我有一个在Debian Stretch上运行的Squid 3.5.23,从deb源文件重新编译并configuration为透明代理。 我改变了configuration,以便允许SSL代理,并且当我将生成的Squid证书安装为受信任的根权限时,似乎运行正常。 Facebook,Google,Kernel.org和其他大多数HTTPS站点都通过OK,浏览器正确认为这些站点的证书权限是代理的。 现在,有些网站给我一个证书警告,然后错误,如果我接受它作为例外。 https://elpais.com – > The following error was encountered while trying to retrieve the URL: https://2.16.189.72/* Failed to establish a secure connection to 2.16.189.72 The system returned: (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure This proxy and the remote host failed […]
我刚刚添加了一个NAS(networking附加存储)到我的局域网,我想通过HTTPS访问它。 一切正常,除了当我浏览它时,chrome在地址栏中以“不安全”响应,URL的“https”协议部分有一条删除线。 我与Mozilla Firefox有类似的问题。 脚步 在运行Linux Mint 17.3的PC上,我通过执行sudo /usr/lib/ssl/misc/CA.sh -newca创build了一个根证书颁发机构。 我使用httplogin到NAS并创build了一个CSR(证书签名请求),然后将其下载到我的PC。 该文件具有.csr扩展名。 然后我使用命令sudo openssl ca -out myCert.pem -infiles myCert.csr来签署.csr文件。 我使用它的Web界面将证书myCert.pem导入NAS。 我将我的PC上的CA证书myCaCert.pem添加到证书库,方法是将其移动到/usr/share/ca-certificates/extra/myCaCert.crt ,然后运行sudo dpkg-reconfigure ca-certificates 。 然后通过运行openssl verify myCert.pem检查最终证书myCert.pem文件openssl verify myCert.pem 。 输出是“myCert.pem:OK”。 然后我将根证书myCaCert.pem文件导入到Mozilla Firefox和chrome中。 完成这些步骤之后,Firefox和chrome都显示通过https的NAS的url是不安全的。 为了提供文件,是否需要在具有myCaCert.pem文件的PC上设置服务? 不确定在这一点上做什么… 编辑 正如dave_thompson_085所build议的那样,我在开发者工具中检查了Chrome中的安全错误。 以下两个错误正在显示: (1)缺less主题替代名称:本网站的证书不包含包含域名或IP地址的主题备用名称扩展名。 (2)证书错误:网站的证书链有问题(net :: ERR_CERT_COMMON_NAME_INVALID)。 我认为主题替代名称是可选的….我会尝试生成另一个CSR与SAN ….
当build立开放的VPN连接,我面临错误“TLS_ERROR:BIO读取tls_read_plaintext错误:错误:14090086:SSL例程:ssl3_get_server_certificate:证书validation失败” SSL证书根CA是“ Fireware Web CA ” 试图找出是否有任何选项来禁用证书validation。 注意:我试图通过我的路由器(Asus RT-AC55UHP)vpn客户端连接到vpn。 我能够使用tunnelblick在我的macbook中使用相同的configurationbuild立VPN连接 系统日志: openvpn[10205]: OpenVPN 2.3.2 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Dec 1 2016 openvpn[10205]: Socket Buffers: R=[87380->131072] S=[16384->131072] openvpn[10211]: Attempting to establish TCP connection with [AF_INET]xxx.xxx.xxx.xxx:443 [nonblock] openvpn[10211]: TCP connection established with [AF_INET]xxx.xxx.xxx.xxx:443 openvpn[10211]: TCPv4_CLIENT link local: [undef] openvpn[10211]: TCPv4_CLIENT link […]
我们现在一直在使用Exchange 2010邮件服务器。 今天在Exchange中使用的证书以及Forefront TMG已过期。 我们拥有以下证书链:根CA颁发了一个子CA,证书也已经过期。 SubCA颁发了一大堆证书(在发布的列表中),但据我所知,主要是CSPO和CA证书。 我有权访问支付邮件stream的所有服务器:RootCA,SubCA,Exchange,Forefront。 我将需要采取什么行动的概要,以取回邮件运行? 谢谢。
我在github上有一个与子模块相关的git仓库,当我尝试在本地设置submodules时: git submodule init git submodule update 我得到这个错误: error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed while accessing https://github.com/wincent/Command-T.git/info/refs fatal: HTTP request failed Clone of 'https://github.com/wincent/Command-T.git' into submodule path 'dotfiles/vim/bundle/command-t' failed 我知道这是CA证书过期Leopard的一个问题,我试图通过首先安装一个带有ssl支持的新版本curl(现在在版本7.22上)来解决这个问题,然后当没有工作我根据指示更新了我的crt,例如: http : //www.simplicidade.org/notes/archives/2011/06/github_ssl_ca_errors.html 我仍然得到同样的错误。 我也尝试调整.gitmodules中的协议来从https的git,但这也没有任何区别。 有任何想法吗?
