我有一个另一个问题,我在这里询问我遇到的SSL问题。一位评论者问:“根CA和中间CA也到位了吗?”
我知道CA代表证书颁发机构,我对什么是根CA和中间CA有一个模糊的理解。我完全不知道的是,如何确定根CA (和中间CA)是否已经到位。我怎么知道?
浏览 0提问于2014-03-16得票数 0
1回答
我只是在一台服务器上为slapd设置了TLS,使用了一个简单的PKI,如下所示:
ldap证书<中间CA证书<根CA证书
为了从客户端使用TLS连接ldap服务器,我像我找到的许多教程一样,向受信任的证书添加了根CA证书和ldap证书。
我能够通过TLS连接到ldap服务器。
然而,为什么不需要中级CA证书呢?它需要由ldap服务器和ldap证书一起发送吗?我只在slapd配置中配置了这些:
olcTLSCACertificateFile: /etc/ldap/ssl/root.pem
olcTLSCertificateFile: /etc/ldap/ssl/ldap_crt.pe
浏览 0提问于2018-07-24得票数 2
回答已采纳
SSL2Buy为我提供了三个文件:mysite.ssl2.crt、mysite.ssl2.intermediate和mysite.ssl2.key。我不相信中间文件算作证书链,但我不知道如何找到证书链。有人知道吗?
我从亚马逊网络服务得到的错误是这样的(当我试图将中间文件作为证书链时):Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The
浏览 0提问于2016-09-25得票数 0
1回答
iOS证书钉扎和
、、、
我在iOS和中找不到关于证书钉扎的好信息。
他们建议您不要违反ACM证书。
我们建议您的应用程序不要持有ACM证书
他们不建议这样做的原因是:
为了更新证书,会生成一个新的公钥对.
相反,他们建议:
如果使用公共证书,请将应用程序锁定到所有可用的亚马逊根证书。
我理解为什么不将钉到ACM证书上,因为您将不得不发布带有新证书的更新,从而冒着客户端分块的风险。您也不能将公钥钉在一起,因为它会更改。
我不明白的是,仅仅依靠根证书是可以的吗?它还能阻止中间人的袭击吗?这怎么更安全?
有人能解释得更好点吗?
浏览 2提问于2020-02-17得票数 1
2回答
我在Linux中使用'xca‘来设置私有CA。xca只包含根CA和最终用户CA的模板,不包括中间层.中级(本例中为最低级别)证书颁发机构的正确设置(字段和标志)是什么,以区别于根证书和最终用户证书。我知道根是自签名的,中间是由根签名的,但是我不确定中间CA的设置。具体来说,我不是在问软件设置,而是询问根证书和中间证书之间的区别。
浏览 0提问于2017-03-19得票数 10
1回答
我遵循了这个教程(),其中的目标是在Azure Provisioning Service中创建一个组注册,并将一个模拟设备连接到它。创建组注册和证书后,我遇到了与签名证书不匹配相关的错误。这发生在本教程“模拟设备”部分的第7步。
与错误相关的图像:
谢谢你的帮助!
浏览 1提问于2019-04-22得票数 0
2回答
我有一个中间和根PKI证书,我看到这些证书已经导入到计算机(windows server 2003)证书存储中。但是,中间证书和根证书都放在“受信任的根证书颁发机构”证书文件夹中。
📷
这显然是根证书的适当位置,而不是中间证书。另外,在美观上在错误的地方,在“错误”文件夹中拥有中间证书会不会导致失败或技术问题?换句话说,文件夹位置只是用于组织,还是影响PKI证书的功能?
