我负责组织的证书计划,我正在努力遵守Google Chrome针对RFC2818(服务器证书中“主题备用名称”的要求)强制执行的新要求。 在我的尝试中,我使用EasyRSA (使用OpenSSL )来生成我的根CA和我的服务器和用户证书。 我成功生成了在Windows MMC中完全有效的客户端证书,但是Chrome在访问我们的网站(configuration为需要证书)时提示input客户端证书时, 这些是工作的旧证书的属性(显示在Chrome提示符窗口中),其在MMC列表视图中显示的预期用途是<全部>: This certificate is intended for the following purpose(s): * All application policies Version: V3 Serial number: a1 ed … Signature algorithm: sha1RSA Signature hash algorithm: sha1 Issuer: MyOrganization Valid from: Sunday, June 23, 2013 3:35:55 PM Valid to: Sunday, January 01, 2040 2:59:59 AM Subject: My Name, […]
在我的系统之一,我不时可以看到错误消息,如: TLS: SSL_read() failed: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init 什么可能导致这些错误?
除了后面的post,Dovecot在从DB读取公钥时遇到了问题: Error: scrambler_pem_read_public_key: 139640300201616:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: PUBLIC KEY 按键格式似乎有问题,即使按照这个post在pem中被格式化。 我尝试了不同的列数据types(blob,text),并以这种方式将关键字插入到表user_keys中,但是没有解决问题: insert into user_keys (uid, enabled_encryp, public_key, private_key, private_key_salt) values (1, true,'—–BEGIN PUBLIC KEY—– mQENBFkdy48BCAC9FsBgeLEmkmr5UZcS/bnrQpAcewatETpkE3IAQFxu1lhErmtu nyioZ8Oa1e+Xc6KIGk690vMbEmApifIi2FIlnDkVh3Wh1mP3he6HGRs7BgLfl9fc m6QSvjuosmWGMyZ1LiuPtoulXDiHolwGUcLPr5YifazjwdB0pPeFUnpo6kbw4XdF … fBiRS4dBoKz1Jwp5EvGbM3oh9RtDz6qK69cHZ0nKy9ErYjHS0Kw/fKFaou2T3P71 sFuvxOHojGhmxQQRw2ZSOfRgLaG1lpohAF0KNlIsGV5WQSU —–END PUBLIC KEY—–','—–BEGIN PRIVATE KEY—– lQO+BFkdy48BCAC9FsBgeLEmkmr5UZcS/bnrQpAcewatETpkE3IAQFxu1lhErmtu nyioZ8Oa1e+Xc6KIGk690vMbEmApifIi2FIlnDkVh3Wh1mP3he6HGRs7BgLfl9fc m6QSvjuosmWGMyZ1LiuPtoulXDiHolwGUcLPr5YifazjwdB0pPeFUnpo6kbw4XdF … mzN6IfUbQ8+qiuvXB2dJysvRK2Ix0tCsP3yhWqLtk9z+9bBbr8Th6IxoZsUEEcNm Ujn0YC2htZaaIQBdCjZSLBleVkEl —–END PRIVATE KEY—–', 'wZDlM/BRQwCnOVcA'); 任何帮助,欢迎!
我目前正在安装ELK(ElastricSearch,LogStash&Kibana)堆栈。 我的ELK服务器IP地址是172.29.225.32 。 弹性searchconfiguration是:: # ———————————- Network ———————————– # # Set the bind address to a specific IP (IPv4 or IPv6): # network.host: 172.29.225.32 # # Set a custom port for HTTP: # http.port: 9200 然后我生成了我的SSLconfiguration。 我正在使用基于IP的连接: vim /etc/pki/tls/openssl.cnf “` [ v3_ca ] subjectAltName = IP:172.29.225.32 “` 然后我产生了我的证书。 openssl req -config /etc/pki/tls/openssl.cnf -x509 -days 3650 […]
当我使用openSSL和一个configuration文件来签署一个中间证书时,我总是得到相同的错误。 错误是: 140736005481480:error:02001002:system library:fopen:No such file or directory:bss_file.c:175:fopen('/Volumes/Project – Encrypted/Security/root/ca/index.txt.attr','rb') 140736005481480:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:182: 140736005481480:error:0E078072:configuration file routines:DEF_LOAD:no such file:conf_def.c:195: 140736005481480:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:324:group=CA_default name=email_in_dn 我明白关于该文件没有被发现的第一个错误,但我不明白的是为什么它所寻找的文件不是我在configuration中定义的文件。 这是我在configuration中: database = $dir/index.txt # database index file. 我使用的命令是sudo openssl ca -config openssl.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -keyfile private/ca.key.pem -cert certs/ca.cert.pem -in intermediate/csr/intermediate.csr.pem -out intermediate/certs/intermediate.cert.pem 有谁明白是什么原因导致这些错误,以及如何解决?
