对于域example.com上的SSL证书,有些testing告诉我这个链是不完整的,而且由于Firefox保留了自己的证书存储,所以在Mozilla( 1,2,3 )上可能会失败。 其他人告诉我很好 ,就像Firefox 36,它告诉我,证书链是好的。 更新:我在Windows XP和MacOS X Snow Leopard上对Opera,Safari,Chrome和IE进行了testing,它们都正常工作。 它只在两个操作系统上的Firefox <36上失败。 我没有访问Linux上的testing,但对于这个网站,不到1%的访问者,大多数可能是机器人。 因此,这回答了原来的问题“这个设置是否会在Mozilla Firefox中显示警告”以及“这个SSL证书链是否被破坏?”。 因此,问题是如何find我需要在ssl.ca文件中放置哪些证书,以便Apache可以保证它们保持Firefox <36不被窒息? PS:作为一个侧面说明,我用来testing证书的Firefox 36是一个全新的安装。 没有抱怨的机会,因为它在上次访问使用相同链的站点时下载了中间证书 。
我遇到的基本问题是我有超过100,000个无用的机器证书让我的CA陷入混乱,我想删除它们,而不删除所有的证书,或者提前跳过服务器,并使一些有用的证书无效那里。 这是因为我们的企业根CA(2008 R2)接受了一些默认设置,并使用GPO自动注册证书的客户端计算机,以允许802.1x身份validation到我们的公司无线networking。 事实certificate,默认的Computer (Machine) Certificate Template将很高兴地允许机器重新注册,而不是指示他们使用他们已有的证书。 这对于那些希望使用证书颁发机构的人(我)来说,造成了很多问题,因为每次工作站重新启动时,都会有一个日志。 (侧面的滚动条正在撒谎,如果将其拖动到底部,则屏幕暂停并加载接下来的几十个证书。) 有谁知道如何从Windows Server 2008R2 CA中删除 100,000个左右时间有效的现有证书? 现在,当我去删除一个证书时,我收到一个错误,它不能被删除,因为它仍然有效。 因此,理想情况下,暂时绕过这个错误的方法就是马克·亨德森(Mark Henderson)提供了一种在清除障碍后用脚本删除证书的方法。 (撤销它们不是一种select,因为它只是将它们移动到Revoked Certificates ,我们需要能够查看它们,而且它们也不能从撤销的“文件夹”中删除。) 更新: 我试了一下@MarkHenderson的网站 , 这个网站很有希望,而且提供了更好的证书pipe理能力,但是还是没有达到目标。 在我的情况下,似乎是证书仍然是“时间有效的”(尚未过期),所以CA不想让它们从存在中删除,这也适用于撤销的证书,所以撤销他们所有,然后删除他们也不会工作。 我也用Google-Fufind了这个technet博客 ,但不幸的是,他们似乎只需要删除大量的证书请求,而不是实际的证书。 最后,现在,时间跳转CA,所以我想摆脱的证书到期,因此可以删除与工具在网站马克链接是不是一个很好的select,因为会过期我们使用的一些有效的证书必须手动发放。 所以这是比重buildCA更好的select,但不是一个好的select。
我有nginx与以下设置: server { listen 80; server_name site.com www.site.com; root /home/site/public_html; listen 443; #server_name site.com www.site.com; #root /home/site/public_html; ssl_certificate /root/site.pem; ssl_certificate_key /root/site.key; 但是,当我查看SSL连接时,我得到: An error occurred during a connection to grewpler.com. SSL received a record that exceeded the maximum permissible length. (Error code: ssl_error_rx_record_too_long) 我正在使用TrustWave Premium SSL作为SSL证书TrustWave Premium SSL机构。
我遇到了与我的cURL版本捆绑在一起的CA bundle已经过期的问题。 curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html 通过文档阅读没有帮助我,因为我不明白我需要做什么或如何去做。 我正在运行RedHat,需要更新CA软件包。 在RedHat上更新我的CA软件包需要做什么?
我了解SSL证书不能使用SHA-1进行签名。 但是,所有CA根证书都是SHA-1签名(主要是)。 这是否意味着相同的algorithm,不再信任“你奶奶SSL商店”是世界最高的安全证书罚款? 我错过了什么吗? (密钥用法?密钥大小?)