我正在使用SLES 11 SP4盒子,并尝试连接到主机api.onedrive.com。 几天后,这个连接断开,并返回: # curl https://api.onedrive.com curl: (35) error:1408D13A:SSL routines:SSL3_GET_KEY_EXCHANGE:unable to find ecdh parameters 我怀疑随SLES 11一起提供的OpenSSL版本无法处理此连接。 有一些backports存储库或其他方式来使这些连接再次工作?
我有一个OpenVPN服务器设置,它的工作原理奇妙,所有的互联网stream量使用VPN连接。 在一个特定的WiFinetworking上,我可以使用telnet / openssl s_client连接到Web服务器,但不能在浏览器中。 我真的要强调,这不是典型的“没有互联网与OpenVPN”的问题,但它是唯一的一个单一的networking。 有没有一个好的地方开始寻找解决这个问题? 感谢您的任何build议,这里的相关信息: Ubuntu 17.04服务器configuration上的OpenVPN 2.4.0: dev tun ca ca.crt cert server.crt key server.key dh dh4096.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 tls-auth ta.key 0 key-direction 0 cipher AES-256-GCM auth SHA512 compress lz4-v2 push "compress lz4-v2" […]
我最近更新了一个内部服务器,在我公司托pipe一个网站,它开始抛出SSL错误( SSL certificate problem, verify that the CA cert is OK. )。 我对SSL证书的工作原理知之甚less,所以我想弄清楚如何开始解决这个问题。 从我读过的openssl可以提供可能与我的问题相关的证书的详细信息。 将一个好的第一步是运行以下? openssl s_client -showcerts -connect www.myFakeInternalUrl.com:443 我也做了以下假设 – 这些声音是否正确? 根据以上信息,假设我的服务器在升级之前使用一个CA创buildSSL Certs(让我们称之为CA-1),而另一个在升级之后(让我们称之为CA-2)是安全的? 如果这是真的 – 我是否正确地认为我看到错误,因为客户端使用的证书是使用CA-1创build的,而且该站点现在期望使用CA-2创build证书? 如果1和2是正确的 – 我将如何去解决证书错误? 我是否强制客户端生成新的SSL证书或者是否应该更新服务器以使用CA-1?
我在Windows 7 x32上运行stunnel 5.42,并附带Openssl 1.0.2k-fips。 有没有办法将stunnel使用的openssl的版本更改为1.1.0,就像使用特定的openssl.exe文件的configuration选项一样? 我注意到stunnel日志中的这一行:更新OpenSSL共享库或重buildstunnel。 openssl共享库在哪里?
我知道ssl_handshake_failure是一个通用的错误,但这是我最后的手段,因为我已经调查了这个问题三个星期。 我正在AIX服务器上部署Apache HTTPD服务器。 AIX没有标准的存储库,所以我从perzl.org/aix/的RPM软件包中安装了它 我很难解决所有的依赖,但最终我得到了它的工作。 我希望RPM不会让我这样做,没有所有适当的依赖。 当我只通过端口80使用HTTP时,Apache服务器工作得很好。当我尝试通过端口443连接到它时,问题就出现了。 我用下面的命令testing它: openssl s_client -state -connect 127.0.0.1:443 一旦我运行这个命令,我得到: CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A OpenSSL然后等待大约两分钟,然后抛出以下错误: 804401144:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177: — no peer certificate available — No client certificate CA names sent — SSL handshake has read 0 bytes and written 305 bytes — New, (NONE), Cipher is […]
我错误地删除了ca.cert,server.key和dh2048.perm的密钥文件夹。 我有多个客户端位于仍然连接着服务器的各个地方。 我想生成新的一套ca.cert,server.key和dh2048.perm和客户端密钥,而不会影响已经连接到服务器的客户端。 什么可能是可行的解决scheme? 是否可以继续使用build-server-key,build-ca和build-dh来为新的客户端部署相同的服务器,还是需要完全不同的设置? 我不知道多less年龄的客户仍然连接! 提前致谢!
