Fare un certificato di Windows dice che lo scopo è "Assicura l'identità di un computer remoto"

Naviga le tue risposte
5

Voglio che il mio certificato venga visualizzato in questo modo quando faccio doppio clic su Windows in:

Sefacciodoppioclicsuuncertificatocasuale,ottengoquesto:

Il certificato che corrisponde a questo è: 

-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----

Se impongo il certificato di firma, verrà visualizzato in questo modo:

Questoèaffascinanteetutto,manonmidicecomefareuncertificatodire"Assicurati l'identità di un computer remoto". Qualche idea?

    
posta neubert 26.12.2012 - 16:30
fonte

3 risposte

6

Se potessi usare OpenSSL aggiungerei le seguenti righe a openssl.conf: 

keyUsage = digitalSignature
extendedKeyUsage=serverAuth

ma non so come aggiungere extendedKeyUsage in PHPSecLib

    
risposta data 26.12.2012 - 16:48
fonte
1

TL; DR

Acquista un certificato da Verisign, Comodo, ecc. e si assicureranno che riceverai sempre un certificato che funziona per la navigazione web.

Parte 1: "Informazioni insufficienti da verificare"

Sembra che questo sia un certificato autofirmato generato da PHP. In realtà dice che è stato rilasciato da "qualcuno". A meno che "qualcuno" sia un certificato legittimo che desideri distribuire su qualsiasi computer (improbabile), riceverai questo errore.

Avvia il gestore dei certificati e guarda i certificati di "root attendibile" di Windows per il tuo account utente e della macchina (ci sono due punti da controllare). In quella cartella (trusted root) che rappresenta tutte le CA valide per il tuo sistema. Aggiungere certificati qui significa che ti fidi di loro per controllare la sicurezza del tuo computer e rimuoverli significa che non ti fidi di loro. Non è consigliabile cambiarlo e affidarlo a persone esperti di PKI per aggiungere e rimuovere il contenuto di questa cartella.

Altrimenti, guarda il link per ulteriori informazioni relative alla PKI che ti istruiranno su come non spararti ai piedi.

Parte 2: "Tutti i criteri applicativi"

La sezione "Tutte le politiche dell'applicazione" include "Verifica l'identità di un computer remoto".

Se vuoi avere un certificato più vincolato (una buona cosa) allora dovresti avere la tua applicazione PHP (phplib demo cert) vai a una CA attendibile e usa il modello di certificato appropriato.

Il modo in cui procedi dipende da:

  • Quale utility generi il certificato (PHP in questo caso)
  • Quale CA viene utilizzata (è una CA pubblica per essere utilizzata da tutte le persone o solo nell'ambiente aziendale)
  • CA - dettagli specifici su come vincolare i certificati emessi per avere solo gli usi chiave che specifichi.

Ecco un suggerimento, la scheda generale non mostra molte informazioni importanti. Fai clic su "Dettagli" e osserva l'utilizzo delle chiavi e l'uso delle chiavi ottimizzate. Ti forniranno non solo il testo amichevole che stai cercando, ma anche gli OID di cui avrai probabilmente bisogno quando invierete alla CA interna l'emissione del certificato corretto.

    
risposta data 26.12.2012 - 17:57
fonte
0

Il motivo per cui stai riscontrando questo problema è perché stai aprendo un certificato X.509 generico.

Microsoft richiede un certificato PKCS7 che include le CA di firma. Se non ha il certificato pubblico del firmatario nel certificato stesso (indipendentemente dal fatto che i certificati pubblici firmatari siano nell'archivio dei certificati locali) sarà considerato illegittimo.

    
risposta data 26.12.2012 - 17:42
fonte

Leggi altre domande sui tag

Quali fattori di sicurezza dovrei prendere in considerazione quando si seleziona una banca? Domande di Linux forensics (ssh config, attività dell'utente)