浏览 0提问于2014-08-13得票数 1
回答已采纳
最近,Jenkins服务器(Linux)和IIS服务器(windows)的证书都过期了,我们已经为Jenkins和远程从服务器导入了新的证书。 当我们通过浏览器启动时,它可以连接(但弹出java - (The certificate is not valid and cannot be used to verify the identity of this website),如果我们将Jenkins作为服务安装在windows机器上,它处于启动状态(不是运行状态),并且无法在日志中将Jenkins作为从属启动,我可以看到以下错误: "Caused by: sun.security.v
浏览 51提问于2019-02-28得票数 0
2回答
已超出自签名证书路径约束
、、、、
我有以下自签署证书链:
RootCA -> IntermediateCA (由root签名) ->服务器证书(leaf for TLS,由中间签名)
RootCA有MaxPathLen =0
我的证书是使用certstrap使用CreateCertificateAuthority和CreateIntermediateCertificateAuthority生成的,因此我假设默认设置是正确的。但是,当试图让我自己签名的证书使用Python或Node客户端时,我遇到了一个path length constraint exceeded错误。
注意:通过提供中间CA证书,使用Go TLS
浏览 27提问于2022-01-13得票数 0
回答已采纳
1回答
我有个奇怪的问题。更新我的LAMP开发机器(Debian)到PHP 7。之后,我不能再通过Curl连接到特定的TLS加密API。
有关的SSL证书由thawte签署。
curl https://example.com
给我
curl: (60) SSL certificate problem: unable to get local issuer certificate
鉴于
curl https://thawte.com
当然,这也是由塔特的作品签署的。
我可以在其他机器上通过HTTPS访问API站点,例如通过curl和浏览器访问我的桌面。所以证书是绝对有效的。SSL实验室的评级为A。
从我
浏览 0提问于2016-02-10得票数 28
回答已采纳
2回答
openssl证书链输出
、、、
我读了安卓开发者的“HTTPS和SSL安全指南”,并阅读了这个段落。
本段讨论的事实是,服务器在SSL握手过程中并不总是返回整个证书链,通常只返回服务器证书和链的根CA。该链使用openssl:openssl s_client -connect egov.uscis.gov:443显示。
这让我有些怀疑:
该段指出,浏览器为了管理此服务器配置,只需在访问具有完整证书链的服务器中的站点时缓存中间CA,而当浏览器访问服务器中只提供“叶”和“根”证书的另一个站点时,则使用缓存的中间CA证书跟随该链。但是,如果浏览器访问服务器中只返回服务器和“根”证书的站点,而浏览器还没有缓存中间CA的证书,会发生什
浏览 0提问于2018-09-27得票数 1
1回答
我有一个客户端证书链,如下所示
单个证书->中间证书->根证书
有许多单独的证书,但只有一个中间证书和一个根证书。
我想知道如何将这些证书放入java信任库?我认为只有中级证书就足够了,对吗?
浏览 0提问于2013-03-16得票数 0
1回答
持有保险库中级证书的CA
、、、、
我希望使用Vault (HashiCorp)为内部服务设置私有CA。我正在生成Vault之外的根CA和中间CA证书。保险库将根据要求生成短期(30天)证书。
我遵循这个guid https://jamielinux.com/docs/openssl-certificate-authority/introduction.html并生成根CA证书example.com & dev.example.com,但是对于Vault,是否需要通配符中间证书*.dev.example.com来生成更多的子域证书,如one.dev.example.com、two.dev.example.com?
