Este certificado tiene una firma digital no válida

5

Estoy tratando de aprender cómo asegurar el servicio wcf usando ssl. Encontré este sitio web y estoy siguiendo los pasos. enlace . Pero cuando llegué a crear el paso de certificado tuve un problema. Utilizando a continuación para crear un certificado.

makecert –pe –n “CN=localhost” –sr localmachine –ss my –sky exchange

De forma predeterminada, la utilidad makecert crea certificados cuya autoridad raíz es "Agencia raíz". Por alguna razón, mi certificado de Root Agency se ha corrompido (firma digital no válida). ¿Cómo puedo restaurar un certificado válido de Root Agency?

El sitio dice que cuando creo un certificado usando la declaración anterior y hago doble clic en él, debería ver esto

Peroestoyviendoesto:

Entonces, incluso si agrego Root Agency a una autoridad de certificados raíz de confianza, no tiene ningún sentido.

Otra captura de pantalla de mi sitio de guía:

Ytengo

¿Cómo puedo solucionar el problema "Este certificado tiene una firma digital no válida"?

    
pregunta osman 18.08.2014 - 01:18
fuente

2 respuestas

4

Esto podría deberse a las restricciones de longitud en las claves de certificado.

Microsoft aplicó un límite de longitud de clave mínima de 1024 bits en agosto de 2012. Compruebe que su certificado autofirmado se haya creado con una longitud de clave de al menos 1024 bits.

Para obtener más información, puede consultar esta publicación de blog ¿Qué significa realmente el mensaje" Este certificado tiene una firma digital no válida "?

Puede especificar la longitud de la clave al crear el certificado utilizando el parámetro -len así:

makecert -pe -ss MY -$ individual -n "CN=your name here" -len 2048 -r
    
respondido por el ilikebeets 18.08.2014 - 05:53
fuente
2

puede ejecutar el siguiente comando en un indicador de comando (con derechos administrativos):

certutil -setreg chain\minRSAPubKeyBitLength 512

esto restablecerá la longitud de la clave requerida (¡menos seguro!)

vea enlace para más información.

cita de este sitio web:

  

El motivo se encuentra en el campo Longitud de la clave pública. En esto   Certificado de la clave pública es de sólo 512 bytes. En agosto de 2012   Microsoft lanzó una actualización que bloqueará cualquier certificado con RSA   Teclas de menos de 1024 bits de longitud. Esto se hizo para asegurarse de que una   La clave privada no puede ser descubierta usando métodos de fuerza bruta y por lo tanto   Exponiendo información privada. Después de la actualización el CryptoAPI, que   crea una cadena de confianza de certificados y valida esa cadena utilizando   validez temporal, revocación de certificados y políticas de certificados (tales   según lo previsto), implementa un cheque adicional para asegurarse   que ningún certificado en la cadena tiene una longitud de clave RSA inferior a   1024 bits. Cualquier certificado de este tipo no será de confianza. En realidad el   error mostrado por Internet Explorer; "El certificado de seguridad   presentado por este sitio web no es seguro "tiene más sentido que el   mensajes en las propiedades del certificado (“Este certificado tiene una   firma digital inválida ”). Porque eso es en realidad lo que es.   sucediendo; El certificado no es lo suficientemente bueno para proteger cualquier dato.   Estás transmitiendo entre el cliente y el servidor. Entonces, ¿cómo es que   De acuerdo con la extensión CryptoAPI, la firma digital no es   ¿válido? En la criptografía de clave pública la clave privada se genera a partir de   las claves públicas, o más bien, los números primos muy grandes seleccionados para   Sé la clave pública. Eso significa que si la clave pública es débil, es decir,   menos de 512 bytes, la clave privada resultante también lo sería. Ya que   es la clave privada de la autoridad emisora que se utiliza para firmar el   Certificado emitido la firma en sí también sería débil. Y eso   Es por eso que CryptoAPI muestra el mensaje "Este certificado tiene una   firma digital inválida ”. Lo que debería haber mostrado es algo   a lo largo de las líneas de “estos certificados se firmaron con un débil privado   llave etc. ”. Si estás desesperado por usar certificados con longitudes de clave   menos de 1024 bits puede anular las restricciones impuestas por la   Actualización de Microsoft. Cómo hacerlo está documentado en el artículo de KB.   Acompañando a la actualización. Aquí está el comando que corrí para probar que estaba   en el camino correcto y obligue a IE a dejarme usar el certificado.

    
respondido por el gicalle 26.02.2015 - 19:59
fuente

Lea otras preguntas en las etiquetas