我有*.example.com的通配符证书(由GeoTrust签名),并将在不同的服务器上托pipe大量的应用程序实例,每个服务器都在我的子域中。 我不愿意将我的OpenSSL私钥复制到每个客户。 如何使用我的证书为个别子域创build子证书而不共享我的?
我有一个encryption的FAT卷(兼容性),包含私人密钥文件和其他敏感数据。 我想用我的私钥通过SSH连接到我的服务器,但是当然,由于FAT不支持文件权限,它忽略了我的密钥,说它的权限太开放了。 所以目前我在0600权限的硬盘上将其复制到其他地方,然后使用它,然后安全地删除它,但这是一个痛苦。 有没有办法绕过权限检查这个非常的SSH / SCP命令行? 编辑 :精确度:这是OS X上的TrueCrypt卷。 在解决scheme:下面接受的答案解决了我的问题(在Mac OS X上使用位于TrueCrypt卷上的SSH密钥文件),但这是一个解决方法。 看起来像没有办法“绕过关键文件权限检查”。
我使用Snappy Ubuntu Core(15.04 stable)在Mac OS(10.10.3)上运行vagrant(1.7.2),用于docker,使用VirtualBox 4.3.28作为提供程序。 我可以通过Macterminal中的私钥方法在Ubuntu客户端操作系统中手动ssh。 但“stream浪ssh”命令坚持密码的方法,我不知道如何改变auth方法。 vagrant up Bringing machine 'default' up with 'virtualbox' provider… ==> default: Checking if box 'ubuntu/ubuntu-15.04-snappy-core-stable' is up to date… ==> default: Clearing any previously set forwarded ports… ==> default: Clearing any previously set network interfaces… ==> default: Preparing network interfaces based on configuration… default: Adapter 1: nat […]
SSH公共密钥支持注释(仅仅由附加在密钥末尾的文本组成),这使得识别一个不可识别的id_rsa.pub文件变得很容易。 您可以使用注释来存储信息,例如密钥的属性,创build时间以及使用的机器等信息。 私钥似乎缺less此function。 ssh-keygen -C comment将会生成一个密钥对,注释会附加到公钥上,但私钥将保持不注释状态。 ssh-keygen有一个-c参数,“请求改变私钥和公钥文件中的注释”,但是 root@kitsune:~# ssh-keygen -c -f id_rsa Comments are only supported for RSA1 keys. 所以看起来SSH2私钥格式没有注释字段。 只要把这对钥匙放在一起并保留在正确的位置,这种做法基本上没有问题,但是这些文件可以被复制和移动(这可能发生在帐户/机器共享密钥时)或者意外覆盖,而且它们都有同名(id_rsa),所以可以跟踪哪个键是哪个。 在没有评论的情况下,保持私钥有组织的最佳做法是什么?
我使用Java keytool来生成一个“keystore”: keytool -genkey -alias example.com -keyalg RSA -keystore example.com.keystore 然后我生成了一个CSR(证书签名请求): keytool -certreq -keyalg RSA -alias example.com -file example.com.csr -keystore example.com.keystore 然后我颁发了一个证书,并将其保存在一个文本文件example.com.crt 现在我想用Nginx的这个证书。 我已将证书放在/etc/ssl/certs/example.com.cert并在/etc/ssl/certs/example.com.cert放置了我的“密钥库”(我认为它包含我的私钥?) 然后我configuration了Nginx, Nginx,SSL和vhosts 。 但是当我重新加载Nginx的configuration文件,我得到这个错误消息: sudo service nginx reload Reloading nginx configuration: [emerg]: SSL_CTX_use_certificate_chain_file("/etc/ssl/certs/myssl.crt") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib) configuration file /etc/nginx/nginx.conf test failed 当我遵循相同的指南,并使用openssl生成SSL证书,它工作正常。 但使用Java的keytool我得到这个错误。 我如何使用Nginx的Java密钥工具使用SSL证书和密钥?