在这个
浏览 0提问于2020-11-18得票数 1
回答已采纳
我有以下设置:
运行在CentOS 5.5上的Apache服务器。在本地,它使用SSL连接OK。
我的服务器和外部网络之间的代理。我不能控制这个代理。它将一个端口转发到我服务器上的https端口。
CNAME记录将我想要的服务器外部DNS名称映射到代理。
在当地,一切都正常。但是,当使用代理连接、使用CNAME或直接使用IP地址时,我会收到以下错误:
SSL Error: SSL_write 23995: 1 - error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
我甚至不知道如何正确地调试这个问题。
浏览 0提问于2010-10-26得票数 0
1回答
我对SSL通信的想法有点模糊,我需要一些澄清。
我的应用程序的架构-运行应用程序的内部机器通过一个大的IP服务器暴露到互联网上。
我网站上的证书层次结构-根(2040年到期)R-中间(2036年到期)I- xxxx.com (2天后到期)F
我使用相同的根CA和中间CA创建了新证书。它是用不同的密钥创建的。我也有钥匙。
我的问题是:
1)当我使用独立的应用程序从计算机X(internet上的某个随机机器)到公开的URL上执行HTTP Post时,SSL握手应该发生在两个地方。a)计算机X和BIG-IP b) BIG -IP和运行应用程序的内部机器。独立的应用程序应该在其密钥存储中具有URL的公
浏览 7提问于2014-08-21得票数 0
1回答
这可能看起来很琐碎,但我对tls并不在行。
我有一个openvpn服务器,可以进行双向tls操作。
我的虚拟专用网客户端有一个ca.crt文件:
root CA
intermediate CA
issuing CA
我的服务器的server.crt为:
server certificate # which is signed by the above "issuing CA"
但是,如果在我的vpn客户端上删除了ca.crt中的“颁发CA”和“中间CA”,那么我的vpn客户端仍然可以验证server.crt。
如果我的vpn客户端在我的ca.crt中放置了无效的“根CA”,那么
浏览 0提问于2023-02-11得票数 0
回答已采纳
我正在完成关于SSL的作业,我觉得我理解了如何使用不对称和对称加密来使用证书的基本知识。但我很难理解信任层次结构到底是如何工作的一些细节。
具体来说,什么是用来签署中间证书的?我看过的所有指南都说明CA根证书用于对中间证书进行签名。但“签名”到底是什么意思?换句话说,服务器如何证明其中间证书是由CA根证书认证的?
我的猜测是,在生成中间证书的签名时会使用根证书的公钥或签名,但我不确定这是否准确。
我真的很感激任何信息,以提高我的理解。
浏览 2提问于2017-12-03得票数 0
回答已采纳
2回答
我为根CA、中间CA和服务器创建了三个证书。它们代表着简单的信任链:
server -> intermediate -> root
问题是如何正确地将它们放在客户端和服务器上。
我有两个选择:
将根证书放入客户端trustStore和其他-中间和服务器证书到服务器keyStore。因此,服务器将发送两个证书,客户端将使用中间验证服务器证书,该证书将通过存储在客户端trustStore中的根证书进行验证。
当服务器只将自己的证书存储在intermediate中时,将根和证书放置到客户端trustStore。
启发我:)
浏览 4提问于2017-07-13得票数 0
回答已采纳
我正试图通过API从一个站点获取数据。我收到了以下错误。
The exception occurred is : javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
我下载了证书(Base64编码了
浏览 7提问于2019-11-29得票数 0
我需要Certificate name,Certificate body,Certificate private key和Certificate chain来使用API中的域名。
我在亚马逊的证书管理器中有*.domainready.com的证书。我想用那份证书信息。我在仪表板界面上找不到任何访问它的方法。有没有办法从AWS中获取有关证书的信息?
浏览 2提问于2016-06-16得票数 7
回答已采纳
我试图将运行nginx的一个网站从SHA-1 SSL123证书升级到SHA-2证书。
塔特的带有中间CA的网页有"RSA 2(在SHA-1根下)“和"RSA 2(在SHA-2根下)”表。
如果我将CA束用于“sha-1root下”,我会发现这个包包含两个证书,并且我的网站可以工作。但是,Qualys的SSL测试为我在证书链中拥有SHA-2证书和SHA-1证书提供了正当的理由。
然而,“在SHA-2根下”表没有捆绑包。如果我使用他们提供的单一中间证书,火狐和其他工具指出证书链坏了,浏览器不会加载我的站点。
现在,我正在使用SHA-1根目录,有一个工作站点。但是,我想切换到SHA-
浏览 0提问于2014-12-13得票数 1
回答已采纳
我有一个新购买的GeoTrust域证书和一个匹配的CA文件,并希望验证与openssl。
openssl verify -verbose -purpose any
-CAfile /full/path/sub.domain.com-geotrust.crt /full/path/sub.domain.com.crt
从本页:
链中每个证书的颁发者应与链中下一个证书的主题匹配。例如,myserver.mydomain.com.cert的发行者应与myintermediate_ca.cert主体相匹配,myintermediate_ca.cert的发行者应与myroot_ca.cert的主体相
浏览 1提问于2015-03-04得票数 1
回答已采纳
我一直试图跟踪我访问的随机网站的证书链,看看是否真的在我的Windows 10可信根证书颁发机构存储中找到它们。我几乎找不到完全匹配的,特别是通用名称"CN“属性。那么,您的浏览器使用哪一个主题属性例如(CN、OU、O、L、S、C等)来表示“噢,这个来自受信任证书链的证书,与我已经安装和信任的证书匹配”?
