这令我非常困扰, 我用这个命令生成了一个.csr和.key文件发送给dynadot(发送到AlphaSSL): openssl req -out foo.com.csr -new -newkey rsa:2048 -nodes -keyout foo.com.key 它已经要求我确认,我收到了一个中间链证书,但是我只是把它放在foo.com.crt ,它在我的域名上工作得很好。 与购买页面所述相反,SSL只适用于(domain.com)而不适用于(www.domain.com),并且在生成原始签名请求时,我使用了domain.com作为通用名称。 我认为这是由于我没有使用中间链,所以我愚蠢地覆盖了.csr和.key,试图在由同一个.csr文件中的dynadot提供给我的AlphaSSL之前安装GlobalSign根证书,但是它给我一个关于与我的.key文件不匹配的警告(我正在使用nginx) 我试图重现我的步骤和设置,但是我无法得到(新鲜的crt,只是由dynadot给我的)和.key,我用相同的设置重新生成 – 它只是不匹配。 是否有可能重新请求csr? 或从.csr生成私人.key我被给了? 我宁愿不花一大笔钱,也没有真正的AlphaSSL帐户,所以我不确定我真的可以要求支持或重新签署。 如果你能提供任何build议或帮助,我将不胜感激。
一位客户向我发送了一份CSR,并为我所托pipe的一台Linux服务器提供了一份证书的.CER。 客户无法访问此机器。 这是足够的数据生成一个有效的证书? 是否有可能从.CSR生成有效证书的.KEY?
我明白为什么需要SSL警告,以及为什么用户,即使是经验丰富的用户,应该防止轻易忽视它们。 我也明白,一般来说,在您的日常工作站上工作时,“白名单”或值得信赖的不可信的根CA方法是最好的方法,您也可以通过银行或交易或通过电子邮件发送信息。 也就是说,如果我在一个没有访问互联网的全新configuration的testing盒上使用Internet Explorer 8 ,我不需要经常点击一个或两个button来pipe理服务器, https://my-vm-213.goofy.local或任何情况下可能。 如果我们正在处理那些要大量上下左右的主机,那么我花费一点时间来添加根本的CA,这是愚蠢的,并且没有理由在其中存在小时。 我的问题是:有没有办法“永远通过”SSL检查: 在Windows操作系统级别? (由Certificates mmc GUI和certutil等pipe理的同一个子系统 在浏览器级别? – 适用于任何主stream浏览器,尤其是Internet Explorer 在类Unix系统上尽可能低的水平? (我认为这是OpenSSL但我不知道) 对我来说,这将是这样的: ( X ) Always validate SSL certificates (DANGEROUS!) 下面更合理化 如果您知道您在实验室环境或新开通的环境或小型企业环境中工作,严格遵守与系统有关的事项,那么当您始终抑制保密性或完整性(或者意识到缺乏)时, SSL警告,因为你已经知道他们将出现。 我想你可能会争辩说:“好吧,如果有人知道你对此非常松懈,并通过专门针对那些你想压制的东道主来利用它,那么这个论点只有在下列情况下才有效:a)有明显的手段利用IE8浏览器兼容性testingIntranet应用程序,b)虚拟机networkingconfiguration错误,实际上允许它通过网关发送或接收数据包等等,但最重要的是, c)你曾经做过任何事情因为这个警告的结果不同 ,你知道会发出警告 。
我们只是将新的Windows机器设置为Web服务器,安装了Apache 2.2.19,并且安装了openssl ,我们希望将现有的包括SSL证书(Verisign)的Web从旧的设置Linux,Apache 2.2.3中移出。 现在,如果我在网上search,我所能find的就是将证书文件复制并粘贴到新的服务器上。 但是当我完成了所有的configuration之后,Apache无法打印错误日志中的任何内容,只有提示“请求操作失败” 。 我试图运行httpd.exe -e debug ,看到它停在Loaded module ssl_module ,这些行打印在error.log中: [Thu Aug 18 18:18:18 2011] [info] Init: Initialized OpenSSL library The system cannot find the path specified. The system cannot find the path specified. The system cannot find the path specified. The system cannot find the path specified. 并从Windows事件查看器: Faulting application […]
所以我创build了一个PKCS7签名的消息,并试图用OpenSSL用以下命令validation它: openssl cms -in demo.p7m -inform DER -verify 这样做会返回以下错误: 140653850015376:error 2E09D08A:CMS routines:CMS_verify:signer certificate not found:cms_smime.c:353: 我不明白这个错误。 这里是openssl asn1parse -in demo.p7m -i -inform DER的输出openssl asn1parse -in demo.p7m -i -inform DER : http://pastebin.com/AgkVbQjS 这里是base64编码的PKCS7: http://pastebin.com/92mMPVw6 X509证书如下: —–BEGIN CERTIFICATE—– MIIB4zCCAU6gAwIBAgIAMAsGCSqGSIb3DQEBBTA5MRwwGgYDVQQKDBNwaHBzZWNsaWIgZGVtbyBj ZXJ0MRkwFwYDVQQDDBB3d3cud2hhdGV2ZXIuY29tMCIYDzIwMTIwNjA0MDMxMDMxWhgPMjAxMzA2 MDQwMzEwMzFaMDkxHDAaBgNVBAoME3BocHNlY2xpYiBkZW1vIGNlcnQxGTAXBgNVBAMMEHd3dy53 aGF0ZXZlci5jb20wgZ0wCwYJKoZIhvcNAQEBA4GNADCBiQKBgQCtYr+TcpSQ043ZZi+akC1LR5Q6 MJPJ6/0MQ7IFPt/SCywaxsdFsNQ40+TOSFNkG68nscyB5nEPDkNzLJ7AklNSRHItqxTwohuW4a+f BfzAi0vXS9IrM2iep13cHE9r5QW9pouRQiYfbi5FegEWbtIc5SrmAxHAH9K3KGRaXEeufwIDAQAB MAsGCSqGSIb3DQEBBQOBgQBYEsMuWBA9ie4ulXxeLhLoQvEo6vgl5LDRFMuP+AhkKzfXUo2yEMWP /QxbSglcPT/ycb+5+FhYGWxGatM5V+sB43ZBHZD14ZWPN35ePmDIfqXdRmphhXuhdNU7DWwp97ZR c26CQXzHurRf29VloV8k5JKwsfnLRPVCrbJySMB6dg== —–END CERTIFICATE—– cert可以很好地parsingopenssl x509 -in cert.txt -text -noout 。 证书是自签名证书。 […]
