有很多关于这个主题的资源,但我发现没有一个能涵盖这个稍微特殊的情况。
我有 4 个文件;
我希望将它们导入一个新的密钥库。
有的站点建议使用DER格式,并一一导入,但由于无法识别密钥而失败。
另一个站点建议使用一个特殊的“ImportKey”类来运行导入,这一直有效,直到我看到链断裂。即证书上的链长为1,忽略中间和ca。
一些网站建议使用 PKCS7,但我什至无法从中获得链条。其他人建议使用 PKCS12 格式,但就我的测试而言,获取整个链也失败了。
非常欢迎任何建议或提示。
我在一台机器上有一个密钥库(位于 /root/.keystore),我想将它移动到同一位置的另一台机器上。目前,第二台机器在 /root/.keystore 没有密钥库,有没有办法导出然后创建/导入?还是我需要先创建一个空的?
有什么地方可以让我获得有效的、签名的 SSL 证书到“本地主机”域进行测试?有没有人提供我可以在测试中使用的类似内容的下载?我知道如何使用 openssl 与 CA 签署密钥,但涉及很多步骤,我希望有一些快速简便的方法。
我想要的是一个罐装测试 CA,我可以将它导入到我信任的 CA 存储中,然后是一个附带的 jks 密钥库,其中包含该 CA 的证书链。
因此,在受保护的沙箱中,这将是一个 3 步过程:
1. Get a new distro of Jetty, enable the SSL connector, point it to
the localhost.jks keystore
2. Import the CA that signed the localhost cert in the localhost.jks
into my web browser
3. Browse to Tomcat on the SSL port , look at the cert and see the
cert chain.
Hashicorp Vault for Linux 等密码管理器的密码似乎存在一些“鸡与蛋”问题。
在针对某些 Linux 服务器进行研究时,有人聪明地问道: “如果我们将所有机密存储在机密存储服务中,那么我们将对该机密存储服务的访问机密存储在哪里?在我们的机密存储服务中?” ‡
我大吃一惊,因为如果我无论如何要存储机密的所有 Linux 服务器都有其访问令牌,那么使用单独的机密存储服务就没有意义了。
例如,如果我将我的机密移动到 Vault,我是否仍然需要将机密存储在 Linux 服务器上的某个位置以访问 Hashicorp Vault?
有人谈论以一些创造性的方式解决这个问题,至少让事情比现在更好。我们可以做一些聪明的事情,比如基于 CIDR 或密码混搭的身份验证。但是仍然存在安全性的权衡。例如,如果黑客获得了对我的机器的访问权限,如果访问是基于 CIDR 的,他们就可以进入保险库。
这个问题可能没有答案,在这种情况下,答案是“不,这没有普遍接受的灵丹妙药解决方案,发挥创意,找到你的权衡 bla bla bla”
我想回答以下具体问题:
是否有一种普遍接受的方式来保护现代 Linux 服务器上像 Hashicorp Vault 这样的远程自动化机密存储的密码?
显然,明文是不可能的。
对此有规范的答案吗?我什至在正确的地方问这个吗?我也考虑过 security.stackexchange.com,但这似乎特定于一种为 Linux 服务器存储机密的方式。我知道这可能看起来过于笼统或基于意见,因此我欢迎您提出任何可能必须避免这种情况的编辑建议。
‡我们笑了,但我在这里得到的答案很可能是“在保险库中”。:/ 例如,一个 Jenkins 服务器或其他东西有一个 6 个月的可撤销密码,它用来生成一次性使用的令牌,然后他们可以使用这些令牌来获取从 Vault 生成的自己的小临时(会话受限)密码,这为他们提供了一段信息。
像这样的事情似乎是一样的,尽管它只是解决方案的一部分:使用 Puppet 管理服务密码
automation linux authentication password-management keystore
使用相同的 url,这最终会给出一个验证返回码 20(无法获得本地证书颁发者):
openssl s_client -connect $URL:443 -showcerts -CAfile /etc/ssl/certs/java/cacerts
这给出了一个验证返回码 0:
openssl s_client -connect $URL:443 -showcerts -CApath /etc/ssl/certs
也一样... -CAfile /etc/ssl/certs/Thawte_Premium_Server_CA.pem。
但是该证书已经在java 密钥库中。我需要能够从 Java-land 访问 url,但我无法弄清楚发生了什么。我在这里是一个总n00b,所以任何帮助将不胜感激。
我正在与一个团队成员一起将证书导入 Java 密钥库,我注意到我们的中间证书具有“.L1K”符号,然后正要导入到我们的 Java 应用程序的密钥库中,发现在同一个密钥库中有另一个“entrustl1k”证书。所以我想知道这意味着什么。
我在 Entrust 的网站上找到了一些信息:https : //www.entrustdatacard.com/pages/root-certificates-download 这可能表明它是“非扩展验证证书”:Entrust 证书颁发机构?L1K(非?EV SSL)'
然而,就在该行下方,还有另一个带有“L1M”符号的“非 EV SSL”证书下载链接。“委托证书颁发机构?L1M(EV SSL)”