浏览 0提问于2018-01-01得票数 1
回答已采纳
我有三个证书文件rootcertificate.txt、intermediateCertificate.txt和serverCertificate.txt。我想在ubuntu平台的Nginx服务器上安装SSL证书,为此需要两个文件yourdomain.cert和yourdomain.key。
因此,我的问题是如何将三个文件转换为.cert和.key格式
浏览 0提问于2020-12-09得票数 0
回答已采纳
文件夹结构是这样的,客户端和服务器文件夹的根目录就是它本身。
app
|- client
|- server
请求头包含httpAgent属性,nodejs服务器向需要公共证书的网站发送导入请求,但出现以下错误
cause: Error: unable to get local issuer certificate
at TLSSocket.onConnectSecure (node:_tls_wrap:1530:34)
at TLSSocket.emit (node:events:520:28)
at TLSSocket._finishInit
浏览 8提问于2022-10-31得票数 0
回答已采纳
1回答
沙一对根证书没有影响
、、、
我在服务器上进行了扫描,数字证书的认证结果如下:证书1(根)签名算法: Sha256withRSA
证书2(信任链)签名算法: SHA256withRSA
证书3(信任链)签名算法: Sha1with RSA (弱但不影响根证书)。此证书在证书路径中显示为受信任的。
网上有大量的文献表明,SHA1应该被替换为SHA 2,以防止由于其较弱的算法而造成的暴力和MITM攻击。
有人能帮助我理解如果根证书是SHA2而信任链证书是SHA1的风险吗?客户端可以使用信任链证书而不是根证书吗?
浏览 0提问于2016-04-13得票数 3
我在身份存储( .jks)中有公司CA签名的证书、中间证书和服务器证书,但浏览器仍然显示无法通过可信机构错误进行验证。使用weblogic日志中的weblogic -10.3.1,我还注意到这一点- SSL握手期间从对等方x.y.z.12接收到无效/未知的SSL标头 但是,当我将根证书和中间证书安装到certmgr.msc中时,当我在新窗口中再次访问url时,浏览器上没有错误,weblogic服务器中也没有错误日志。 会出什么问题呢?
浏览 38提问于2020-06-19得票数 0
1回答
也许是个简单的问题。我们有Palo,它使用内部根CA颁发的子CA证书执行SSL解密。这适用于我们的内部windows域计算机,因为根CA和子CA通过组策略向下推到所有这些计算机。我的问题是,我们有几个Mac用户GPO不工作,所以他们需要手动添加证书。
我的问题是,如果在Palo (为站点进行动态SSL生成)上安装的subCA也安装在这些Mac上。为什么用户仍然在浏览器中检测到不可信的连接?它抱怨说,“无法向受信任的证书颁发机构验证此证书”。
如果我另外安装根CA证书,它们将不再接收错误。万岁!
但是,我的问题是,如果子CA (在Palo上)是生成显式证书(如bankofamerica.com等
浏览 0提问于2015-05-14得票数 2
3回答
证书链检查
、、、
我有一个非常具体的问题。
客户端通过获取证书和检查特定值来验证服务器,并且中间CA的数字签名是正确的(根据存储在客户端计算机上的公钥)。
选项A:客户端是否没有确保中间CA签名(由根CA签名)是有效的,并且根数字签名(由根CA签名)与存储在计算机上的公钥相关?
或
选项B:客户端是否认为服务器的数字签名是正确的,因此使用存储在证书存储区中的信息构成链的其余部分(也就是说,如果使用证书B对服务器证书进行签名,那么我的证书存储区说证书A用于签署证书B,因此我将显示它作为链的其余部分)
我知道整个链都安装在服务器上,但是客户端使用所有证书吗?
