链是可追踪的,并且能够撤销证书。
目前,我还不确定在创建证书时应该设置哪些CRL分发点( openssl语音中的crlDistributionPoints)和OSCP (authorityInfoAccess = OCSP;URI: ...和authorityInfoAccess = OCSP;caIssuers: ...)。检查一些公共网站的证书,在我看来,以下是一条路。那么,请你检查一下我是否是对的?
根CA证书:
CRL:根CA CRL或根本没有
OCSP URI:
浏览 0提问于2020-04-05得票数 1
回答已采纳
1回答
目前我有两个私有CA,一个根CA和一个从属CA。从属CA的CSR由根CA签名。我们的应用程序将使用从属CA进行相互TLS身份验证。
问:我有已由根CA签名的现有证书,可以与从属CA一起使用吗?或者,我是否必须创建由从属CA签名的新证书才能使其正常工作?
浏览 4提问于2020-02-29得票数 0
假设Alice拥有由certi CA1 << Alice >>阳离子授权机构CA1发出的certificate CA2 << Bob >>,而Bob有一个certificate D2,它是由二层fi阳离子授权机构CA2发出的。
众所周知,CA1拥有由CA2发行的certificate CA2 << CA1 >>。鲍勃如何验证艾丽斯的certificate CA1 << Alice >>?
我认为CA2是根本权威,但我不知道如何处理这个问题。
浏览 0提问于2018-04-28得票数 2
我有一个另一个问题,我在这里询问我遇到的SSL问题。一位评论者问:“根CA和中间CA也到位了吗?”
我知道CA代表证书颁发机构,我对什么是根CA和中间CA有一个模糊的理解。我完全不知道的是,如何确定根CA (和中间CA)是否已经到位。我怎么知道?
浏览 0提问于2014-03-16得票数 0
1回答
PKI或数字签名证书
、、、、
请注意,这是一本长篇读物。我只是再次混淆了CA服务器如何帮助数字签名和pki工作流程。请让我知道我在下面描述的是正确的。
在此之前,让我有一个拓扑。‘,'B’是使用PKI进行VPN相互认证的两个设备,然后我们使用' CA‘将A和B称为设备,CA称为CA。
Step1:生成CA证书
“请求安全pki CA-证书注册CA-配置文件根-CA”
上面的命令请求CA服务器将CA证书发送到A和B,并加载证书。
Question1:该命令是否帮助设备向CA发送消息,然后CA是否通过发送数字签名证书和设备加载它来响应?
如果不是
,设备如何获得CA证书?
Step2: CA证书
关于CA证书,
浏览 0提问于2021-07-10得票数 0
6回答
AWS文档指出,要连接到我的DocumentDB集群,我需要使用类似于so ?ssl_ca_certs=rds-combined-ca-bundle.pem&replicaSet=rs0的查询字符串。我的客户应该验证的。我不需要。
使用MongoDB C#驱动程序和这个特定的查询,使用同一个目录中的.pem文件,我无法建立连接。如果我使用来自Mongo的相同的.pem文件和查询字符串,我可以正确地连接到我的数据库。它只对我的.net核心应用程序不起作用,这也是在AWS上运行的。
通过从集群中删除TLS并从查询中删除ssl_ca_certs选项,我可以正确地连接到群集。
我以为我可以使用
浏览 1提问于2019-02-22得票数 9
回答已采纳
1回答
我不明白为什么当我接受在IE浏览器上“安装”自签名的根CA时,根证书结束在“中间CA”部分,而不是在浏览器证书容器中的"Root CA“部分(在Windows证书管理器中,两者可能是相同的)。
仅在根CA部分显示受信任的CA列表是Microsoft策略吗?而不允许在本节中插入“未知”根CA?