(最初发布在stackoverflow – 有人build议我放弃这里的问题) 有没有人在升级XAMPP LAMP堆栈的各个块时没有从XAMPP安装升级的经验? 我们有几个生产服务器,需要更新openssl库,但是从XAMPP升级会带我们进入我们还没有testing过的MySQL和PHP的新版本。 否则,我会寻找任何可能决定放弃XAMPP并build立/维护自己的LAMP堆栈的人的智慧。 谢谢
我正尝试通过POP以编程方式从Exchange 2003获取电子邮件。 作为一个概念的certificate,我试图用openssl s_client进行连接。 我已经在Exchange服务器上启动了POP服务。 尝试连接使用 openssl s_client -connect MYEXCHANGESERVER:995 回报 20303:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188: 试 openssl s_client -connect MYEXCHANGESERVER:995 -starttls pop3 回报 CONNECTED(00000003) write:errno=32 [更新]为了回应jj33的build议,netcating(原来telneting)到服务器如下: nc -v MYEXCHANGESERVER 995 回报 Connection to MYEXCHANGESERVER 995 port [tcp/pop3s] succeeded! 然后连接自动closures。 networking到端口110(不安全stream行)返回 +OK Microsoft Exchange Server 2003 POP3 server version 6.5.7638.1 (MYEXCHANGESERVERNAME) ready. 对于我尝试的每一个命令,我都会回来 -ERR Protocol error. […]
对于我的Flex < – > ColdFusion-App,我想切换到SSL。 在ColdFusionpipe理员中,我有以下选项: Lets you use Secure Socket Layer (SSL) encryption for the RMI communication between Flex and ColdFusion. This is not required unless you are transmitting authentication information or confidential data between Flex and ColdFusion over an unsecured network. You must provide a keystore file and keystore password. For instructions on […]
我有一个颠覆服务器,在Apache(在WindowsXP),可以通过networking使用http访问。 我想用ssl / https来访问它。 我还没有搞乱http – > https,并可以login使用http://罚款。 但是,如果我使用https://,login失败,我得到一个“需要validation!” 401错误消息。 我想这是我的服务器(?)的configuration问题,但还没有find解决scheme。 有任何想法吗? 编辑我可以连接并通过https:// localhost确定,但不能通过IP地址通过networkinglogin。 我在创build证书时(通过makecert)放入了IP地址。 conf文件片段(如果需要,我可以添加更多): 的httpd-SSL: `VirtualHost _default_:443> # General setup for the virtual host t DocumentRoot "C:/xampp/htdocs" ServerName localhost:443 ServerAdmin webmaster@localhost ErrorLog "logs/error.log" <IfModule log_config_module> CustomLog "logs/access.log" combined </IfModule> SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL #SSLCertificateFile "conf/ssl.crt/server-dsa.crt" SSLCertificateFile "conf/ssl.crt/server.crt"` httpd.conf摘录: <IfModule ssl_module> SSLRandomSeed startup builtin […]
我试图在CentOS 5.5上安装Ruby 1.9.2。 我经历了大部分make过程,但是当它试图编译OpenSSL时,我得到一个错误。 下面是输出的错误: compiling openssl make[1]: Entering directory `/sources/ruby-1.9.2-p136/ext/openssl' gcc -I. -I../../.ext/include/x86_64-linux -I../.././include -I../.././ext/openssl -DRUBY_EXTCONF_H=\"extconf.h\" -fPIC -O3 -ggdb -Wextra -Wno-unused-parameter -Wno-parentheses -Wpointer-arith -Wwrite-strings -Wno-missing-field-initializers -Wno-long-long -o ossl_x509.o -c ossl_x509.c In file included from ossl.h:201, from ossl_x509.c:11: openssl_missing.h:71: error: conflicting types for 'HMAC_CTX_copy' /usr/include/openssl/hmac.h:102: error: previous declaration of 'HMAC_CTX_copy' was here openssl_missing.h:95: error: conflicting […]