Tag: ca

自签名的SSL证书或CA?

我希望我的网站的身份validation和注册部分encryption(出于显而易见的原因)。 这个网站是目前和更旧的网站,一些朋友和我开始在中学,今天仍然使用。 在不久的将来,我可能会也可能不会注册成为非营利组织,但无论哪种方式,CA都会花钱,组织也没有,我们现在是大学的孩子。 Verisign是不合理的,GoDaddy是30美元/年。 GoDaddy不是太无理,我认为他们的证书被大多数网页浏览器所接受。 GoDaddy的事情是,我不知道为什么他们有不同的SSL产品(即:为什么不validation我便宜?这是否对证书有任何影响,以及浏览器如果只包含域名?) 另外,使用我自己的证书有问题吗? login页面可以是http,并且有一行说明我使用了自签名的证书,这里是指纹,然后将表单发布到https页面上? Safari的方法不是太糟糕,听起来太可怕了。 但是,恐怕firefox 3的方法会吓跑人们,给我一大堆电子邮件说我的网站被黑客攻击了。 我不知道IE如何回应自签名证书。 (还有一个问题,为什么要付出一些我可以不费吹灰之力的东西,但是我不打算把它变成哲学的一部分,这是一个更实际的问题。) 总而言之,我每年给GoDaddy 30美元,还是我只是在一小段时间内告诉别人我正在做的事情,并且给几个真正想要我的指纹的人呢? 编辑:一些在我正在阅读的更多信息的论坛上提到,GoDaddy证书只有在GoDaddy服务器上才会被提供,但事实并非如此。 有两件事情:(1)这是真的吗? 还有其他的CA价格大致相同,所以争论点应该是一样的。

Java支持让我们encryption证书吗?

我正在开发一个通过HTTP与远程服务器进行通信的Java应用程序。 几个月前,我试图通过在服务器上安装一个StartSSL证书来切换到HTTPS。 像Chrome或Firefox这样的常见浏览器接受了证书,但是由于StartSSL不在Java的默认可信CA列表中,所以我的应用程序拒绝了连接。 最后,我回到使用HTTP。 现在让我们encryption开始他们的公开testing,我想知道是否Java当前工作(或被确认在未来工作)与他们的证书默认情况下。 让我们encryption得到他们的IdenTrust交叉签名 ,这应该是个好消息。 但是,在这个命令的输出中我找不到这两个中的任何一个: keytool -keystore "..\lib\security\cacerts" -storepass changeit -list 我知道可信任的CA可以在每台机器上手动添加,但由于我的应用程序应该可以自由下载和执行,无需进一步的configuration,我正在寻找可以“开箱即用”的解决scheme。 你对我有好消息吗?

为什么在SSL握手期间java不发送客户端证书?

我试图连接到一个安全的web服务。 即使我的密钥库和信任库已经正确设置,我仍然握手失败。 经过几天的沮丧,不停地search,并询问周围的人,我发现唯一的问题是,javaselect不握手握手期间发送客户端证书到服务器。 特别: 服务器请求客户端证书(CN = RootCA) – 即“给我一个由根CA签名的证书” Java查看密钥库,只发现我的客户端证书由“SubCA”签名,而“SubCA”则由“RootCA”发布。 它没有费心去查看信任库…呃好吧,我猜 可悲的是,当我试图将“SubCA”证书添加到密钥库时,根本没有任何帮助。 我没有检查证书是否加载到密钥库中。 他们这样做,但KeyManager忽略除客户端之外的所有证书。 所有上述导致的事实,即java决定它没有任何证书满足服务器的请求,并发送什么都没有… tadaaa握手失败:-( 我的问题: 是否有可能以“破坏证书链”的方式将密钥库中的“SubCA”证书添加到密钥库中,以便KeyManager只加载客户端证书而忽略其他证书? (Chrome和opensslpipe理弄清楚,为什么不能java? – 请注意,“SubCA”证书总是作为受信任的权威机构单独提出,所以Chrome在握手期间显然正确地将其与客户端证书一起打包) 这是服务器端的一个正式的“configuration问题”吗? 服务器是第三方。 我希望服务器能够申请由“SubCA”机构签署的证书,因为这是他们提供给我们的。 我怀疑,这在Chrome和openssl中起作用的事实是因为它们“较less限制”,而java只是“靠本书”而失败。 我确实设法为此做了一个肮脏的解决方法,但我不是很高兴,所以如果有人能为我澄清这个问题,我会很高兴。

您如何与您的authentication机构签署证书签名请求?

在我的search过程中,我发现了几种签名SSL证书签名请求的方法: 使用x509模块 openssl x509 -req -days 360 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt 使用ca模块 openssl ca -cert ca.crt -keyfile ca.key -in server.csr -out server.crt 注:我不确定使用这个正确的参数。 如果我要使用它,请告知正确的用法 用什么方式用你的authentication中心来签署证书请求? 一种方法比另一种更好(例如,一个被弃用)?