Articles of 证书权威

ADCS – 如何诊断证书请求被策略模块拒绝的确切原因?

我需要制定操作程序来审计和理解为什么特定请求被Active Directory证书服务(ADCS)策略模块拒绝。 我试图打开GUI中的所有日志logging(checkbox),并检查Eventlog。 我只看到一个事件日志条目每个失败的请求,但我没有一个明确的方式来确定是什么导致它失败。 下面是一个失败的例子: Active Directory证书服务拒绝了请求4,因为证书颁发机构的证书包含无效数据。 0x80094005(-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)。 请求是CN = Issue01a,CN = Bits.com,OU =对于电子邮件安全,O = Bits LLC,C = US。 其他信息:政策模块拒绝 上面的例子是一个sub-ca,故意有一个有效期会超出父CA的有效期。 我希望从上面的错误代码或其他位置得出这个原因。 我所做的:在谷歌search错误“2146877435”,导致这个非常后期被拉起。 前几页没有任何结果是错误代码和原因的列表。

如何获得有待处理的AD CS证书请求的提醒?

我想获得未决AD CS请求的摘要报告。 我将如何处理这个? 有什么事情已经存在? 我试图解决的问题是用户请求证书的地方,我不知道这个未决/未完成的项目。

哪个Ubuntu软件包有debian.neo4j.org(godaddy)的CA?

neo4j网站显示你应该使用他们的证书 wget -q -O – http://debian.neo4j.org/neotechnology.gpg.key 这当然可以让他们的证书被黑客入侵。 所以,我真的应该使用https://debian.neo4j.org/neotechnology.gpg.key 。 但是当我这样做的时候, wget和curl都不能find证书。 另一方面,Chrome似乎完全满意。 以下是wget的详细消息: 错误:无法validation“CN = Go Daddy安全证书颁发机构 – G2,OU = http://certs.godaddy.com/repository/,O=GoDaddy.com \ ,Inc.,L颁发的debian.neo4j.org的证书=斯科茨代尔,ST =亚利桑那,C = US“: 我必须在这种情况下使用命令行工具,我非常喜欢使用** https *。 什么软件包将安装我需要的authentication? [我已经知道–no-check-certificate 。 这不是我想要的]

在木偶版本5中生成和签署证书

我试图在运行Centos 7的两台完全相同的Linux机器上安装和configurationpuppet 5.3.2(其中一台是主设备,另一台是代理)。 我已经设法从官方存储库安装木偶,并添加以下内容。 /etc/hosts主节点 127.0.0.1 <master hostname> <master node ipaddress> puppet, <master node hostname> <agent node ipaddress> <agent node hostname> /etc/hosts代理节点 127.0.0.1 <agent hostname> <master node ipaddress> puppet, <master node hostname> <agent node ipaddress> <agent node hostname> /etc/puppetlabs/puppet/puppet.conf主节点 [master] vardir = /opt/puppetlabs/server/data/puppetserver logdir = /var/log/puppetlabs/puppetserver rundir = /var/run/puppetlabs/puppetserver pidfile = /var/run/puppetlabs/puppetserver/puppetserver.pid codedir = /etc/puppetlabs/code […]

如何在ADCS中创build交叉证书(或桥接CA)?

我试图在两个不信任的森林之间build立一个信任关系,我想使用交叉证书或Bridge CA解决scheme(不使用AD信任或CEP)。 我发现很多build议说可以做到,但是我可以find任何关于如何去做的事情。 (图片似乎没有显示 – 这里他们在谷歌幻灯片: 从下面3张图片 ) 这是我有: 我想添加一个这样的信任: 为了达成这个: 绘制这些图片后,我可以看到我错过了一些东西,我无法看到交叉authentication链接将如何或在哪里存储。 到目前为止,我完全没有让一个CA签名任何东西(证书,CA,请求)源自另一个CA的层次结构。 我正在以正确的方式进行吗? 任何关于如何交叉签名的指针,或者我的图表是否正确都是很好的。 对不起,这有点含糊,但我真的不知道要走到哪里。 谢谢, 吉姆

Windows Server 2003:在企业CA中使用根和中间CA的离线导致失败

我在实验室环境中安装了3个CA: SA根CA SA中级CA 企业CA(也是DC) 教师build议在企业CA颁发证书后,让根和中级CA脱机。 我使根和中间CA脱机,现在企业CA的证书无法validation,因为根CA和中间CA都处于信任链中,并且不可用。 为了克服这个问题,我认为将CRL发布到一个总是可用的服务器上的共享文件夹,但是CRL的有效期只有一个星期。 那意味着我必须每周都带上根和中级CA来发布CRL? 通常提出的解决scheme是什么?

我怎样才能让SBS2011发行证书?

我想使用证书来validation客户端和服务器是否有新的内部服务。 由于我们所有的服务器都已经安装了SBS(2011 Standard)服务器的Cert作为受信任的根,因此获得新证书似乎是正确的select。 所有 的 文件似乎表明我应该浏览到SbsServer/certsrv但没有在该地址。 我已经尝试通过正式经理添加所有的angular色服务,似乎他们可能是相关的,但仍然没有。 我是否需要使用Web前端来颁发证书? 如果是这样,我怎么能启用它? 如果没有,有一个我可以使用的向导?

雷鸟不信任使用自签名权限签名的证书

我已经使用mydomain.org作为通用名称生成了自签名证书颁发机构。 我使用“Authorities”选项卡下的Thunderbird证书pipe理器导入了公共证书。 到现在为止还挺好。 接下来,使用这个CA,我已经为mail.mydomain.org生成(并签名)了一个证书,但是即使我导入了CA,我也不断收到带有消息“Unknown Identity”的“Add Security Exception” m试图连接第一次。 下面是一个截图,说明情况: 注意:CA和邮件证书都使用“SHA-1 with RSA Encryption”进行签名。 注2:我知道我应该从一个可信赖的机构获得证书,这是一个临时解决scheme。 所以我的问题是: 1)这种行为是否正常? 2)如何“说服”Thunderbird我的CA签名的所有证书都是可信的? UPDATE % openssl s_client -connect mail.mydomain.org:993 CONNECTED(00000003) depth=1 <snip> CN = mydomain.org, <snip> verify error:num=19:self signed certificate in certificate chain verify return:0 — Certificate chain 0 s:/<snip>/CN=mail.mydomain.org/<snip> i:/<snip>/CN=mydomain.org/<snip> 1 s:/<snip>/CN=mydomain.org/<snip> i:/<snip>/CN=mydomain.org/<snip> — Server certificate —–BEGIN CERTIFICATE—– <BASE64> —–END […]

为什么PHP Composer在其安装文件中有CA证书?

Composer的开发人员可以执行脚本来在您的系统上安装Composer。 它包含文件中的一系列CA证书。 我是新来的证书安全性,想知道这个文件正在做什么。 这是有问题的脚本: https : //github.com/composer/getcomposer.org/blob/master/web/installer#L1483

在Windows域中取消证书服务器时,我需要特别小心吗?

我正在设置一个新的Windows 2008 R2服务器,以从一个较小的Windows域中的Windows 2003框中接pipe。 我发现旧服务器正在域中运行唯一的证书服务。 我是否需要采取特殊措施,或者只需要在新服务器上运行证书服务? 更新:似乎我的根证书日前过期。 我是否也愿意直接迁移到新的服务器上来更新旧的证书?