我有一个来自Letsencrypt的.pem格式的证书链,名为fullchain.pem 它有两个证书链: keytool -printcert -v -file fullchain.pem |grep "Certificate fingerprints" |wc -l 2 当我将其转换为.der使用 openssl x509 -in fullchain.pem -out cert.der -outform DER 它只输出最后一个 keytool -printcert -v -file cert.der |grep "Certificate fingerprints" |wc -l 1 这是openssl中的错误吗? 我错过了一个参数吗?
我的CA服务器崩溃了。 它被用来部署证书给信使客户进行实时通信。 我不再使用实时通信。 我从AD删除服务器对象,但我的客户端和服务器envent日志有很多以下条目 本地系统的自动证书注册未能注册一个域控制器证书(0x800706ba)。 RPC服务器不可用。 DCOM无法使用任何已configuration的协议与计算机msgsvr01.mycompany.local通信 删除CA时还需要删除表单AD吗? 谢谢
我有一个SSL页面,并有一个有效的证书扩展。 (mainpage.com)但是这个页面请求一些静态内容到另一个域(page-static.com),基本上是图像和js。 其实我只有我的mainpage.com证书。 所以现在当我要求这个页面时,我得到无效的SSL页面,因为它包含无效的encryption数据(由www.page-static.com提供的) 我需要什么样的证书www.page-static.com。 我是否需要与mainpage.com相同的,因为这个证书是昂贵的(这是一个扩展证书)。 或者从godaddy便宜的证书将做的伎俩。 这是另外一个问题,两个证书是否必须由相同的根提供者签名和/或相同的encryption密钥长度(或者只能是128位)? 谢谢你的帮助
我有一个根证书(root.cer)没有签名的CA,但是在我们内部networking上的所有计算机上都受信任,我需要为我的本地apache webserver创build一个csr来服务一个小的intranet站点。 我不确定我说的是对的,但我希望有人能够认出我的意思。 我怎样才能做到这一点?
您试图访问www.domainname.domain.ac.in,但是实际上您已经到达了将自己标识为* .domain.ac.in的服务器。 但该网站在所有浏览器中都可以正常使用https://domainname.domain.ac.in 。只有在Chrome和IE试图访问https://www.domainame.domain.ac.in 提前致谢
我试图让我的CentOS服务器信任从活动目录服务器安装的证书(我之前将.cer转换为.pem)。 当我尝试连接时,debugging信息是: [root@web1 cacerts]# ldapsearch -d1 -v -D SOMEDN\pretenduser01 -w SOMEPASSWORD -H ldaps://1.2.3.4:636 -x ldap_url_parse_ext(ldaps://1.2.3.4:636) ldap_initialize( ldaps://1.2.3.4/??base ) ldap_create ldap_url_parse_ext(ldaps://1.2.3.4:636/??base) ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP 1.2.3.4:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 1.2.3.4:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 TLS: certdb config: configDir='/etc/openldap/cacerts' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly TLS: using moznss […]
我在RHEL中特别使用openssl。 certstore和密钥库有什么区别?
我正在使用自签名证书设置VPN。 我的证书是在服务器上生成的,并安装在服务器上。 它显示在“证书(本地计算机)/个人/证书”下的MMC控制台中 我用“netsh http show sslcert”validation了证书绑定到SSL侦听器, SSL Certificate bindings: ————————- IP:port : 0.0.0.0:443 Certificate Hash : bc21f475405f********a97aa4cdecd3bfe257d3 Application ID : {ba195980-cd49-458b-9e23-c84ee0adcd75} Certificate Store Name : MY Verify Client Certificate Revocation : Enabled Verify Revocation Using Cached Client Certificate Only : Disabled Usage Check : Enabled Revocation Freshness Time : 0 URL Retrieval Timeout : […]
两天前我更新了openssl 1.0.1f到1.0.1g。 一切似乎都很好。 但是过了一会儿,在sendmail日志中popup一个错误消息: OpenSSL 1.0.1g失败 4月10日10:13:45邮件sendmail [17568]:STARTTLS =客户端,错误:连接失败= -1,reason = tlsv1警报解码错误,SSL_error = 1,errno = 0,重试= -1 4月10日10:13:45邮件sendmail [17568]:STARTTLS =客户端:17568:错误:1407741A:SSL例程:SSL23_GET_SERVER_HELLO:tlsv1警报解码错误:s23_clnt.c:762: 4月10日10:13:45 mail sendmail [17568]:ruleset = tls_server,arg1 = SOFTWARE,relay = mail.example.com,reject = 403 4.7.0 TLS握手失败。 邮件尚未发送。 OpenSSL 1.0.1f的作品 然后我降级到1.0.1f,邮件已经发送: Apr 10 10:17:31 mail sendmail [31809]:STARTTLS = client,relay = mail.example.com,version = TLSv1 / SSLv3,verify = FAIL,cipher = […]
我在Active Directory域中有两台服务器。 这两个服务器都有在Tomcat中运行的应用程序。 我为这两台服务器订购了PKI证书。 服务器是AD域“ourInternalNetwork.com”的成员。 该域中的大多数系统不能从公共互联网访问。 这两个服务器将可以从“networking”访问。 出于政治原因,我们没有注册“ourInternalNetwork.com”,而是我们有“ExternalNetwork.com”域名。当我们进入系统属性时,服务器将自己标识为“server1.ourInternalNetwork.com”和“server2.ourInternalNetwork”。 COM”。 但是,我们希望Internet连接用户通过“server1.externalNetwork.com”和“server2.externalNetwork.com”访问服务器。 这需要一个主题替代名称,对吗? 我的理解是,如果我们创build没有SAN的CSR,CSR将用于“server1.ourInternalNetwork.com”,而我们的CA不会颁发给我们“server1.ExternalNetwork.com”的证书? 但是,如果我们指定一个SAN,那么我们的CA将为“server1.ourInternalNetwork.com”和“server1.ExternalNetwork.com”颁发证书。 我有这个权利吗?