在干净的香草Fedora 21上使用curl来检索通过cloudflare https服务托pipe的网站会产生错误: curl https://www.opencpu.org >> curl: (35) Cannot communicate securely with peer: no common encryption algorithm(s). 也: curl https://www.cloudflare.org >> curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate. 这个问题只出现在Fedora上,而不是在运行相同版本curl的Ubuntu或Mac上。 我想它必须和nns有关: curl –version >> curl 7.37.0 (x86_64-redhat-linux-gnu) libcurl/7.37.0 NSS/3.17.3 Basic ECC zlib/1.2.8 libidn/1.28 libssh2/1.4.3 certutil -L […]
如何禁用stunnel4中的安全客户端启动的重新协商? 我在Ubuntu 14.04上使用版本stunnel 4.53-1.1ubuntu1,使用OpenSSL 1.0.1f使用OpenSSL 1.0.1f,使用OpenSSL 1.0.1e在Debian Wheezy上使用strenel 4.53-1.1。 stunnel文档列出了一个选项: 重新协商=是| 没有 支持SSL重新协商 但不幸的是,这导致了以下错误: 第70行:“renegotiation = no”:指定的选项名称在此处无效 但是这个选项在哪里有效? 我尝试了单一的服务(无论如何没有任何意义),但也没有效果。 文档不是很详细,关于这一点,我找不到任何有关search引擎的信息。 有没有人有线索,如何得到这个权利? 我使用了下面的最小configuration: pid=/stunnel4.pid debug = 5 output = /var/log/stunnel4/stunnel.log cert = /etc/ssl/certs/ssl-cert-snakeoil.pem key = /etc/ssl/private/ssl-cert-snakeoil.key renegotiation = no [https] accept = 443 connect = localhost:8000 这些testing表明,重新协商是支持的: Qualys的ssltest显示: 安全客户端启动的重新协商:支持的DoS危险(更多信息) 用openssl手动执行,也证实: $ openssl s_client -connect localhost:443 CONNECTED(00000003) […]
我知道这个问题之前已经被问过了,我已经经历了无数的线程在这里(以及谷歌)尝试所有这些。 不幸的是,我想我和其他人有一个无关的问题。 我在CentOSnetworking服务器上有一个CRT和KEY文件。 这工作正常。 我们希望将其用于Exchange 2013的Windows 2008 R2标准服务器上。 我已经validation了我的密钥文件签出: # openssl rsa -text -in mydomain.key Private-Key: (4096 bit) 我试图把它转换成PFX: # openssl pkcs12 -export -out mydomain.pfx -inkey mydomain.key -in mydomain.crt 转换后,我甚至可以testingPFX文件,以确保它包含一个私钥: # openssl pkcs12 -in exchange.pfx -nodes Enter Import Password: MAC verified OK Bag Attributes localKeyID: 63 04 21 C5 D8 02 0E E2 A9 A7 […]
我正在Apache上运行Tomcat 7 ,并使用Openssl进行安全http。 我的根目录是docs: DocumentRoot "D:/Apache Group/Apache2/docs" 里面的docs我有文件夹upload ,我通过我的Tomcat应用程序上传所有的文件。 升级到Apache 2.4后,我无法再上传大文件。 不过,我可以上传.txt,.xml和.csv文件。 作为一个testing,我拿了一个.txt文件,并将其大小调整为6.〜KB,并且无法上传,但是使其5.53KB工作。 所以这是文件大小的问题。 error.log中 [Thu Apr 02 11:23:02.520000 2015] [ssl:debug] [pid 3272:tid 2392] ssl_engine_kernel.c(236): [client 192.111.4.55:64326] AH02034: Subsequent (No.9) HTTPS request received for child 249 (server myserver.com:443), referer: https://myserver.com/da8/jsp/Upload.jsp?Id=85&clear=true [Thu Apr 02 11:23:02.520000 2015] [authz_core:debug] [pid 3272:tid 2392] mod_authz_core.c(834): [client 192.111.4.55:64326] AH01628: authorization result: […]
我正在运行一个10.04LTE服务器,我想升级openssl的Apache。 所以我下载了openssl 1.0.2c和apache 2.2.29并编译了。 服务器正在启动,但正在使用旧的ssl版本: curl –head http://localhost HTTP/1.1 200 OK Date: Mon, 22 Jun 2015 06:00:06 GMT Server: Apache/2.2.29 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8k Last-Modified: Sun, 18 Mar 2012 19:56:07 GMT 但是,Openssl安装在新版本中: /usr/local/ssl/bin/openssl version OpenSSL 1.0.2c 12 Jun 2015 原始版本保留在原位: openssl version OpenSSL 0.9.8k 25 Mar 2009 我编译了Apache: ./configure –with-included-apr –prefix=/usr/local/apache2 –enable-so –enable-rewrite –with-ssl=/usr/local/ssl –enable-ssl=shared –enable-deflate […]
