标签: ssl

我使用一些需要我安装 PFX 证书才能访问它们的安全网站。我在多台计算机上执行此操作，我需要一种快速方法来确定仍需要在哪些计算机上安装证书。

有没有办法可以使用批处理命令列出个人存储中的所有证书？我可以远程运行命令，但我不知道有什么方法可以列出它们。

“如何获取 Windows 上已安装证书的列表？ ”是一个类似的问题，但我正在寻找特定于命令行的解决方案。那里的答案都涉及使用 GUI 或 Powershell。

我想加强一点安全性，所以我禁用了浏览器中不需要的证书。例如，我显然不需要来自中国的“WoSign CA Limited”证书，但我需要“Thawte Consulting cc”。

有什么方法可以查看我实际使用了哪些证书，以便我可以开始做出明智的决定？以“Trustis Limited”为例。我根据什么决定保留或离开它。此外，除了“Thawte Consulting cc”之外，还有“thawte, Inc.”的证书。有可能是恶搞吗？我怎么会知道？

据我了解，大多数电子邮件服务器使用 SSL 上的 SMTP/POP/IMAP 来加密电子邮件。
当客户端 (UA) 向服务器 (MTA) 发送电子邮件和 UA 从 MTA 接收电子邮件时，它支持加密。但是，在 MTA 与 MTA 之间发送电子邮件时，没有多少 MTA 可以加密。
（我的理解正确吗？）

例如 alice@somewhere.com 发送电子邮件到 bob@anywhere.org
[Alice 的 PC] --- 加密 (SMTPS) ---> [somewhere.com 服务器] --- NOT ENCRYPTED (SMTP) ---> [任何地方。 org server] --- 加密（POPS 或 IMAPS）---> [Bob 的 PC]

如果我的理解是正确的，为什么大多数电子邮件服务器不支持电子邮件服务器之间的 SMTP over SSL？

我开发了更好（不太复杂）的接口来启用 PGP/GPG 的电子邮件加密，但现在我认为使用 SMTPS 可能更好，因为 PGP/GPG 需要手动密钥签名以保持可靠性。

我正在尝试通过 pip 安装一个库。我有 SSL 证书问题，即使在使用 --cert 时也是如此。在 Windows 上尝试这个（pip 版本 1.5.4，python 版本 2.7.6）：

pip --cert C:\tmp\cacert.pem install robotframework-archivelibrary --proxy http://myproxy

获取页面 https://pypi.python.org/simple/robotframework-archivelibrary/ 无法获取 URL https://pypi.python.org/simple/robotframework-archivelibrary/：连接错误：[Errno 1] _ssl.c： 507：错误：14090086：SSL 例程：SSL3_GET_SERVER_CERTIFICATE：证书验证失败

有任何想法吗？

某些站点具有扩展验证证书。在普通锁符号的顶部，Firefox 还在锁符号旁边以绿色文本显示组织名称。这给用户一种美好、温暖、模糊的感觉，知道他们不会发生任何事情*咳嗽*心血*咳嗽*。

但是，此文本可能会占用相当多的空间，从而影响 URL。我并不总是最大化地运行 Firefox，当扩展的验证文本切断以前可用 URL 空间的一半或更多时，它看起来非常拥挤。

about:config 中是否有设置可以禁止显示文本？也就是说，让 firefox 将 Level 3 SSL 证书视为与 Level 1 相同。

注意：此截图来自 Nightly，因此可能只是 EV 文本与所有 URL 和部分搜索栏重叠的错误。但即便如此，我还是希望能够隐藏文本，而不是修复错误。

我使用 OpenSSL 的req -x509命令和 CONF 文件创建了一个自签名服务器证书。CONF 文件如下所示。

当我使用 Microsoft 证书查看器检查证书时，它显示警告basicConstraints（注意小感叹号）：

CONF 文件使用以下内容来构建 basicConstraints：

basicConstraints = critical,CA:FALSE

根据RFC 5280，pathLen只有当CA:TRUE和keyCertSign存在时才应该存在。服务器的证书不满足任一条件（另外，测试pathLen导致相同的警告）。

为什么 Microsoft 证书工具警告打开basicConstraints？它有什么问题或我应该怎么做才能解决它？

# Self Signed (note the addition of -x509):
#     openssl req -config example.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout example.key.pem -days 365 -out example.cert.pem

# Self Signed with existing key (note the addition of -x509):
#     openssl req -config example.conf -new …

我在使用 FileZilla 时遇到问题。我尝试与我的服务器建立 FTP 连接，但在尝试了好几轮后，最终还是停留在相同的初始消息上。我可以使用相同的主机、用户名、密码和端口来使用 Chrome 浏览器登录，但不能用于 FileZilla。任何的想法？

    Status: Connection established, waiting for welcome message...
    Response:   220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
    Response:   220-You are user number 1 of 50 allowed.
    Response:   220-Local time is now 16:13. Server port: 21.
    Response:   220-This is a private system - No anonymous login
    Response:   220-IPv6 connections are also welcome on this server.
    Response:   220 You will be disconnected after 15 minutes of inactivity.
    Command:    AUTH TLS
    Response:   234 AUTH TLS OK.
    Status: …

我已经相对轻松地在两台生产服务器上实施了 Let's Encrypt，两台服务器都为我们在这些服务器上运行的网站提供证书。

但是让我烦恼的是当您查看证书信息时，并没有定义“所有者”。相反，提供了此消息（使用 Firefox 查看）：

本网站不提供所有权信息。

这些网站混合了电子商务和普通网站，但我想将公司的所有权信息添加到证书中。但是，我无法找到有关如何执行此操作的任何信息。

有人知道怎么做吗？

以 Verisign 的网站为例，它有一个带有 sha1 哈希签名的根 CA。我是否错误地理解为发现冲突，他们可以模拟 Verisign 根 CA，并使用它来生成浏览器或操作系统信任的中间证书和服务器证书。

https://www.entrust.com/need-sha-2-signed-root-certificates/ 指出：

简而言之，由于软件直接信任根证书公钥，因此不会验证根证书上的签名。根证书是自签名的，不是由另一个已被授予权限的实体签名的。根证书通过操作系统或浏览器开发者管理的根证书程序获得授权。

并引用 Google 链接：https : //security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html

注意：可信根证书的基于 SHA-1 的签名不是问题，因为 TLS 客户端通过他们的身份而不是他们的哈希签名来信任它们

假设我是一个新浏览器 - SuperUserBrowser 的作者。除了哈希签名之外，我还能如何相信我的浏览器附带的根证书是真实的？

为什么具有 SHA1 签名的根 CA“不是问题”？

我将 Chrome 中的本地主机 TSL/SSL 证书存储到 .PEM 文件中。想知道如何使用 oppenssl 命令将其解码为人类可读字段的列表。

谷歌搜索仅返回有关如何使用私钥的信息。

有一些用于解码公钥的在线实用程序，但我需要一种可以使用 Python 以编程方式轻松访问的方法。无论如何，我找不到使用库来执行此操作，所以我认为 openssl 命令可能有效。

.PEM 文件中的公钥文本是可在在线解码实用程序中使用的标准公钥格式。

谢谢你！