个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我正在连接到外部服务器并制作 CSR 以从他们那里接收一些证书,对此我有一些疑问。
一些教程指出您应该保存私钥,因为这将在安装证书期间使用。但是,当使用 Windows 证书管理器 (certmgr.msc) 时,我认为它会在后台生成私钥,并且生成的 CSR 文件不包含任何私钥。所以在那种情况下,我根本无法访问任何私钥,除非我可以从稍后收到的证书中导出它?我还觉得安装证书不需要私钥,因为它只是导入到证书存储中?如果是这样的话,私钥除了生成公钥还有什么用吗?
我也想知道可以使用证书的位置。该证书似乎只能在创建 CSR 的服务器上使用。但是,我的应用程序将在 Azure 上运行,那么我如何才能获得可在云中使用的证书?
最后一个问题:证书提供者提供三个证书,一个根证书,一个中间证书和一个“实际”证书。这些不同证书的用途是什么?
感谢对此过程的任何见解或指导。那里有大量指南,但其中许多似乎在某种程度上相互矛盾。
最佳答案
(certmgr.msc) I think [] generates the private key under the hood,
正确。您生成 key 和 CSR,将后者发送给 CA,然后(我们希望!)取回包含您的公钥和身份的证书(对于 SSL/TLS,您的身份是您的一个或多个域名) ,加上任何需要的链证书(通常是一个中间证书和一个根证书,但这可能会有所不同)。您将证书导入 certmgr,它将它与现有的、存储的但隐藏的私钥相匹配,以生成一个对的 cert+privatekey,它现在是可见和可用的。
要在 Windows 程序(如 IIS)中使用它,您还需要 chain 证书,见下文,在您的商店中 - 对于这些只是证书而不是私钥(s),你没有也得不到。如果您使用已建立的公共(public) CA,如 Comodo、GoDaddy、LetsEncrypt,它们的根通常已经在您的商店中,如果您使用由您的雇主运行的 CA,它们的根可能已经在您的商店中用于其他电子邮件等原因;如果没有,你应该添加它。中间体可能已经在您的商店中,也可能不在您的商店中,如果没有,您应该添加它(它们)。
I was also under the impression that a private key is not needed for installation of the certificate as it is just imported into the certificate store?
它是需要的,但您没有提供它,因为它已经存在。
It seems that the certificate can only be used on the server that the CSR was created. However, my application will run on Azure so how can I get a certificate that can be used in the cloud?
最初,它只能在生成 CSR 和私钥的系统上使用。但是使用 certmgr,您可以将证书和私钥的组合以及可选的证书链(导出向导称为“路径”)导出到 PKCS12/PFX 文件。该文件可以复制到其他 Windows 系统并导入到其他 Windows 系统和/或由其他类型的软件使用或导入到其他类型的软件,如 Java(例如 Tomcat 和 Jboss/Wildfly)、Apache、Nginx 等。
但是请注意,您可以使用该证书的一个或多个域名,或者可能与(单级)通配符匹配的一系列名称是在颁发证书时确定的,以后不能更改(除了通过获得新证书)。
The certificate provider supplies three certificates, one root, one intermediate and one "actual" certificate. What is the purpose of these different certificates?
