标签: certificate

我安装了 SSL 证书并在我的 Web 服务器上工作。在另一个项目中，我需要签署一些代码。我可以使用网站 SSL 证书来签署代码，还是代码签名证书根本不同？

在 Google 上搜索我发现代码签名证书比网站证书贵得多，但据我所知，它们都只是一堆哈希码。

在我在工作中访问互联网之前，我必须登录到他们的系统。登录页面是ipass.swu.ac.th。不幸的是，他们使用的安全证书似乎不受信任（在 Chrome 中）。每次我想访问他们的登录页面时，我都必须单击“仍然继续”。

我可以从这个答案中看到，我可以导出他们的证书，然后将其添加为 Windows 中受信任的根证书颁发机构。

我的问题是这个。我实际上并不信任网络。我在泰国的一所大学工作，网络上的许多计算机都充满了病毒。我什至不信任这里负责 IT 的计算机中心。所以我只想信任他们的证书才能访问他们的登录页面 ipass.swu.ac.th，仅此而已。如果我将他们的证书添加为受信任的根授权，我不知道这种信任会延伸到什么程度。

举一个具体的例子，当我打开 iTunes 时，如果我之前没有登录 ipass.swu.ac.th，它会抱怨它无法安全地访问 Apple 的服务器。那很好 - 我想保留那个警告。我只想与 ipass.swu.ac.th 共享我的大学用户名和密码。我不想与他们共享任何其他凭据，而且我担心如果我信任权威，iTunes 等应用程序可能会与大学计算机中心共享私人信息。

如何更新 Outlook 联系人中的加密安全性？

我收到了一封带有更新证书的电子邮件，该电子邮件由已经在我的联系人中且证书已过期的人签名。

如果我REPLY到电子邮件，我可以加密我的答复和它的作品。但是，如果我尝试向同一联系人发送新电子邮件，则它不起作用。

如果我右键单击来自联系人的新电子邮件的发件人：字段，然后选择添加到联系人，换句话说，尝试创建一个全新的联系人记录（使用新证书），它不会创建新的联系人，它只是调出带有旧的过期证书的旧联系人记录。

我运行了几个小站点，去年在每个站点上都安装了 SSL 证书。上周，一位访客联系我询问了有关我的 SSL 证书的问题，这促使我进行了几次 SSL 测试。我的一个网站从这个SSL 测试中获得 A 级，另一个获得 C 级。根据另一个 SSL 测试，两个都顺利通过。

获得 C 级的失败是因为：

• 弱 Diffie-Hellman 密钥交换参数。
• 不支持 TLS 1.2。
• 服务器接受 RC4 密码。
• 不支持前向保密。

我正在挠头以了解其中的区别。我的 SSL 证书是同一品牌、同一类型、来自同一供应商。我按照相同的过程安装了它们。它们之间的唯一区别是虚拟主机，但两个虚拟主机都是知名/知名的公司。

我该如何解决？重新生成我的 CSR 和 SSL 证书？购买新的 SSL 证书？在我的虚拟主机上联系支持？

编辑：为未通过的服务器添加我的服务器信息：

• 共享主机
• 阿帕奇 2.2.22
• OpenSSL 0.9.8

我正在尝试为 Java servlet 框架安装 SSL 证书。我有 3 个文件：私钥 (PEM)、证书文件 (PEM) 和 CA 包 (PEM)。当我运行时：

openssl pkcs12 -export -in server.crt -inkey server.key -certfile server.crt -out server.p12 -CAfile server.ca-bundle -chain

...为了获取p12可用于创建 Java 密钥库的文件，它失败并显示以下错误：

Error unable to get issuer certificate getting chain. 

在其他地方，我已经使用相同的密钥、证书和 CA 包文件成功设置了 2 个 apache 服务器，并且没有问题。为什么我会收到此错误？

我通过以下方式使用 Visual Studio 开发人员命令提示符创建了 PFX 证书；

makecert -r -pe -n "CN=mycert" -sky exchange "mycert.cer" -sv "mycert.pvk"
pvk2pfx -pvk "mycert.pvk" -spc "mycert.cer" -pfx "mycert.pfx" -pi [password]

然后我使用 PowerShell 来查询证书

$cert = Get-PfxCertificate [Location]
$cert.Verify()
# Returns 'False'

如何获得此证书以用于加密？

更新

@root 建议使用Import-PfxCertificate命令。这是我运行它时发生的情况。

Import-PfxCertificate -FilePath [Path]
Import-PfxCertificate : The PFX file you are trying to import requires either a different password or membership in an Active Directory principal to which it is protected.
At line:1 char:1
+ Import-PfxCertificate -FilePath [...]
+ …