这是由我的普遍兴趣引起的,我经历了一个案例,即中间证书没
浏览 0提问于2013-06-13得票数 8
1回答
在SSL2BUY,我有一个证书的文本,从“-开始-证书-”到没有下载选项,只有一个电子邮件选项(但那个人不可用),我如何将加密文本之间的‘开始’和‘结束’的声明转换成一个实际的证书?
在这个页面中还有四个部分:服务器、PKCS7、根和中间。这些都是如何相互作用的?
SSL长期以来一直是我生命中的一大祸害,我需要一劳永逸地征服它
如能提供任何协助,将不胜感激。
浏览 2提问于2020-06-08得票数 1
我使用此证书链的存储证书实现了证书钉扎:
证书1:云平台
证书2: Verizon (中级CA)
证书3:巴尔的摩(根CA)
不过,我注意到一种奇怪的行为:
行为1(预期):如果我只固定证书1,我将得到一个SSLHandshakeException错误,因为我需要在链中包含所有证书。
行为2(意外?):如果我只将证书2(中间CA )固定在一起,我就不会得到任何SSLHandshakeException错误。
你会知道行为2是否被期望,如果是,为什么?我的印象是,链中的所有证书都应该使用,否则我会得到一个SSLHandshakeException。谢谢!
更新
浏览 10提问于2016-10-12得票数 1
1回答
我正在尝试用nginx在两个主机上安装OCSP订书机
这两种证书都有不同的发行者: Rapidssl和Thawte。
哪一个是适合塔特的?
哪一个是适合Rapidssl的?
最后..。如何使用每个主机证书来验证它们?
openssl verify -verbose -CAfile /var/ini/ssl/ca-bundle/thawte-ca-certs.pem /var/ini/ssl/domain.com/public.crt
在运行openssl命令时..。我要用哪一份证书来核实?公共证书、中间证书还是与公共证书和中间证书捆绑在一起的证书?
浏览 0提问于2017-04-25得票数 2
回答已采纳
3回答
我刚接触Cryptogrphy、HTTPS和SSL!如果我没记错的话,那么终端实体证书(由Verisign等可信CA颁发的证书)的私钥将用于解密客户端发送的信息!但是根证书也有私钥吗?
如果是,那么我想知道根证书的私钥到底在哪里使用?如果它被泄露了会发生什么?
浏览 4提问于2013-06-24得票数 0
回答已采纳
对于安装证书,我需要安装根证书和中间证书。。这是由Firefox和IIS同时识别的(在IIS重置后),而不是IE、Opera或Network4All。在物理重新启动之后,所有的人都会识别它。
我的问题是:如何在不重新启动整个服务器的情况下安装根证书和中间证书?(而不那么重要的是,火狐立刻意识到了这一点,但其他人却没有)。
浏览 0提问于2011-11-04得票数 1
回答已采纳
我在Auzre的IoT集线器中留下了正确的配置证书。我希望在组注册时使用设备配置服务。我的目标是达到以下场景:使用CA根证书生成一些中间证书,然后使用这个中间证书来签署设备的证书。因此,在阅读了文档之后,我理解了以下步骤:
上传CA根证书:
上传组注册配置中的中间证书:
使用Java代码中的设备证书来提供。
只有在通过设备代码中的中间证书(无论我在步骤2中选择CA或中间证书)时,才能做到这一点:
private static final Collection<String> INTERMEDIATE_CERTS = new L
浏览 0提问于2019-07-01得票数 0
回答已采纳
1回答
在对“如何验证TLS证书链”问题的回答中,它提到所涉及的中间证书是“获取和验证的”。这到底是怎么做到的?
具体地说:
因此,我知道中间证书可以在本地存储在客户端或由服务器提供服务。这两个消息来源是一样的吗?您必须从根CA或签名CA所拥有和操作的服务器中获取中间服务器吗?
验证中间证书时,客户端是否连接到中间证书所有者的域以根据活动域验证证书?还是只有本地的算法才能完成所有的工作直到根证书?
浏览 0提问于2017-04-08得票数 2
回答已采纳
1回答
如何使用openssl检查提供者站点上的中间和根CA证书的下载URL是什么?
