对于Apache中的mod_ssl来说,你需要在服务器上使用你的RSA私钥。 如果密钥是密码保护的,则必须在重新启动apache时input密码。 有SSLPassPhraseDialog所以你可以存储密钥encryption,并有一个程序传递它的短语,但是这确实没有比保持未encryption更安全。 我想知道,如果Apache支持,或可以作出支持,使用密钥代理进行操作需要私钥,很像ssh-agent openssh工作。 这样,只要服务器本身重新启动(假设代理在正常操作期间不以某种方式死亡),我只需要input密钥到密钥。 我意识到密钥存储在代理内存中,并从内存中获取可能,但很难做到。 另外,如果代理实际上是通过ssh从另一个主机转发的,而密钥在那里的内存中,那么只要Web服务器受到攻击,就不可能获得私钥。 如果apache目前支持这个答案是“否”,那么答案是“可以支持这个”吗? 我不确定关键操作是如何工作的,以及私钥需要什么级别的接触,并且我认为在我开始尝试代码尝试和自己一起破解之前,我会问。
我曾考虑过这个问题,而且我的主机提供了带外支持,所以我可以简单地创build带外密钥指纹,并在从家中连接到该服务器时进行比较。 除了带外访问之外,还有其他方式可以validation您连接的主机的确是您购买的服务器吗? 这在实践中是如何完成的?
我正在尝试在包含Domino 7服务器的基础架构上使用多用途证书。 为了做到这一点,我尝试了: 在Domino之外生成一个CSR:我可以在任何地方使用生成的证书,但不能在Domino上使用,因为它需要生成密匙环和相应的CSR 在Domino中生成密钥环和CSR:在Domino中,通用(服务)工作正常,但是我无法提取私钥来将证书用于其他目的 对于尝试2.我发现有人使用IBM提供的名为IKEYMAN的工具; 为IKEYMANfind下载是相当困难的。 IKEYMAN可以打开Domino密钥环并将其导出为KDB格式或.class; 我无法使用IKEYMAN导出的任何格式来提取私钥。 有人在Lotus论坛上说他做了这个伎俩,但是我错过了一些东西:在钥匙圈里我找不到任何私钥。 我的问题是:我可以从Domino密钥环中提取私钥吗? 在需要使用工具的情况下,我到底能find这个工具?
我很难find正确的文档在OpenSSH客户端尝试私钥对服务器进行身份validation的顺序,因为以下所有内容都存在: 在~/.ssh使用默认名称的密钥文件,例如~/.ssh/id_rsa , 具有非默认名称的密钥文件通过~/.ssh/configconfiguration为与特定主机一起使用, 由ssh-agentpipe理的密钥。 是否所有这些位置总是尝试(假设主机匹配~/.ssh/config中的条目),并且以何种顺序? 背景:我有~/.ssh/id_rsa只能用来对服务器A进行身份validation,而我有另一个由ssh-agentpipe理的密钥,只能用来对服务器B进行身份validation。 当试图对B进行ssh时,authentication失败,显然是因为只有 ~/.ssh/id_rsa被尝试。 似乎没有回退尝试由ssh-agentpipe理的密钥。
我一直试图使用我的私人密钥文件从terminal连接到远程服务器,但它似乎并没有工作。 我不明白为什么。 下面是我如何做到这一点: $ ssh -i private.ppk [email protected] Enter passphrase for key 'private.ppk': Enter passphrase for key 'private.ppk': Enter passphrase for key 'private.ppk': Permission denied (publickey,gssapi-keyex,gssapi-with-mic). 我的私钥文件有600模式。 我可以在我的Linux机器上使用PuTTY来连接这个私钥文件。 可能是什么问题?
