Articles of openssl

在Debian 8.4（带有ca-certificates包）中，openssl似乎并不知道validation与“GTE Cyber​​Trust”和“Baltimore Cyber​​Trust”签署的Akamai连接所需的CA. GTE Cyber​​Trust证书已从Debian中删除，但第二个证书仍存在于/etc/ssl/certs/Baltimore_CyberTrust_Root.pem 。 $ curl https://us12.api.mailchimp.com curl: (60) SSL certificate problem: unable to get local issuer certificate 我需要configuration什么才能安全地连接到系统范围的这些主机？ （也就是说，不仅仅是通过覆盖那个curl命令的CA，而是为了默认使用openssl的所有东西）。 从openssl客户端转储： # openssl s_client -showcerts -connect us12.api.mailchimp.com:443 CONNECTED(00000003) depth=2 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root verify error:num=20:unable to get local issuer certificate verify return:0 […]

在Debian Jessie上，我通过apt-get安装了nginx。 现在我想升级到最新的nginx来利用http2。 我无法将其添加到source.list文件，因为它是一个树莓派。 我下载，编译没有问题，但它安装在不同的位置。 现在，当我nginx -v我得到1.6.3，但如果我/usr/local/sbin/nginx -v我得到1.11.2。 我可以在configuration期间设置安装path，我不知道这是我想要做的。 我想安装1.6的顶部1.11而不是所有的我的网站文件和configuration。 如何从源代码升级nginx并保持我所有的旧configuration？

我知道我可以像这样用OpenSSL打印一个站点的证书： openssl s_client -showcerts -connect sni.velox.ch:443 但是在一些网站上，因为他们依赖于SNI，所以不起作用。 有没有办法通过openssl发送SNI请求？

首先，我能够成功地为我的域名在Ubuntu 14.0.4服务器上设置一个letsencrypt证书，通过validation我可以通过https访问我的域名，并确认我确实拥有正确的文件，我确认了一切正常。 /etc/letsencrypt/live/domain.tld/ 我在服务器上运行了一个Xeams邮件服务器，我一直在按照指南中的步骤find它。 首先，我必须使用以下命令将由LetsEncrypt生成的证书文件从.pem为.crt ： openssl x509 -outform der -in my-cert.pem -out my-cert.crt 哪些工作正常，并成功地转换文件，但我有指导的问题是，它假定我还没有一个ssl证书，情况并非如此。 当我已经拥有Letsencrypt的证书时，我认为我不应该再次生成CSR代码。 要清楚的是，这些是我的域名所拥有的证书文件。 cert.pem chain.pem privkey.pem fullchain.pem 但在指南中，它要求我生成CSR代码，而不是，我已经跳过了生成一个CSR的部分，我必须将证书添加到密钥库，但它不是很直截了当，我应该做的，导致文件在指南中与我从Letsencrypt获得的内容不相关。 当我尝试遵循指南的其余部分，并testing我的服务器接受安全IMAP端口995上的连接时，我的服务器返回一个自签名证书，而不是来自CA的证书。 我用openssl来testing安全的IMAP端口995 openssl s_client -connect localhost:995 我也证实了Letsencrypt支持SSL电子邮件协议和Java，所以必须有一些我没有得到正确的。 我一直无法弄清楚如何将我的证书添加到密钥库。

我试图从Ubuntu 16.04使用openssl连接到smtp.googlemail.com，我可以login并发送没有任何问题的电子邮件，但从Centos5我得到这个： /usr/local/ssl/bin/openssl s_client -starttls smtp -connect smtp.googlemail.com:587 -crlf -ign_eof CONNECTED(00000003) depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA verify error:num=20:unable to get local issuer certificate — Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.googlemail.com i:/C=US/O=Google Inc/CN=Google Internet Authority G2 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2 i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 2 s:/C=US/O=GeoTrust […]

运行openssl s_client命令连接到远程主机后。 以下输出显示在terminal上。 有人可以帮助我了解在这个日志中的start time 。 它代表什么，它是什么格式？ 我相信它应该是挂钟时间和微秒。 但是我一直没有find与之相关的文档。 — SSL handshake has read 3876 bytes and written 319 bytes — New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: 3F4EE3992B46727BE2C7C3E76A9A6A8D64D66EE843CB1BB17A76AE2E030C7161 Session-ID-ctx: Master-Key: 016209E50432EFE2359DB73AB527AF718152BFE6F88215A9CE40604E8FF2E2A3AC97A175F46DF737596866A8BC8E3F7F Key-Arg : None […]

我试图扫描一个端点，看看它正在运行的TLS版本，我看到nmap扫描和openssl扫描之间的一些差异。 扫描同一个主机我只能从nmap（7.40）看到TLSv1.0，而且我可以看到TLSv1.2和openssl（1.0.1e）。 我也使用Qualys SSL Labs扫描相同的主机，它似乎也得到了TLSv1.2。 所以我想知道为什么nmap只显示TLSv1.0？ （扫描结果如下） nmap扫描： localhost:~ localuser$ nmap -sV –script ssl-enum-ciphers -p 443 example.com Starting Nmap 7.40 ( https://nmap.org ) at 2017-02-11 13:13 PST Nmap scan report for example.com (###.###.###.###) Host is up (0.016s latency). PORT STATE SERVICE VERSION 443/tcp open ssl/http Apache Tomcat/Coyote JSP engine 1.1 |_http-server-header: Apache-Coyote/1.1 | ssl-enum-ciphers: | […]

我需要对公司的某项服务进行风险分析。 为此，我需要对SSL密码套件进行比较，以及它们多久用来重新评估对旧密码或弱密码的需求。 是否有可能以任何方式监视/输出OpenSSL使用的密码套件？ 目标是我可以举例说： TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384用于123456个连接的1234个连接 在123456的12个连接中使用SSLv3 SSL_RSA_WITH_RC4_128_SHA

我在ubuntu的nginx服务器上创build了一个自签名证书，如下所示： sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt 用css打开ssl来隐藏crt： openssl x509 -in nginx-selfsigned.crt -out nginx-selfsigned.pem -outform PEM 当我在debian中使用keytool导入这个证书时，导入过程是成功的： sudo keytool -importcert -keystore /certs -storepass changeit -file nginx-selfsigned.pem -alias some alias 但之后，证书不被信任。 为什么导入证书不被信任？ 任何有关这个问题的build议，将不胜感激。

CentOS 7.2 Nginx 1.13.0 PHP 7.1.4 我的错误日志有很多下面的行 2017/05/16 06:32:05 [info] 18838#18838: *10061 client closed connection while SSL handshaking, client: 120.188.122.190, server: 0.0.0.0:443 这个日志的含义究竟是什么？ 谢谢