我正在寻找一种方法来从X509证书(或csr)恢复opensslconfiguration。 我知道有可能查看证书并手动重新构buildconfiguration文件,但这是不可靠的,需要太多人工:P。 有什么build议么?
我有以下几点: OpenSSL生成的自签名内部CA证书 OpenSSL生成的内部CA签名的通配符证书 这个证书保护我们的内部网站。 例如“myservice.corp.example.com” 在本例中,通配符证书具有以下注意字段: CN =“. corp.example.com”DNS =“. abc.corp.example.com”DNS =“* .xyz.corp.example.com” (即最后两个是SAN) 为了使CA链可以被OS接受,我在工作站上安装了CA证书。 这在macOS上正常工作。 “好”==“浏览器中的绿色网站是安全的图标”。 我在站点范围内的keychain中安装CA证书,并将Trust设置为“Always Trust” 但是,在Windows 10上,我通过证书pipe理单元(或通过右键单击证书 – >安装)来安装CA证书。 无论我做什么,我都会在证书中得到以下错误通知: 证书 – >一般 – >“证书的完整性不能保证,证书可能被破坏或者可能被修改。 证书 – >证书path – >证书状态 – >“这个证书有一个无效的数字签名” 最后,RSA密钥是2048位,CA证书和自签证书上的签名algorithm都是sha256 我search了网页,但是找不到可以帮助我的任何解决scheme,但看起来可能是下列之一: 发行人和主题不能匹配。 或者必须匹配? 不确定。 (他们匹配我的CA证书) 最小密钥长度不满意。 (虽然我们正在使用2048位) 别的东西? 我的问题是我甚至不知道如何在Windows上解决这个问题。 我是一个Linuxpipe理员。 因此,请求故障排除步骤和可能的解决
我正在尝试开发一个sslchecker.com模拟器用于testing目的。 我想了解一些时刻: 在结果中,我们可以看到“解决”和“主机名”。 是“解决”一个域名,证书签名? 什么是“主机名”在这种情况下? 这不是一个forms的价值,因为我总是看到“不匹配”。 应该在那里? 我可以如何使用openssl的PHP函数或在terminal中使用纯openssl进行检测: 3.1“解决”(到它签署的域名) 3.2“hostname”(基于2个问题是什么) 3.3“供应商签署”(是或否)是 – 如果我们有“由…颁发”的值)? 3.4 PHP的openssl函数给我链没有最后的根证书,为什么? 我如何才能拿到根证书? 3.5如何使用SSL协议连接到链中的一个证书? 我应该使用什么域和端口,我怎么能检测到它,这有可能吗? 3.6我如何检查连锁证书的域名,并确认连锁证书对这个域名有效? 对不起,如果因为我英文不好或SSL理解不好而提出的问题不正确。 另外,我可以读什么? 也许你可以推荐一些video或简短的文章,而不是维基?
使用Apache 2.4。 我们有两个有效的CA证书,其唯一名称只有一个字符(比如dn:cn = MyCA,O = myOrg,CA2,dn:cn = MyCA,O = MyOrg)。 这两个证书都位于由SSLCACertificateFile Apache指令引用的文件中,因为我们需要对两个CA签名的客户端证书进行身份validation。 这不会发生:只有具有由CA1或CA2签名的客户端证书的浏览器才能访问,具体取决于文件中CA证书的顺序。 因此,如果只有来自CA1的客户端能够validation自己,那么在切换SSLCACertificateFile中的顺序并重新加载Apache之后,只有来自CA2的客户端才能够进行身份validation。 如果我们通过openssl s_client -connect <server>:<port> -prexit执行SSL握手,我们注意到只有一个CA专有名称在接受的CA列表中发送,并且发送的dn取决于命令其中CA证书在SSLCACertificateFile中。 这是有道理的,因为两个专有名称的Openssl计算出的散列是相同的,因为专有名称不应区分大小写。 但是,似乎浏览器执行区分大小写的匹配,相反,如Apache日志中所示,安装在浏览器中的证书在“广告CA”为CA1且客户端证书由CA2签名时不发送,反之亦然。 我们在Windows和Linux上使用Firefox,在Windows上使用Internet Explorer和Chrome。 否则,curl命令行浏览器没有这个问题,当我们调用带有客户端证书和密钥的PEM格式的https URL时。
是否可以从Lighttpd中提取TLS会话密钥,以便我们能够解密由tcpdump捕获的stream量? 或者,我们可以禁用PFS,但我们不希望这样做。