Articles of pki

请求证书在其他站点失败

我不确定从哪里开始寻找 当请求证书时,服务器总是收到错误消息“由于没有证书types可用,此时不能请求证书”。 然后,对于每个证书,错误为“证书模板上的权限不允许当前用户注册此类证书”。 我们的CA服务器驻留在一个AD站点中,并且该站点中的服务器能够从CA请求证书。 另一个站点(相同的域)中的另一台服务器得到错误,虽然其他站点中的其他服务器正常工作 在可以获得证书的机器上的同一个用户也是有问题的机器上的问题。 域pipe理员对至less一个模板拥有完整的权限,而我的pipe理员用户是域pipe理员 任何有识之士将非常感激,知道我应该看看下一步。 谢谢

Web服务器是否将证书链发送给Web客户端?

如果我的Web服务器(最新的Apache)有一个有效的(未过期或撤销的)Verisign证书链(root-> intermediate-> leaf / myserver),那么服务器是否将整个(?)链发送给客户端? Web客户端(例如最新的Chrome) 是否需要在线查找每个相同的证书,特别是如果客户端已经信任根CA? 如果客户无法联系Verisign,会发生什么情况? (例如,在没有WiFi的笔记本电脑上安装LAMP)。

让我们encryption证书vs鱿鱼透明代理

我有一个在pfsense防火墙上设置透明Squid代理的问题。 我为HTTPS MITM创build了一个CA,将其安装在浏览器中,并且可以与大多数网站一起使用。 但是像ubuntuusers.de这样的网站使用我们的encryption证书似乎会导致问题。 奇怪的是这似乎是正确的:它的CN是域,他们的CA是正确的让我们encryption权限X3。 然而,只要Squid代理拦截证书,MITM将其自己的证书的CN证书成为ubuntuusers.de以及浏览器的IP地址, Chrome和Firefox都会拒绝它,因为cn和domain don't fit (net::ERR_CERT_COMMON_NAME_INVALID) 这只发生在这个网站,所以它必须做这个证书的东西。 我没有足够的证书来理解为什么会发生这种情况。 … Common Name (CN) 213.95.41.4 Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate> Serial Number 7C… Issued By Common Name (CN) myown-ca … 也许有人可以向我解释这种行为?

是否需要encryptionVPN证书请求?

我们有一个Cisco 3000 VPN集中器,并使用Cisco VPN客户端生成证书请求,然后我们在证书服务器上创build/validation身份。 当帮助台生成请求时,他们有时会通过电子邮件发送给我,然后在服务器上生成证书。 请求是否需要encryption? 在证书生成之前,请求本身还有什么东西需要保密? 谢谢。

如何发布内部Windows证书颁发机构的CRL?

我有一个Active Directory域,其中包含企业根证书颁发机构; 该域使用私有域名(“domain.local”),我们也有一个公共域名(“domain.com”)。 该域包含以下服务器: dc1.domain.local(域控制器) dc2.domain.local(域控制器) ca.domain.local(证书颁发机构) exchange.domain.local(Exchange 2010) fw.domain.local(TMG 2010防火墙) 防火墙有两个networking接口,一个是私有networking接口,另一个是公共networking接口,还有一堆公有IP地址; 它也是内部networking的默认网关。 它使用公共名称“mail.domain.com”发布Exchange服务器的Web服务,并使用公共名称“vpn.domain.com”充当SSTP VPN服务器。 所有涉及的证书都是从内部CA颁发的。 这是可以的,因为所有使用这个域的服务的计算机应该信任内部的CA证书。 我需要的是发布内部CA的证书撤销列表,否则Windows SSTP VPN客户端抱怨无法检查(我知道这可以使用registry项来解决,但是很难全局pipe理)。 我已经发布了包含两个名字“ca.domain.local”和“ca.domain.com”的证书,我已经在CA的IIS和TMG防火墙上configuration了它,并且已经发布了内部CA的网站与公共URL https://ca.domain.com 。 但是这里有一个问题:我如何告诉CA在其证书中写下可以在http://ca.domain.com/SomePathfindCRL,而不是http://ca.domain.local/SomePath ,这是默认configuration? 而且:由于这些信息都embedded到每个颁发的证书中,所以如果我改变它,我是否需要重新发布它们,以便检查他们的人知道他们的CRL可以在哪里find?

pipe理用户帐户和计算机帐户的证书有什么区别?

我们有一些join域的计算机无法导入第三方根证书作为可信任的证书提供者。 在试图解决这个问题时,我注意到当我们使用证书pipe理pipe理单元时,我们得到如下屏幕截图中的提示。 我的问题是,用户帐户和证书pipe理pipe理单元中的计算机帐户有什么区别?

我能从远程指纹中find本地ssh私钥吗?

可能我错过了一些明显的东西,但厌倦了ssh代理的5个关键限制后,我开始寻找更好的ssh密钥pipe理方法。 如果我使用ssh-keygen -t rsa创build一个新的ssh密钥对,那么我可以使用ssh-keygen -lf获取私钥和​​公钥的指纹,并且它们都报告相同的指纹。 然后,我天真的期望是做一些像ssh-keyscan这样的东西获得远程公共密钥指纹在该主机上,并匹配指纹到我的私人密钥之一,并启动使用该私钥ssh连接。 很明显,我使用ssh-keyscan得到的指纹甚至不像本地按键的指纹。 解决这个困境的解决scheme是什么?

PKI用户证书凭证漫游在Windows 7上运行,但不在XP SP3上运行

我们已经在我们的域上实施了用户证书的凭证漫游。 每个Technet在证书颁发机构和组策略中都设置了一切。 用户证书正确漫游,但只能在Windows 7工作站上漫游。 出于某种原因,我们的XP工作站(都是SP3)都没有拿到AD的用户证书。 我已经证实, KB907247实际上是作为SP3的一部分。 任何人都可以在这个问题上提供一些帮助

从SCCM中删除过期的PXE证书

我们的SCCM 2007 R2环境(以纯模式运行)只是更新了PXE客户端证书。 现在,站点服务器会自动阻止旧的证书,但似乎没有function实际删除它们。 我知道,除了美学之外,这并不影响其他任何东西,但是现在我们已经有了一些更新,证书列表变得漫长而混乱(不像我的办公桌,我喜欢试着保持我们的服务器整齐有序) 。 有谁知道一种方法来删除旧的证书?

Decom旧的CA和基本的EFS证书

非常接近退役我们的旧CA. 新的CA已经到位,并且正在愉快地签发证书,旧的CA已经删除了所有的模板,所以不会颁发证书。 我对退役过程的担忧是吊销“基本EFS”证书。 看起来好像在我们的域名中已经发布了几个这样的证书,虽然有问题的用户坚持说他们没有encryption的文档,但是我拿了一点盐。 在分解过程中,将CRL设置为适当的时间段,然后撤销所有证书。 由于“基本EFS”不支持Autoenroll,所以我担心最终会变成我们现在无法访问的encryption文档。 有没有一种方法可以确保将EFS证书从一个CA无缝传输到另一个CA? 还是我过分复杂,新的authentication机构会要求新的证书?