证书颁发机构按层次结构排列。运行——尤其是保护——根 CA 既困难又昂贵。因此,终端实体(如您)的证书不是由根直接颁发的,而是由从属或中间 CA 颁发的。有时会有不止一级的下级或中级。因此,当您的服务器使用此证书来证明其身份时,为了让浏览器或其他客户端验证(并因此接受)您的证书,您需要提供一个“链” ' 的证书,每一个都由下一个签名,它将您的证书链接到受信任的根。正如我所说,一种中间体很常见;这意味着您的服务器需要发送自己的证书,该证书由中间 key 签名,加上由根 key 签名的中间证书。实际上不需要发送根,因为客户端已经在他们的信任库中拥有它,但它可能是,并且在使用它之前自己验证链也是可取的,为此你需要即使您不发送它,也有根。
关于ssl - 关于 CSR 和 SSL 证书的问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58852971/
26
4
0
我在 Cloudflare 的域名服务器上有一个域名 example.com。该域指向我的专用服务器的 IP 地址,该服务器运行 CentOS/WHM/cPanel。该站点可访问 - 一切都很好。 我
我正在努力将 SSL 支持添加到我们现有的应用程序中,并已开始考虑向后兼容性。 与我读过的其他帖子不同的一个特殊情况是服务器可能不一定使用 SSL 代码更新。所以我将有一个 SSL 客户端连接到一个对
我有几个 https://*.rest-service.mydomain.com。随着服务数量的增加,我觉得管理 SSL 证书的成本很高。我为 *.mydomain.com 购买了通配符证书。 新添加
我的客户要求我在他的网站上做反向 ssl。但我是这个学期的新手。谁能帮我解决这个问题。 请描述或引用如何做。 最佳答案 查看 this wiki article . In the case of se
关闭。这个问题是opinion-based .它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它. 去年关闭。 Improve this
我连接到我的网络服务器上的存储库,但是当我尝试推送我的更改时,它显示:“错误 403:需要 ssl”,但在我的存储库设置中我已经激活了 ssl 选项。 有什么建议吗? 最佳答案 当您连接到存储库时,您
抱歉,如果这听起来像是转储问题,我已经阅读了很多关于 SSL 握手和 SSL 工作原理的文章和文档。我对一件事感到困惑,如果有人能澄清我就太好了。 我知道私钥要保密。但是我已经看到通过在请求中指定私钥
随着物联网越来越主流,越来越需要从硬件发送http请求。 一个主要问题是硬件微 Controller 无法发送 ssl 请求,但大多数服务器/网站/服务都在使用 ssl。 所以,问题是,有没有桥(一个
我有一个 ssl 页面,它还从非 ssl 站点下载头像。我能做些什么来隔离该内容,以便浏览器不会警告用户混合内容吗? 最佳答案 只是一个想法 - 或者: 尝试在头像网站上使用 ssl url,如有必要
我在 Digital Ocean droplet(使用 nginx)上设置了两个域。我已经在其中一个(domain1)中安装了一个 SSL 证书,并且那个证书一切正常。第二个域 (domain2) 不
我收到这个错误: Error frontend: 502 Bad gateway 99.110.244:443 2017/09/28 13:03:51 [error] 34080#34080: *10
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 6 年前。 Improve
我遇到了一个问题,我正在构建一个 nginx 反向代理以定向到不同 url 路径上的多个微服务。 该系统完全基于 docker,因此开发和生产使用相同的环境。这在安装 SSL 时给我带来了问题,因为
所以我知道要求 SSL 证书和接受之间的根本区别,一个意味着您必须拥有 SSL 证书,另一个意味着您不需要。 在某个网页的 IIS 管理器中,我有以下设置: 我遇到的问题是,当我设置需要 SSL 证书
我今天才发现 .app 域名需要 SSL 证书。我购买它是为了将 DNS 重定向到已经设置了 SSL 证书的站点,所以我的问题是是否可以设置它? 我正在使用 Google Domains,在将合成临时
堆栈 : react ,NGINX 1.14.0,GUnicorn,Django 2.2.8,Python 3.6.9 错误 : 在浏览器:当 React 调用 Django API(当然是在请求头中
假设我在计算机上编辑主机文件以使 google.com 指向我的 VPS 服务器 IP,并且服务器具有通过 Apache 或 Nginx 配置的 google.com 的虚拟主机/服务器 block
我有一个场景,我正在处理用于 URL 路由的 IIS 网站配置。我已添加网站并在服务器上导入所需的证书。 我的情况是(我有多个网站 URL 和两个 SSL 证书 - 如下所示): qatest1.ab
我知道服务器发送的证书无法伪造(仍然存在 MD5 冲突,但成本高昂),但是伪造客户端又如何呢?在中间人攻击中:我们不能告诉服务器我们是合法客户端并从该服务器获取数据并对其进行操作,然后使用合法客户端公
我已通读相关问题,但无法完全找到我要查找的内容。我设置了一个名为“domain.com”的域,并创建了两个子域“client.domain.com”和“client-intern.domain.com
我是一名优秀的程序员,十分优秀!