- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我声明我对证书主题不是很专家,并且我可能不了解有关证书链签名的某些内容。
我们的客户将向我们发送一个 CA 证书,该证书是中间证书,我们必须创 build 备证书,该证书将存储在我们的设备中,以便与设备配置服务连接,其中将使用中间证书注册一个组。
是否可以仅使用 C# 从 CA 证书创 build 备证书?我们想将CA证书(中间证书)添加到我们的设备中,并使用C#编写的软件为设备创建证书? (如果需要,我们也可以使用其他类型的脚本或openssl)。可以吗?
我做了一些测试。我使用此链接中的脚本创建了根证书和中间证书 奥 git _a然后,使用中间证书,我尝试了这个
X509Certificate2 certificate = new X509Certificate2("myIntermediateCA.pem");
ECDsa ecd = ECDsa.Create();
CertificateRequest req = new CertificateRequest("CN=myDevice",
ecd,
HashAlgorithmName.SHA256);
req.CertificateExtensions.Add(new X509BasicConstraintsExtension(false, false, 0, false));
req.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.DigitalSignature | X509KeyUsageFlags.KeyEncipherment, false));
req.CertificateExtensions.Add(new X509EnhancedKeyUsageExtension(
new OidCollection
{
new Oid("1.3.6.1.5.5.7.3.8")
},
true));
req.CertificateExtensions.Add(new X509SubjectKeyIdentifierExtension(req.PublicKey, false));
X509Certificate2 cert2 = req.Create(
certificate,
DateTimeOffset.UtcNow.AddDays(-1),
DateTimeOffset.UtcNow.AddDays(2),
new byte[] { 1, 2, 3, 4 });
byte[] exported = cert2.Export(X509ContentType.Pfx, "pass12345678");
string certificatePfxPath = "myDevice.pfx";
File.WriteAllBytes(certificatePfxPath, exported);
但是它不起作用。如果我使用 myDevice.pfx 连接到设备配置服务,在该服务中我创建了一个使用中间证书的组,则会出现错误,表明该设备未获得授权。(使用此代码创建的设备证书似乎没有私钥。但一定有还是没有?)
谢谢!
最佳答案
Our Customer will send to us a CA certificate that is an Intermediate certificate and we have to create device certificates that will be stored in our devices for connection with the Device Provisioning Service where a group will be enrolled using the Intermediate certificate.
有一个根本性的问题。客户仅向您发送 CA 证书的公共(public)部分。您不能使用此证书签署其他证书,因为签名过程需要与 CA 证书关联的私钥,而客户很可能未提供该私钥。
有两个选项可以解决此问题:
选项 1 在大多数情况下都是有问题的,因为这允许您颁发客户信任的任意证书。这将引起您和客户之间的隐私和安全问题,因为您可以轻松欺骗客户的 PKI 及其安全性。
每次需要签署证书时,选项 2 都需要与客户环境/API 进行交互。另一方面,如果客户发现请求未经授权或不符合合规/政策规则,则可以审查每个请求并拒绝该请求。
Is it possible to create a device certificate from a CA certificate using only C#?
在任何情况下,您都不应这样做,而应使用专门的 CA 软件。例如,Microsoft ADCS、PKI Prime EJBCA、您选择的其他 CA 供应商/软件(也不要使用纯 OpenSSL)。
为什么需要使用专门的CA软件?这是因为,请求签名只是 CA 操作的一部分。其他操作包括:正确的扩展生成、CRL 和 CA 证书分发点(CDP 和 AIA 扩展)定义和维护、CA 数据库维护、吊销功能等。这些任务中的大多数都在 RFC 5280 中定义。 。不要推出自己的加密货币/CA,因为即使对于有经验的人来说,这也不是一件容易的事。
关于c# - 使用 C# 从 CA 证书创 build 备的 X509 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69971613/
我正在尝试在 Java 中执行此操作,但我认为这是一个一般证书问题。我有一个根CA,一个由根CA颁发的中间CA1,一个由中间CA1颁发的中间CA2,以及一个由中间CA2颁发的证书。 rootCA ->
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
我正在使用“任何?” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
我有一个SpringBoot应用程序,它使用以下配置与PostgreSQL通信,通过AWS Beanstrik部署:。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前,一切都很
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中,会生成 CSR,并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
我正在尝试导出客户端证书以供网络浏览器使用。 目标是使用 指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点? 1) 如果它是受信任的根 CA,我是否需要
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书,但我如何才能安全地确定它是根证书还是中间证书?以下是否足够安全? var collection
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
导出 K8s 集群 CA 证书和 CA 私钥 团队,我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它,所以我想一直重复使用相同的 CA 证书,我需要保存 CA 证书和 key
我正在编写一个自定义客户端和服务器,我想通过公共(public) Internet 安全地进行通信,因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导,同样,未经
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网 我在内部网络上有一个 apt 镜像,可以使用 apt 镜像位于 https 后面,带有自定义证书 我
Linux 的新手,正在尝试了解更多,我遇到了这种情况。 我已经尝试使用 ps 命令并使用 grep 来捕获“ca”,但它会返回每次出现的“ca”,无论它来自什么,它实际上对我没有帮助。 我已经尝试过
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序,它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时,我的应用程
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书,还是我可以使用我自己的 CA 生成的证书? 从移动客户端使用受信任的
有没有人设法将 CA 证书安装到 activemq 实例中?我一直在进行谷歌搜索并阅读 activemq 文档,但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。 我假
openssl ca 和 openssl x509 命令有什么区别?我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书,但是 openssl ca 命令不会在证书上注册
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3,但是很多包都损坏了,例如 python 等。现在,ca-certificates 不会重新安装。每当它运行 updat
我是一名优秀的程序员,十分优秀!