我试图encryption我们的磁带备份,使用tar和openssl,但也写入到本地文件,到目前为止,我有: tar –total -czp ./tmp ./home | tee /tmp/Archive.tar.gz | tee > /dev/nst0 我不知道这是否是正确的tee恤,但它的作品,因为 tar -tzvf /dev/nst0 和 tar -tzvf /tmp/Archive.tar.gz 给出正确的结果。 但是,如果我尝试使用openssl添加encryption: tar –total -czp ./tmp ./home | openssl aes-256-cbc -e -salt -pass file:/encrp_file | tee /tmp/Archive.tar.gz | tee > /dev/nst0 我得到: tee: standard output: Invalid argument tee: write error 我认为在openssl的输出中有一些东西在写入磁带时会造成问题,因为文件是正确创build的,如果将输出删除并发送到磁带,也可以正常工作。 有什么build议么?
我正在尝试调整vsftpd以达到我用法的最大性能: 我只有一个或两个连接到服务器的客户端。 文件大小在〜15MB和1GB之间。 典型的传输批次代表1到2GB的数据。 出于testing目的,我使用单个1GB文件在两侧使用了tmpfs(从而消除了任何磁盘瓶颈)。 当禁用SSL时,性能很好,传输速率为〜120MB / s(达到千兆networking的限制)。 只有控制stream量(而不是数据stream量)启用SSL,性能下降大约112MB / s,这仍然在可接受的范围内。 但是,对于数据stream启用SSL时,传输速度急剧下降: 6.7MB / s使用3DES&SHA( ssl_ciphers=DES-CBC3-SHA ) 16MB / s使用DES和SHA( ssl_ciphers=DES-CBC-SHA ) 我没有testing其他密码,但是从传输过程中的CPU使用情况可以看出,vsftpd似乎只使用每个客户端的一个CPU /核心。 虽然这可以适用于数百个客户端的大型ftp站点,但是我想避免这种行为,并在服务器上使用更多的资源。 在一个侧面说明,如果你有任何其他openssl密码的想法…
我试图在HAProxy之前实现Stud作为SSL终止点,作为WebSockets路由的概念validation。 我的域名注册商Gandi.net提供免费的1年SSL证书。 通过OpenSSL,我生成了一个CSR,它给了我两个文件: domain.key domain.csr 我把domain.csr给了我的信任的权威,他们给了我两个文件: domain.cert GandiStandardSSLCA.pem(我认为这被称为中介证书?) 这是我遇到的摩擦的地方:使用OpenSSL的Stud,期望在“pem-file”中有一个“rsa私钥” – 它被描述为“SSL x509 certificate file。REQUIRED”。 如果我将domain.key添加到Stud的Pem-file底部,Stud将开始,但是我收到浏览器警告“证书是自签名的”。 如果我省略了domain.key,Stud不会启动,并抛出一个由OpenSSL函数触发的错误,这个错误是为了确定我的“pem-file”是否包含“RSA私钥”。 在这一点上,我不能确定问题是: 免费的SSL证书将永远是自签名的,并将永远导致浏览器提出警告 我只是没有正确使用梭哈 我使用了错误的“RSA私钥” CA域证书,中间证书和私钥的顺序是错误的。
我需要从证书颁发机构提取crl位置,以便在validation证书时使用它。 这可能使用openssl实用程序,而不是使用-text选项,并尝试parsing输出(这似乎容易发生漏洞)?