我需要查看.pem文件内容。在网上研究很少后，我找到了两种查看内容的方法，

A. 我执行了下面提供的命令，

   sudo keytool -printcert -file cak.artt.pem

输出是，

keytool error: java.lang.Exception: Failed to parse input

B. 我执行了命令，

sudo openssl x509 -in cak.artt.pem -text

输出是，

unable to load certificate
139976958314128:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE

我读到这可能发生在APNS certificates, 将私钥和证书合二为一的情况下.pem。指令是使用文本编辑器将它们分成 2 个文件，上述命令将起作用。

如何做到这一点并查看证书的内容？我有 Debian 8 环境。顺便说一句，我在机器上安装了 JDK 9

我有一个名为signatures.xml 的文件，它是Adobe AIR 文件的一部分。现在我想解密存储在 XADES 封装时间戳中的信息。如何从加密字符串中获取任何信息？需要使用哪些工具？我是否需要公钥来解密它，我在哪里可以获得它？（作为提示，我认为使用了此证书：https://blogs.oracle.com/mullan/java-applications-that-are-signed-and-timestamped-with-the-geotrust-timestamp-authority-are-不再工作）这是代码：

 <xades:QualifyingProperties>
<xades:UnsignedProperties > 
  <xades:UnsignedSignatureProperties>
    <xades:SignatureTimeStamp>
      <xades:HashDataInfo uri="#PackageSignatureValue">
        <Transforms>
          <Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
        </Transforms>
        <xades:EncapsulatedTimeStamp>

    MIIIQgYJKoZIhvcNAQcCoIIIMzCCCC8CAQMxCzAJBgUrDgMCGgUAMIGvBgsqhkiG9w0BCRABBKCB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            </xades:EncapsulatedTimeStamp>      
          </xades:HashDataInfo>         
        </xades:SignatureTimeStamp>
      </xades:UnsignedSignatureProperties> 
    </xades:UnsignedProperties>
  </xades:QualifyingProperties>
</Object>

IP 地址如何拥有不同颁发的 SSL 证书并且不显示 SSL 错误？

https://1.1.1.1/

上述 CloudFlare 站点已启用 HTTPS，并在地址栏中显示https://1.1.1.1/ 。该证书颁发给 cloudflare-dns.com。

我有这个烦人的问题 - 每次我进入一个带有安全证书的网站时，我总是看到一个警告页面，提示该证书无效。我已经习惯于只设置一个例外并且再也不会看到这个（当然，对于我信任的网站）。

今天我尝试浏览 godaddy 来购买域名，但它开始表现得很奇怪 - 它只向我显示该网站的文本版本，其中大部分图像和样式页面都丢失了。页面顶部截图：

只有在页面末尾才会出现某种无样式的纯文本转储。我只能得出结论，未签名的 CSS 文件和 Firefox 没有显示它。

我的问题：

1. 为什么 Firefox 认为它看到的所有证书都是无效的（包括它自己的，比如 addons.mozilla.com）？

2. 为什么爸爸工作不正常，我该如何解决？

编辑：IE7 向我展示了一个关于证书无效的页面，但向我展示了该页面的格式很好。

我应该补充一点，我是一个非常注重安全的人，而且我不相信这是由我计算机上的恶意软件引起的问题。我尝试在虚拟机上安装 Windows 的新副本，Firefox 显示了同样的错误。

进一步的细节：例外文本是：

www.godaddy.com uses an invalid security certificate.

The certificate is not trusted because it is self signed.
The certificate expired on 1/25/2009 7:35 PM.

(Error code: sec_error_expired_issuer_certificate)

我很确定我的电脑时间是正确的（2009 年 8 月 21 日，除非我也疯了，但这是一个不同的问题:)）

我想在 Ubuntu 12.04 上创建一个自签名 DSA 证书，以便与网络服务器和 TLS 1.2 (HTTPS) 连接一起使用。

我发现您可以运行以下命令来创建一个 RSA：

openssl genrsa -out server.key 3072

但是我需要以下属性：

• 使用常规 DSA 算法（非 ECDSA）的 3072 位密钥长度
• 使用 384 位的 SHA2 加密哈希函数
• 使用“完美前向保密”选项
• 指定 AES 256 作为对称密码的第一优先顺序
• 不需要对私钥进行加密（以允许无人值守的重启）。

有人可以帮助我使用参数来执行上面的以下选项吗？

当一个 TLS 会话被启动时，你如何确保它每次都生成一个新的随机签名值k？这显然对算法的安全性至关重要。或者，OpenSSL 是自动的吗？

我在这里找到了这个 TLS 1.2 密码套件TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 ，我该如何告诉它使用它？

提前致谢。

我正在尝试为 WPA2 企业身份验证设置 RADIUS 服务器。我对这一切都很陌生。据我所知，服务器有一个“服务器证书”，我认为它扮演的角色与 HTTPS 和 SSH 服务器证书的角色类似。是否存在“客户端证书”的概念？这是一个有意义的概念吗？如果是的话，它们是如何使用的以及它们的用途是什么？