我想在我们的一些服务器上设置pam_ldap,这样我们可以集中pipe理谁可以访问哪个服务器,并且如果有人离开公司,可以轻松地撤销访问。 我已经做了一些研究,并得到了这个工作。 万岁! 不过,我也希望能够使用公私钥login – 即允许用户将他们的公钥存储在LDAP目录中,并让这些login也可以login。 我找不到任何关于能够做到这一点的文件,但是我也找不到任何应该不可能的原因。 有没有办法做到这一点,还是有一些根本的原因,它不会工作?
好的,我有一个encryption的ssh私钥,可以访问服务器。 我的Ubuntu GNOME桌面有一个集成的graphicsssh代理(海马v3.2.2)。 这个ssh密钥在这个ssh代理中,当我login到我的桌面时它会自动解锁。 我可以ssh到服务器(使用这个encryption的ssh私钥)罚款,而不必input任何东西。 不过,我忘记了这个SSH密码的密码。 有无论如何提取(从SSH代理)未encryption的SSH密钥? 由于我可以用任何东西login服务器,我的电脑上的东西显然可以访问这个密钥的未encryption版本,所以我应该可以提取未encryption的版本,不是吗?
我忘了如何做这个程序。 我在OSX 10.9.1上做过 在我的服务器上运行ssh-keygen 移动私钥id_rsa到我的笔记本电脑的$HOME/.ssh/id_rsa ,从我的服务器中删除私钥id_rsa 在我的笔记本电脑中创build以下$HOME/.ssh/config 运行ssh-add $HOME/.ssh/id_rsa 我的.ssh / config Host server.myhomepage.com User masi Port 22 Hostname server.myhomepage.com IdentityFile ~/.ssh/id_rsa TCPKeepAlive yes IdentitiesOnly yes 我跑 ssh-add .ssh/id_rsa Enter passphrase for .ssh/id_rsa: Identity added: .ssh/id_rsa (.ssh/id_rsa) 并运行更多 ssh server.myhomepage.com Saving password to keychain failed 它在我给出的graphics窗口中询问了我的密码id_rsa,但是得到了失败的信息。 然后,它在terminal询问我是否正确input了我的私钥的密码,但仍然显示失败的消息。 我用正确的密码运行了很多次 Identity added: /Users/masi/.ssh/id_rsa (/Users/masi/.ssh/id_rsa) [email protected]'s password: Permission […]
我的具体情况适用于Windows,但我很高兴知道这与其他实际应用有何不同。 这些子集包含我基于我的逻辑的信息,如果我错了,请纠正它们。 这是我在做什么: 在Exchange命令行pipe理程序中,我生成一个证书请求。 一世。 此时,生成一个私钥。 我批准证书颁发机构的请求。 一世。 CA从来没有看到我的私钥。 我从CA获取证书(.cer)并将其安装到本地机器证书存储区。 一世。 私钥自动与相应的证书合并。 在第一步:私钥当前驻留在哪里? 在第三步中:私钥是否仍然位于(1)中的相同位置,还是现在只出现在证书中? 除了导入到商店之外,如何将这个私钥与证书合并?
我有一个RSA密钥(由PuTTYgen生成),它被设置为通过SSHlogin到一堆机器。 或者说,我有这样一把钥匙。 (这台计算机在崩溃的时候,需要重新安装XP,私钥文件由文件系统encryption,现在基本上看起来像是整个其他操作系统和用户,无论XP会做什么解密密钥显然不能再做了。) 我剩下的就是一个OpenSSL兼容的base64公钥(从一台机器仍然设置为接受密码),当然还有密钥的密码。 我可能(!)在机器死亡之前仍然有一个旧的registry备份,但是必须search它。 无论哪种方式,这听起来像它可能无法恢复密钥文件本身。 (如果可能的话,那会很好,但是目前看来前景并不乐观。) 有没有办法恢复私钥,如果我不能恢复包含它的实际文件? 也许通过导入公钥到PuTTYgen或openssl并做一些相反的事情呢? 联系所有涉及的pipe理员,并发送新的密钥可能是一个痛苦,所以这几乎是最后的手段。