按照这些说明从Comodo安装SSL证书后,我发现apache将不再启动。 这是我的configuration: <VirtualHost *:80> ServerName latimer.io ServerAlias *.latimer.io ServerAdmin webmaster@localhost DocumentRoot /var/www/latimer.io/html # RewriteEngine On # RewriteCond %{HTTPS} off # RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} </VirtualHost> <VirtualHost *:443> ServerName latimer.io ServerAlias *.latimer.io ServerAdmin webmaster@localhost DocumentRoot /var/www/latimer.io/html SSLEngine On SSLCertificateKeyFile /etc/ssl/server.key.secure SSLCertificateFile /etc/ssl/latimer_io.crt SSLCertificateChainFile /etc/ssl/latimer_io.ca-bundle ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost> Apache错误日志给出以下(不是很有帮助的)错误: [ssl:emerg] [pid 30910] AH02240: Server should […]
我想要一个脚本来检查我的服务器的证书。 这里有很好的答案,如何得到openssl s_client或gnutls-cli ,这工作正常….但不是如果你是在代理背后! 卫生署! 我没有发现可以告诉这些工具使用代理。 几个星期前(十五年后)Openssl似乎已经添加了-proxy选项,但是我不能使用这个版本,因为它在我的环境中还不可用。 我也不能安装像proxytunnel (我真的很喜欢)一些奇特的非标准隧道软件。 那么有什么办法从Web服务器下载远程证书与任何标准的工具,如curl , wget , openssl等?
我已经使用openssl生成了一个自签名证书 – 它完全是自签名的,而不是由自签名的CA签名。 我已经成功地将它导入到nss数据库供浏览器使用。 我现在想要在全球范围内信任它,所以wget,curl等工具不要唠叨。 按照别处的说明,我将我的证书复制到/ etc / pki / ca-trust / source / anchors /,然后运行“update-ca-trust extract”。 不幸的是,这似乎只适用于CA证书,而不是单一的证书。 我怎样才能达到我所追求的目标? 我知道我可以生成一个自签名的CA,并签署我的证书,但我有理由不这样做。 我生成这样的证书: openssl genrsa -out server.key 4096 openssl req -new -key server.key -out server.crt openssl x509 -sha256 -req -extensions v3_req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile /etc/pki/tls/openssl.cnf 任何帮助将不胜感激!
问题: 当我使用用于HTTPSnetworking服务器的证书签署消息时,OpenSSL不想validation它。 签署消息: 回声“TestMessage”| openssl smime \ -标志 \ -inkey server-key.pem \ -signer server-crt.pem \ -certfile server-crt.pem \ -noattr -nodetach \ -outform DER \ -out signedmessage.dat validation消息: openssl smime \ validation\ -in signedmessage.dat \ -inform DER \ -signer server-crt.pem \ -CAfile ca-crt.pem \ validation失败 34379118248:错误:21075075:PKCS7例程:PKCS7_verify:证书validation错误:/ usr / src / secure / lib / libcrypto /../../../ […]
我下载了TurnKey Linux OpenLDAP虚拟机实例。 它现在运行在一个虚拟机。 我正在使用这个通过networking进行用户帐户authentication。 客户端机器是股票CentOS 7机器。 这两台机器上的所有内容都由OpenLDAP和OpenSSL实现。 所有服务器端AFAIK的configuration似乎都没问题(这是TurnKey Linux发行版的整个概念)。 我可以通过networking访问它的networkingpipe理界面,除了我无法从客户端机器进行身份validation之外,一切似乎都很好。 我相信我已经在客户端机器上正确设置了一切,除了一个事实:客户端上的SSL细节设置不正确,而且我不太了解这方面的知识。 我想用我自己的authentication和我自己的权威 试图从客户端机器su username使shell挂起几秒钟(就好像它正在等待的东西)。 然后,用户authentication失败,而不是立即退出,当我input一个无意义的用户。 经过调查,我发现我的系统日志中有以下条目: Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> ldap_start_tls_s() failed (uri=ldap://192.168.254.104): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> failed to bind to LDAP […]