在使用它的时候,我看不出有什么不同,但必须有一个解释。
浏览 0提问于2014-12-29得票数 3
1回答
我们有一个Windows 2019 DC - ADCS PKI.它由一个根CA和一个从属CA组成。当从属CA发出证书时,根CA不在链中。如果打开已颁发的证书并转到“证书路径”选项卡,则从属CA证书是链中最高的。如果您单击它,它将显示“找不到此证书的颁发方”。作为证书状态。
现在我有两个问题。
在PKI配置中可以更改什么,以便根CA始终存在于新颁发的证书中。(我假设是由于misconfiguration).Can,我将根CA添加到已经颁发的证书?中)
浏览 2提问于2021-03-16得票数 0
回答已采纳
我的网络上的服务器使用RapidSSL CA颁发的证书签名,但不提供完整的颁发者链(RapidSSL CA的证书由受信任的根权威机构GeoTrust CA颁发)。
当我使用firefox访问站点时,我会得到以下错误:
The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)
但是,如果我使用IE或chrome连接到站点,它就能工作,我注意到RapidSSL随后作为中间CA加载。我不明白Chrome/IE (我假设它使用)如何知道如何添加R
浏览 0提问于2012-11-15得票数 8
回答已采纳
1回答
这可能看起来很琐碎,但我对tls并不在行。
我有一个openvpn服务器,可以进行双向tls操作。
我的虚拟专用网客户端有一个ca.crt文件:
root CA
intermediate CA
issuing CA
我的服务器的server.crt为:
server certificate # which is signed by the above "issuing CA"
但是,如果在我的vpn客户端上删除了ca.crt中的“颁发CA”和“中间CA”,那么我的vpn客户端仍然可以验证server.crt。
如果我的vpn客户端在我的ca.crt中放置了无效的“根CA”,那么
浏览 0提问于2023-02-11得票数 0
回答已采纳
1回答
我有一个证书链,名为:root CA -> intermediate CA -> org CA -> client Cert
当我用CA作为root CA -> intermediate CA -> org CA验证客户端证书时,它的工作原理是:
$ cat org_1_ca/ca_crt.pem intermediate_ca/ca_crt.pem root_ca/ca_crt.pem > /tmp/test123.pem $ openssl verify -CAfile /tmp/test123.pem client/client_crt.pem cl
浏览 7提问于2017-06-05得票数 2
我在一个容器中通过端口80和443运行Nginx,后者使用用生成的SSL证书。这工作得很好。
在另一个容器中,我运行Node,它依次运行Gulp,而后者又运行。
我的Gulp文件在Node容器中运行,它将端口3000打开到我的本地机器和代理本地主机,这样:从Nginx容器中运行。使用Browsersync从节点容器运行
除了节点容器无法通过代理安全地显示网站这一事实外,这是可行的。
阅读更多关于Node认证可能发生的事情时,我发现了
与Node.js一起使用根
节点不使用系统根存储,因此它不会自动接受mkcert证书。相反,您必须设置NODE_EXTRA_CA_CERTS环境变量。
导出NO
浏览 10提问于2021-10-15得票数 1
2回答
我用我的根CA生成了大量的叶证书,但是现在它( root )已经过期了。即使叶子证书的有效期比根CA更长,但由于根CA的过期,它们也会过期。如果我用相同的键更新根CA,叶子证书是否仍然有效,还是需要使用更新的CA再次生成新的叶证书?
浏览 0提问于2020-07-11得票数 7
4回答
我有一个独特的情况,我需要在IE浏览器和IIS 6之间通过HTTPS实现客户端证书身份验证。浏览器和IIS之间由防火墙分隔,防火墙只允许浏览器在SSL端口上连接到IIS。
我们在IIS的同一网络上有一个内部证书服务器。我已经为IIS生成了一个SSL服务器证书,并且已经安装。我将IIS配置为只允许SSL,需要客户端证书。
这里的限制是浏览器机器位于断开的网络上,所以我不能像通常那样访问CA的 URL和。
我想,如果有一种方法可以针对根CA的公钥生成CSR,我可以将其复制到CA服务器以生成客户端证书。但是,在IE或MMC证书中似乎没有这样做的规定。证书MMC似乎需要与CA直接连接。
以前有人解决过
浏览 5提问于2008-11-06得票数 5
来自的openssl根ca配置示例定义了以下内容(p40):
[req]
...
req_extensions = ca_ext
[ca_ext]
...