我正尝试在以前的证书过期的域上重新安装SSL。 我已经删除了旧的证书,我试图按照以下说明安装我在Web Host Manager中从NameCheap购买的新证书: http ://wiki.spry.com/Installing_an_SSL_Certificate_in_WHM。 我的问题是,当我在步骤9,安装SSL证书我WHM告诉我我的私钥和证书不匹配。 我曾多次尝试用新的私钥重新创buildCSR和证书,所有结果都一样。 我不知道这是否有关,但如果我使用自签名证书WHM生成而不是证书我购买了私钥和证书匹配。 任何想法为什么私钥和证书不匹配?
在企业环境中,每个用户都发出一个用于encryption/签名的密钥对。 由于他们拥有私钥,这意味着他们可以解密任何为他们encryption的文件,即使在离开组织和他们的证书被吊销之后。 我想仿佛有什么方法来阻止他们使用他们的私人访问组织的文件(这是退休之前,所有员工encryption)?
有没有办法将私钥的内容直接传递给scp命令,而不必将其复制到文件并通过-i /path/to/key.pem选项指向它? 所以不要这样做: scp -i key.pem source target 我可以做类似以下的事情吗? scp -i '—–BEGIN RSA PRIVATE KEY—–\nMIIEowIBAAMIIEowIBAA…\n' source target 当然,我试过这个,它不起作用,但也许这可以通过一些BASHpipe道,输出redirect或类似的东西来实现。 我需要这样做的原因是因为我无法将密钥存储在文件系统中(这是一个非常漫长而无聊的故事),每次使用不同的密钥都需要执行该命令数百万次,所以额外的磁盘I / O将在我们的结果中显着。
我有一个基于密码的SSH启用的FreeBSD服务器。 我想启用sudo ,但是我不希望潜在的攻击者成为root访问的一个密码。 我目前的解决scheme是使用公共密钥以root身份login(远程密码身份validation已针对root进行禁用),并且我的普通用户不在wheel中,并且未安装sudo 。 在过去,我使用一次性密码进行sudo访问(我可以公开密钥进入系统,但sudo需要一个OTP,并有30分钟的超时时间让我实际上完成工作,而无需重新authentication所有时间)。 这是一个相当大的麻烦,但是,至less与OPIE / S / Key。 使用硬件令牌可能是好的,但在这一点上我没有。 我一直在寻找的东西,可以让我通过代理转发使用SSH公钥validationsudo。 包含在FreeBSD中的pam_ssh似乎没有这样做 – 它只通过查看用户是否可以解密服务器上的私钥来进行身份validation。 我find了pam_ssh_agent_auth ,但是我在其他地方find很less的引用。 现在是0.9,但是我有点犹豫,相信网关根植于一个程序,我找不到很多人实际使用的证据。 所以,我的问题基本上是2: pam_ssh_agent_auth在野外使用和可靠吗? 有没有另一个很好的解决scheme来启用sudo,同时仍然有屏障通过login密码? 我以为有sudo访问和没有密码authentication的第二个帐户,但这也似乎有点麻烦。
当使用openssl 0.9.8创build一个新的自签名证书+密钥时,有一个-nodes参数可以用来告诉openssl不encryption它创build的私钥。 例如: openssl req -x509 -nodes -days 365 \ -subj '/C=US/ST=Florida/L=Jupiter/CN=test.com' \ -newkey rsa:1024 -keyout mykey.pem -out mycert.pem 但是在新的openssl v1.0.1中,好像忽略了-nodes参数。 从我可以告诉,私钥总是encryption。 我使用openssl错了吗? 有没有一个不同的参数,我应该使用呢? -nodes参数logging为: if this option is specified then if a private key is created it will not be encrypted 资料来源: http : //www.openssl.org/docs/apps/req.html#item__nodes 更多细节问: 使用openssl 0.9.8,key + cert可以直接导入到其他第三方设备,我们期望未encryption的密钥和证书。 这工作没有任何问题。 但是当使用openssl 1.0.1时,这些第三方设备抱怨这个键是无效的。 确切的错误信息是: […]