我的意思是,如果站点证书来自Rapidssl,那么如何使用openssl找到CA的路径,以便下载:RapidSSL中间和根CA证书
浏览 0提问于2018-04-13得票数 1
当TLS握手发生时,服务器在他的ServerHello消息中发送他的数字证书。该数字证书由一个名为A的中间CA进行数字签名,CA A也有一个由名为root的CA签名的证书,该CA的证书是自签名的,从而形成了一个证书链。然后,客户端必须建立信任,验证服务器证书。为了执行验证,客户端必须验证整个链是正确的吗?客户端必须在信任存储中拥有所有证书(A和Root),否则客户端将下载它们?
浏览 28提问于2019-02-10得票数 2
2回答
我正在浏览一个企业应用程序代码。客户端和服务器端之间基于证书进行双向认证。
它要求客户端和服务器具有相同的证书链,包括根CA和中间CA。
这提供了什么安全好处?
如果我们强制要求必须在机器上信任根证书,这还不够吗?
谢谢,Vivekanand
浏览 3提问于2011-11-18得票数 2
Mysql2::Error (SSL connection error: ASN: bad other signature confirmation):
我正在制作一个管理网站。环境是Rails 4.2和Ruby 2.2,连接AWS RDS和Heroku服务器。我不知道为什么会出现这个错误。它突然出现了。除了这个,我找不到任何错误。虽然我在两天前通过了我的代码,但这次我得到了这个错误(我已经两天没有接触过这个代码了)。
我该如何解决这个问题?
浏览 0提问于2015-04-05得票数 6
回答已采纳
我在web服务上安装了SSL证书(来自Verisign)。如果我从我自己的机器(以及办公室中的许多客户端机器)访问它,那么它是经过验证的、可信的和快乐的。如果我从一台服务器访问它,那么它是可信的,而从另一台服务器则不是。
很明显,那个不信任它的人需要和那个web服务沟通。
这里出了什么问题?我对SSL不太了解(证书是由另一个团队安装的),所以我不完全了解Verisign关于安装的内容,或者我是否应该查看它。
编辑:我现在已经在服务器上安装了Verisign证书,因为以前没有这样的证书。它在服务器上显示来自IE的受信任的web服务,但是本应与web服务对话的应用程序(托管在IIS中)仍然无法通信
浏览 0提问于2011-03-08得票数 1
回答已采纳
2回答
证书分发和管理
、、、、
我计划为我们的组织建立PKI,因为在使用自签名证书时,我们已经厌倦了所有这些安全警告。我想要一个离线的根CA和两个发出CA的CA,我想在Linux系统上设置它。
如何轻松地将根和标识(服务器)证书分发给最终用户,而无需解释每个用户如何在浏览器中安装这些证书?
Active Directory是通过GPO这样做的吗?如果是,它是否只支持?我可以这样做,而不必安装AD CS?
另外,我想知道是否有某种CA (GUI/web)接口,服务器管理员可以根据他们的需要登录并请求证书?
希望,这是有意义的,因为我对PKI非常陌生:)我很抱歉,如果互联网上到处都是,而且我不喜欢谷歌,但我真的找不到我需要的.
浏览 0提问于2014-08-08得票数 3
回答已采纳
2回答
我使用SSLESB4.0.0和Application Server4.1.0通过WSO2相互通信。两者都配置了相同的密钥库。两者都在不同的服务器上。这样做的原因是WSAS只与ESB通信。我的证书不是自签名的。
我的问题是:对于只与ESB通信的WSAS,我是否还需要将CA的证书导入到WSAS的信任库中?我相信这将完成信任链?