我刚刚添加了一个NAS(networking附加存储)到我的局域网,我想通过HTTPS访问它。 一切正常,除了当我浏览它时,chrome在地址栏中以“不安全”响应,URL的“https”协议部分有一条删除线。 我与Mozilla Firefox有类似的问题。 脚步 在运行Linux Mint 17.3的PC上,我通过执行sudo /usr/lib/ssl/misc/CA.sh -newca创build了一个根证书颁发机构。 我使用httplogin到NAS并创build了一个CSR(证书签名请求),然后将其下载到我的PC。 该文件具有.csr扩展名。 然后我使用命令sudo openssl ca -out myCert.pem -infiles myCert.csr来签署.csr文件。 我使用它的Web界面将证书myCert.pem导入NAS。 我将我的PC上的CA证书myCaCert.pem添加到证书库,方法是将其移动到/usr/share/ca-certificates/extra/myCaCert.crt ,然后运行sudo dpkg-reconfigure ca-certificates 。 然后通过运行openssl verify myCert.pem检查最终证书myCert.pem文件openssl verify myCert.pem 。 输出是“myCert.pem:OK”。 然后我将根证书myCaCert.pem文件导入到Mozilla Firefox和chrome中。 完成这些步骤之后,Firefox和chrome都显示通过https的NAS的url是不安全的。 为了提供文件,是否需要在具有myCaCert.pem文件的PC上设置服务? 不确定在这一点上做什么… 编辑 正如dave_thompson_085所build议的那样,我在开发者工具中检查了Chrome中的安全错误。 以下两个错误正在显示: (1)缺less主题替代名称:本网站的证书不包含包含域名或IP地址的主题备用名称扩展名。 (2)证书错误:网站的证书链有问题(net :: ERR_CERT_COMMON_NAME_INVALID)。 我认为主题替代名称是可选的….我会尝试生成另一个CSR与SAN ….
我想使用HTTP / 2并充分利用其function。 ALPN捆绑在OpenSSL 1.0.2中,但NGINX似乎并没有使用它。 好像OpenSSL已经是1.0.2l,我把nginx升级到1.13.6,但是仍然使用OpenSSL 1.0.1t。 # openssl version -v OpenSSL 1.0.2l 25 May 2017 nginx -V nginx version: nginx/1.13.6 built by gcc 4.9.2 (Debian 4.9.2-10) built with OpenSSL 1.0.1t 3 May 2016 (running with OpenSSL 1.0.2l 25 May 2017) TLS SNI support enabled 任何帮助让NGINX使用OpenSSL 1.0.2或如何启用ALPN将不胜感激。
我试图在RHEL 7.2机器上安装nginx,并且出现错误, Error: Package: 1:nginx-1.10.2-2.el7.x86_64 (epel) Requires: libcrypto.so.10(OPENSSL_1.0.2)(64bit) You could try using –skip-broken to work around the problem You could try running: rpm -Va –nofiles –nodigest 坚果这个libcrypto.so.10(OPENSSL_1.0.2)(64位)在默认的openssl软件包上不可用,所以我删除了当前的openssl软件包并使用rpm安装如下, [root@db-brm ~]# rpm -Uvh http://mirror.centos.org/centos/7/os/x86_64/Packages/openssl-libs-1.0.2k-8.el7.x86_64.rpm 我认为这将解决问题,但它没有和它增加了openssl的冲突,并给安装nginx时出错, 我可以看到这是错误, [root@db-brm ~]# yum install nginx Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered to Red Hat Subscription Management. […]
我不知道为什么,但有时我在nginx中得到这个错误。 有谁知道什么会产生这个错误? 2017/10/25 15:00:34 [crit] 5908#3228: *20789 SSL_write() failed (SSL:) (10053: FormatMessage() error:(15105)) while sending to client, client: 90.200.200.200, server: my.domain.com, request: "GET /faces/production.xhtml HTTP/1.1", upstream: "https://127.0.0.1:443/faces/production.xhtml", host: "my.domain.com", referrer: "https://my.domain.com/faces/production.xhtml" 另一个例子: 2017/10/25 15:05:40 [crit] 5908#3228: *21344 SSL_write() failed (SSL:) (10053: FormatMessage() error:(15105)) while sending to client, client: 90.300.300.300, server: my.domain.com, request: "GET /faces/javax.faces.resource/fa/fontawesome-webfont.ttf?ln=primefaces&v=5.2 HTTP/1.1", […]