我正在尝试使用L2TP / IPSec VPN为域成员和非成员实现远程客户端访问。 域成员是好的,工作正常,但我无法颁发证书给非域成员。 我相信我必须通过networking注册来发布计算机证书,所以我做了一个计算机模板的副本,并将主题名称设置更改为“在请求中提供”,因为我假设试图从AD构build它对非会员毫无意义。 问题是,当我尝试创build一个New>'要发布的证书模板'时,我的新模板没有显示在列表中,也没有显示在Web注册站点中的模板。 我有一种感觉,我缺less一些简单的东西。 我在使用CA MMC时使用Enterprise Admin帐户,而我的企业CA在Server 2003 R2 Std计算机上运行。 任何build议,我可能会错过/做错了? 提前致谢…
我有一个提供商的高级SSL证书,他们给我chain.cer,site.pem和site.cer。 我需要做一些特别的事情,以避免“网站的安全证书不被信任!” 当用SSL连接浏览? 我的configuration文件 server { listen 80; server_name site.com www.site.com; root /home/site/public_html; listen 443 ssl; ssl_certificate /root/site.cer; ssl_certificate_key /root/site.key;
这是发生了什么事情: 我通过MediaTemple站点生成CSR(这是唯一的方法,因为GS是共享服务器)。 通过namecheap.com发送(由RapidSSL签名)。 当我拿回证书和CA. 试图将其导回媒体寺庙。 我明白了 “密钥不匹配”错误。 联系同时支持。 他们只是把责任推给对方。 namecheap.com说有一个RSA密钥生成(我没有访问)。 而媒体寺庙只是责备其他人,甚至没有试图解释什么可能出了错。 我的问题是: 任何人都有同样的问题? 可能是这个错误的原因是什么? 谢谢
我试图按照Technet上有关部署基于标准(非企业)SSTP的VPN)的说明,但是我使用的是Server 2008 R2,创build一个服务器身份validation证书请求。 我已经部署了IIS和Active Directory证书服务,并select了“独立”和“标准”(非企业)证书颁发机构,因为我没有OID,也不认为我应该得到一个简单的部署的SSTP。 证书颁发机构“颁发”命令生成的证书只有1年的有效期,我想要一个多年证书。 在这个过程中,没有任何方法可以input这些信息,除非它是通过高级证书请求页面上的属性文本input区域,这似乎是使用旧的ActiveX控件生成的,这意味着我只能使用变通办法在我链接的文章中,只有使用Internet Explorer。 更新::我也卡在“撤销function无法检查撤销”,并且VPN连接失败。 这篇文章链接到这里的知识库文章。
我正在pipe理一个基于Linux的小型企业networking。 用户信息集中存储在OpenLDAP目录中。 现在有一个现有的CA用于签署服务器证书。 它使用EasyRSA进行pipe理。 我目前的项目是build立一个VPN远程访问networking以及基于802.1X的WiFi。 我想为两者使用客户端证书。 我想避免必须手动创build每个客户端证书。 理想情况下,将会有一个Web服务来对用户进行LDAPvalidation,并允许他们在没有pipe理员干预的情况下创build一个已签名的客户端证书。 这样的服务可以做一个中间的CA. 有没有一个项目,免费或商业,让我做到这一点? 理想的基于Linux的,因为这将适合现有的环境最好的。 在研究过程中,我偶然发现了OpenCA和EJBCA,而且这些看起来是高度可configuration的。 但是目前还不清楚这些function是否可以提供。 另外: 我发现了一个提到Active Directory证书服务的指南,这似乎基本上是我需要的。 向下滚动到“在Windows 7上生成用户证书”,显示该过程。 但是,由于这不是一个Windowsnetworking,所以没有Active Directory的另一个解决scheme是首选。