稍后(p43)生成根ca键,然后生成根ca自签名证书。
openssl req -new \
-config root-ca.conf \
-out root-ca.csr \
-keyout private/root-ca.key
openssl ca -selfsign \
-config root-ca.conf \
-in root-ca.csr \
-out root-ca.crt \
-extensions ca_ext
在
浏览 3提问于2015-07-07得票数 2
1回答
我对安全性非常陌生,对CA的概念也更加困惑。让我们假设系统中存在以下内容:
TA
|
CA_MID
/ \
CA_INT1 CA_INT2
/|\ /|\
END_ENTn1 END_ENTn2
最顶端的CA是信任锚点。CA_MID是一个只向其他CA颁发证书的中间CA。CA_INT1和CA_INT2是向终端实体、笔记本电脑(CA_INT1)和台式机(CA_INT2)颁发证书的CA。假设我有一台笔记本电脑(END_ENTn1),它导入了TA、CA_MID、CA_INT1链。
第一个问题:
浏览 0提问于2017-10-17得票数 0
回答已采纳
谁使用fabric-ca-client?用户使用fabric-ca-client还是ca的管理员使用fabric-ca-client?fabric- ca -server本身就是ca吗?我想知道fabric-ca-client和fabric-ca-server之间的关系。谢谢
浏览 17提问于2020-02-12得票数 0
2回答
关于自签名证书的几个基本问题
问题1
自签名证书必须有CA吗?我意识到,一个“真实”的证书必须是因为它可以被链式验证,但是自我签名呢?
问题2
如果一个自签名没有CA -它是否仍然在可信的CA存储中不引起链验证错误时使用它进行测试?
问题3
是否有一种方法可以查看自签名证书是否由CA签名--如果它有CA,是否会影响上述问题?那么,我是否必须让CA信任它,还是仍然可以将实际的证书放在CA存储中以创建一个安全的SSL通道?
浏览 0提问于2013-10-23得票数 11
回答已采纳
我试图为CA2生成一个证书,以便:
有一个名为CA0的根CA。
有一个名为CA1的中间CA。
还有一个名为CA2的中间CA。
CA0签署CA1证书。
CA1签署CA2证书。
我使用各种方法使用keytool生成CA2。
方法1: CA0签名CA1并写入文件;CA1签名CA2并写入文件;CA0从keystore导出到文件
# Start afresh
rm -f foo.jks
rm -f *.cer
# Generate self-signed CA0 (root), CA1 (intermediate) and CA2 (another intermediate
浏览 3提问于2016-06-06得票数 1
回答已采纳
1回答
我试图在api文档中使用节点https api来设置https服务器:有两个参数使我感到困惑。ca:
可选择覆盖受信任的CA证书。默认情况是信任Mozilla策划的著名CA。在使用此选项显式指定CA时,将完全替换Mozilla的CA。该值可以是字符串或缓冲区,也可以是字符串和/或缓冲区数组。任何字符串或缓冲区都可以包含多个连接在一起的PEM can。要验证连接,对等方的证书必须链接到服务器信任的CA。当使用无法链接到众所周知的CA的证书时,必须将证书的CA显式指定为受信任的,否则连接将无法进行身份验证。如果对等方使用与默认ca之一不匹配或链不匹配的证书,则使用CA选项提供对等方证书可以匹配或链
浏览 0提问于2019-12-28得票数 0
回答已采纳
我需要在Windows764位计算机上安装驱动程序。这个驱动程序是开源的,所以它不是数字签名的,所以我想自己来做,但是我想知道这是否可以不花很多钱就可以完成。是否可以使用未经或签名的证书?可能是自签名的,还是用代替?
