Questo certificato ha una firma digitale non valida

5

Sto cercando di imparare a proteggere il servizio wcf usando ssl. Ho trovato questo sito e sto seguendo i passaggi. link . Ma quando ho iniziato a creare il certificato ho avuto un problema. Utilizzo di seguito per creare un certificato.

makecert –pe –n “CN=localhost” –sr localmachine –ss my –sky exchange

Per impostazione predefinita, l'utility makecert crea certificati la cui autorità di root è "Root Agency". Per qualche motivo, il mio certificato di Root Agency è stato danneggiato (firma digitale non valida). Come posso ripristinare un certificato di agenzia di root valido?

Il sito dice quando creo un certificato usando l'istruzione precedente e doppio clic su questo dovrei vedere questo

Mastovedendoquesto:

Quindi anche se aggiungo l'agenzia di root all'autorità di certificazione radice attendibile non ha alcun senso.

Altre schermate dal mio sito di guida:

Eho

Come posso risolvere il problema "Questo certificato ha una firma digitale non valida"?

    
posta osman 18.08.2014 - 01:18
fonte

2 risposte

4

Ciò potrebbe essere dovuto alle restrizioni sulla lunghezza delle chiavi del certificato.

Microsoft ha imposto un limite minimo di lunghezza della chiave di 1024 bit nell'agosto 2012. Verifica che il tuo certificato autofirmato sia stato creato con una lunghezza chiave di almeno 1024 bit.

Per maggiori informazioni puoi dare un'occhiata a questo post del blog Che cosa significa in realtà il messaggio" Questo certificato ha una firma digitale non valida. "

Puoi specificare la lunghezza della chiave durante la creazione della cert utilizzando il parametro -len in questo modo:

makecert -pe -ss MY -$ individual -n "CN=your name here" -len 2048 -r
    
risposta data 18.08.2014 - 05:53
fonte
2

è possibile eseguire il seguente comando in un prompt dei comandi (con diritti amministrativi):

certutil -setreg chain\minRSAPubKeyBitLength 512

questo ripristinerà la lunghezza della chiave richiesta (meno sicura!)

vedi link per ulteriori informazioni.

citazione da questo sito Web:

The reason is to be found in the Public Key Length field. In this certificate the public key is only 512 bytes. In August of 2012 Microsoft released an update that will block any certificates with RSA keys less than 1024 bits in length. This was done to make sure that a private key cannot be discovered using brute force methods and thus exposing private information. After the update the CryptoAPI, which builds a certificate trust chain and validates that chain by using time validity, certificate revocation, and certificate policies (such as intended purposes), implements an additional check to make sure that no certificate in the chain has an RSA key length of less than 1024 bits. Any such certificates will not be trusted. Actually the error displayed by Internet Explorer; “The security certificate presented by this web site is not secure” makes more sense than the messages in the certificate properties (“This certificate has an invalid digital signature”). Because that is actually what is happening; the certificate is not good enough to protect whatever data your are transmitting between the client and the server. So how come, according to the CryptoAPI extension, the digital signature is not valid? In public key cryptography the private key is generated from the public keys, or rather, the very large prime numbers selected to be the public key. That means that if the public key is weak, i.e. less than 512 bytes, the resulting private key would be as well. Since it is the issuing authority’s private key that is used to sign the issued certificate the signature itself would also be weak. And that is why the CryptoAPI displays the message “This certificate has an invalid digital signature”. What it should have displayed is something along the lines of “this certificates was signed with a weak private key etc.”. If you are desperate to use certificates with key lengths less than 1024 bits you can override the restrictions imposed by the Microsoft update. How to do that is documented in the KB article accompanying the update. Here is the command I ran to test that I was on the right track and force IE to let me use the certificate.

    
risposta data 26.02.2015 - 19:59
fonte

Leggi altre domande sui tag