我已经(或正在)从OpenSuse 12.1迁移到Ubuntu 12.04.1 LTS – 我没有问题在我们的OpenSUSE盒子上从源代码编译Apache。但是,我遇到了Ubuntu 12.04.1 LTS的问题。 我已经安装了openssl,libssl-dev,当我尝试编译Apache时,我收到以下内容: 检查SSL / TLS工具包基础… / usr 检查SSL / TLS工具包版本… OpenSSL 1.0.1 2012年3月14日 检查SSL / TLS工具包包括… / usr / include 检查SSL / TLS工具箱库…configuration:错误:未findOpenSSL库 我试图使用–with-ssl = / usr / include / openssl,但是这也不起作用。 我是否也需要从源代码编译SSL(我不需要在我们的SUSE框上执行此操作)。 谢谢。 注意:由于各种商业原因,我需要编译Apache,使用apt-get apache2不是我的select。 编辑:我有libssl.so.1.0.0在/ lib / x86_64-linux-gnu和configuration选项–libdir = / lib / x86_64-linux-gnu
当我们的系统被安全扫描时,它会产生弱密码错误,并指出他们使用SSLv2进行通信的事实。 我们的想法是禁用SSLv2系统范围,而不是每个应用程序,因为有大约20个左右的违规端口,并追查什么应用程序在哪个端口上可能是一个耗时的过程。 我们添加了registry项: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server ,并将DWORD值设置为0 这似乎阻止了一些应用程序使用SSLv2作为端口443而不是其他任何端口,例如SPLUNK 8089 。 此外,用于LDAP的端口636和3269根本不使用SSLv2,而是TLS,仍然是安全发现。 这是设置一个系统范围的设置,还是只对Windows服务有影响? 如果我们强迫应用程序使用SSLv3,我们应该能够通过弱密码。 有任何想法吗?
我一直在研究一个打算用来创build自己的PKI的openSSL.cnf文件。 我还没有完成那个文件的工作,但是我还得做其他的事情。 所以我把它写入磁盘未完成,分离我的屏幕会话,并注销。 从那以后,我无法使用带有私钥的SSH(这是访问机器的唯一方式)login到计算机。 如果我运行ssh -vvv example.com ,我得到以下内容 OpenSSH_4.6p1, OpenSSL 0.9.8e 23 Feb 2007 debug2: ssh_connect: needpriv 0 debug1: Connecting to example.com [1.2.3.4] port 22. debug1: Connection established. debug1: identity file /c/Users/user/.ssh/identity type -1 debug3: Not a RSA1 key file /c/Users/user/.ssh/id_rsa. debug2: key_type_from_name: unknown key type '—–BEGIN' debug3: key_read: missing keytype debug2: key_type_from_name: unknown key […]
我试图从我创build的本地CA两台机器上(局域网)configurationSSL,并用s_client进行testing时遇到问题,我似乎无法find有用的信息瓦特/我的谷歌技能。 我试图熟悉信息安全,似乎是一个很好的开始。 我的情况是 host1:Ubuntu 12.04,tomcat7 host2:Ubuntu 12.04,tomcat7 在两台主机上都configuration了tomcat w / ssl,并且可以从任一台机器到达tomcat主页@ https:// {host}:8443。 我configuration了连接器w /我的keystore&通过,我相信tomcat很高兴的参数,因为我有tomcat启动错误不能提取私钥,但已解决。 这是我做的 // create tomcat server keystore 1. sudo keytool -genkey -alias tomcat7 -keyalg rsa -keystore /etc/tomcat7/keystore/host1.jks 2. openssl genrsa -aes256 -out host1_key.pem 2048 3. openssl req -new -key host1_key.pem -out host1.csr 4. openssl x509 -req -days 3650 -in host1.csr -CA […]
我有一个从Windows Server 2008导出的.pfx文件。它包含私钥和证书链。 使用openssl我已经能够提取私钥和公共证书,但是我也需要完整的证书权限链。 这部分如何被提取? 目的是将证书移至AWS EC2负载均衡器。 目前为止,我只能使用Chrome导出链式证书。
我创build了自己的CA证书,并为*.domain.com创build了通配符ssl证书。 但是我们使用了很多abc.xyz.domain.comforms的子域名,而且我似乎无法创build一个通配符来处理这个问题。 *.domain.com .domain.com在abc.xyz.domain.com上失败,并为*.*.domain.com创build通配符似乎不起作用。 有没有办法做到这一点,或者我需要为每个子域创build一个通配符?