如果是,我该怎么做?根据,,我必须使用一个“交叉证书”(微软列表上只有六个可用的证书,其中大多数是针对不再活跃的CA的)。
我不在乎用户是否面临警告信息。如果用户必须首先安装特殊的证书,我甚至可以接受。我只要求驱动程序在每次Windows启动时不手动禁用签名检查。
浏览 8提问于2010-05-17得票数 13
回答已采纳
我有一个从Sub CA颁发的证书,其证书路径如下:
Root CA
Sub CA
My Certificate
为什么当我试图用X509Chain.Build()验证它时,我总是需要在我的受信任的根证书颁发机构文件夹中拥有Sub才能返回true?我已经有了根CA证书,所以既然我信任根,作为一个信任网络,它不应该也信任子CA吗?因为现在,它说它无法将链构建到受信任的根证书颁发机构,除非我将Sub CA证书添加到受信任的根证书颁发机构。
浏览 0提问于2013-08-06得票数 2
回答已采纳
1回答
Ubuntu 12.04
OpenSSL 1.0.1 14
Wget 1.13.4
我的设置:
创建我们自己的CA (our_own_ca.crt)
生成使用上述CA (graphite.local.crt)签名的证书
将该证书和CA证书连接到一个包文件中。
Nginx配置:
ssl_certificate /etc/ssl/certs/graphite.local.crt;
ssl_certificate_key /etc/ssl/certs/graphite.local.key;
ssl_client_certificate /etc/ssl/certs/our_own_ca_chaine
浏览 0提问于2015-03-11得票数 3
2回答
维基百科说:例如,如果颁发给"example.com“并由”中间CA1“颁发的证书和访问的web浏览器信任”根CA",则可以以下列方式建立信任:
证书1-颁发给: example.com;由:中间CA 1颁发
证书2-颁发给:中级CA 1;由:中级CA 2颁发
证书3-颁发给:中级CA 2;由:中级CA 3颁发
证书4-颁发给:中间CA 3;由: Root CA颁发
这里的信任是什么意思?我的浏览器是否可以信任一个中间证书,这样证书链接就会停止,我的浏览器就可以开始与服务器的会话了?
浏览 0提问于2015-05-28得票数 3
回答已采纳
1回答
也许是个简单的问题。我们有Palo,它使用内部根CA颁发的子CA证书执行SSL解密。这适用于我们的内部windows域计算机,因为根CA和子CA通过组策略向下推到所有这些计算机。我的问题是,我们有几个Mac用户GPO不工作,所以他们需要手动添加证书。
我的问题是,如果在Palo (为站点进行动态SSL生成)上安装的subCA也安装在这些Mac上。为什么用户仍然在浏览器中检测到不可信的连接?它抱怨说,“无法向受信任的证书颁发机构验证此证书”。
如果我另外安装根CA证书,它们将不再接收错误。万岁!
但是,我的问题是,如果子CA (在Palo上)是生成显式证书(如bankofamerica.com等
浏览 0提问于2015-05-14得票数 2
我第一次遇到这样的场景:
我的服务器证书由中间-CA1签名,而后者又由ROOT-CA1签名。ROOT-CA1在我的浏览器/操作系统的信任存储中。
也就是说,ROOT-CA1也是由ROOT-CA2签名的,它也在我的浏览器/操作系统的信任存储中。
这意味着,在一个信任路径上,根-CA是根-CA(因此不需要由服务器发送),而在另一个信任路径上,根-CA1必须被视为中间-CA2,因此应该由服务器发送。
显然,这不能同时实现,因为所选的信任路径取决于客户端在其信任存储中的根CA。
所以我主要问两个问题:
这才是处理这种情况的正确方法。我的预感是,作为服务器的我也应该发送ROOT-CA1证书,但是我没有R
浏览 0提问于2020-04-09得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