如果我没有导入CA的证书,我会在我的WSAS日志中得到以下内容:
INFO | jvm 1 | 2011/11/16 15:56:21 | javax.net.ssl.SSLHandshakeException: null cert chain
INFO |
浏览 4提问于2011-11-17得票数 4
回答已采纳
上面写着在文档里
"ListenAndServeTLS的行为与ListenAndServe相同,只是它期望HTTPS连接。此外,必须提供包含证书和匹配的服务器私钥的文件。如果证书是由证书颁发机构签名的,则certFile应该是服务器证书、任何中间服务器和CA证书的连接。“
然而,我几乎不明白concatenation和intermediates到底是什么意思。谁能给我举个例子吗?提前谢谢。
顺便说一句,我不想在tls.Config中加载CA证书,它确实运行良好;)
浏览 5提问于2016-01-09得票数 4
2回答
我的任务是部署和管理负载平衡器,包括内部服务器和DMZ服务器。我没有这方面的经验,这对我的组织来说也是第一次。平衡器在运转,运行,合法。目前,我们正在为Exchange/OWA使用自签名证书。我知道我们应该有一个由CA签署的证书,但是平衡器有SSL证书或中间证书的选项,我不清楚它们之间的区别,或者我们需要什么。我们将在DMZ中托管Lync、Exchange和一些自定义应用程序。
免责声明:先道歉,我是桌面支持。我最近通过了我的Net+。这似乎使我成为了这个组织的网络工程师。
浏览 0提问于2014-06-11得票数 0
1回答
令我惊讶的是,我没有找到一个具体的例子来说明如何进行根证书轮换。例如:
根CA的有效期为2年。
中级CA有9个月的有效期
叶证明书的有效期为3个月
肾/替换时间如下:
根CA将每一年更换一次。
中级CA将每6个月更换一次
叶证将每两个月续签一次。
这给了
一个月的缓冲区,用于在证书到期前更新其证书。
为中级CA签署新的服务证书提供3个月的缓冲。当旧的中间CA过期时,所有已颁发的旧证书也都过期了。
将新的根证书分发给客户端的1年缓冲区。我们希望给客户足够的时间在旧的根证书过期之前提取新的根证书。
问题:
根1和根2重叠1年,何时开始使用root 2证书签署新的CSR?
如果一年的重叠时间仅用于证
浏览 0提问于2020-06-30得票数 4
回答已采纳
1回答
我们正在为我们的公司计划一个新的PKI。
现有结构是单根CA和两个发行CA,一个用于测试,一个用于生产。
我们可以保持新的PKI设计相同,或者我们可以使用另一种设计。出现的一个设计是使用几个根CA,每个根CA都有一个为特定目的而设计的颁发CA。通常情况下,一个用于Citrix,一个用于In调,一个用于测试,一个用于Linux,等等。
这是一个好主意,还是我们应该坚持一个根CA,并使用任何数量的发行CA我们喜欢?
浏览 0提问于2022-10-26得票数 1
在试图理解由我们加密创建的fullchain.pem文件的用法或含义时,我偶然发现了这个帖子,其中fullchain.pem被解释为:
fullchain.pem是cert.pem和chain.pem在一个文件中的连接。在大多数服务器中,您将指定此文件为证书,因此整个链将立即发送。有些客户端要求您单独指定上述两个文件。那样的话你就不需要
而另一方面,chain.pem被描述为
chain.pem包含中间证书,由我们加密的证书包含公钥,它“耦合”到签名您的证书的私钥(上面的那个)。客户端需要此中间证书来验证您的证书;
但我真的很难理解这意味着什么。我的意思是什么是中间证书,它是从哪里来的。
我理
浏览 0提问于2020-12-29得票数 5
回答已采纳
我的应用程序在调试apk中运行良好,但是一旦我构建并签署了一个发布版本,我的应用程序就没有互联网接入和请求工作。所有请求都是通过https提出的。
我的服务器使用nginx上的https将代理请求反转到node.js服务器。我查看了其他问题,他们说这与服务器上的中间ssl证书问题有关。我对配置ssl相当陌生,我不知道这意味着什么,也不知道如何修复它,但是服务器在https上正常工作。
浏览 2提问于2016-09-29得票数 3
回答已采纳
我需要使用一些HTTPS web服务。要使用证书,我将通过keyStorePassword设置(javax.net.ssl) trustStore、javax.net.ssl keyStore和System.setProperty属性。
如果我做了new URL([HTTPS...WSDL]).openStream(),它就能工作。因此,我确信信任和keystore属性是正常的(如果不设置这些属性,我的例程就失败了)。
问题是当我尝试消费这个服务的时候,我得到了著名的
sun.security.provider.certpath.SunCertPathBuilderException:无法找
浏览 3提问于2015-05-05得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
