openssl genrsa -out server.key 1024 openssl req -new -key server.key -out lawson.csr openssl ca -out lawson.pem -infiles server.csr 我试图为后缀生成密钥和crt的,但每当我想要做证书颁发机构的一部分,它给了我这个错误: Using configuration from /usr/lib/ssl/openssl.cnf Error opening CA private key ./demoCA/private/cakey.pem 29899:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen('./demoCA/private/cakey.pem','r') 29899:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358: 我试过使用CA.sh -newca,但似乎并没有工作。
我在尝试在Zend Server CE上为OSX设置SSL(https)时遇到了一个奇怪的问题。 目前我正在运行Zend Server 5.5。 $ sudo zendctl.sh version Password: Zend Server version: 5.5.0 我使用以下方法在正确的目录中创build了自签名证书 : $ openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt \ > -days 365 -nodes 我已经在我的httpd.conf中取消了注释 : # Secure (SSL/TLS) connections Include conf/extra/httpd-ssl.conf 我将其添加到我的httpd-vhost.conf文件中 : NameVirtualHost *:80 NameVirtualHost *:443 这些是我的网站虚拟主机conf(我试图使用SSL和端口80请求一个目录) : <VirtualHost *:80> DocumentRoot /usr/local/zend/apache2/htdocs/mydomain.com ServerName mydomain.local AllowEncodedSlashes […]
我们有一个openssl脱机根CA与Windows 2008 R2 AD集成SubCA。 Openssl根CA已发布到ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN使用certutil -dspublish -f root.cer RootCA 一切都可以,除了一件事。 到目前为止,两个客户端(都是XP)出现了没有将根CA证书导入到受信任的企业根证书颁发机构存储中。 在我的工作站上,我得到以下输出: C:\>certutil -store -enterprise root 402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version ================ Certificate 0 ================ Serial Number: f818516373f917e8 Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Signature matches Public Key Root Certificate: Subject matches […]
我有一个运行openldap的Debian 6.0.5服务器。 它似乎是针对gnutls编译的。 我使用gnutls的certtool来生成一个自签名证书,我已经在一些debian客户端机器上使用它来对openldap服务器进行身份validation。 但是,当我尝试在CentOS 6客户端上执行相同的操作时,出现以下ldapsearch错误: ldap_initialize( <DEFAULT> ) ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8101:Certificate type not approved for application. ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 如果我在CentOS客户端上运行gnutls-cli-debug,我得到以下结果: gnutls-cli-debug -p 636 ldap.blahblah.com Resolving 'ldap.blahblah.com'… Connecting to '10.6.0.11:636'… Error in %INITIAL_SAFE_RENEGOTIATION Checking for Safe renegotiation support… 就这样 – 它死了。 有没有人能够在这种types的设置ldaps,gnutls链接的服务器,gnutls生成的证书,openssl链接的客户端? 谢谢!
对于内部使用的基于Web的软件,必须从任何地方都可用,我已经创build了客户端证书,这些证书安装在授权用户的浏览器中。 现在,2012年结束,全部到期,需要更新。 我已经发放了PKCS#12证书(.p12) 在这里我的问题 是否有可能延长客户端证书的生命周期? 我是否必须在所有客户端上重新安装证书,或者是否有其他方式(例如,从服务器集中到某种更新机制)? 如何在Linux上使用openssl更新/重新生成客户端证书? 因为这可能是有趣的,这里是我如何创build浏览器证书 # client private key openssl genrsa -des3 -out client.key 1024 # generate certificate signing request openssl req -new -key client.key -out client.csr # create certificate, sign with server key openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt # export into […]
我想使用openssl命令自动执行以下过程: 打开浏览器,转到https://www.google.com 检查ssl证书 以DER格式本地导出 我一直在沿着下面的命令行(这里用python包装): local(“echo -n | openssl s_client -connect google.com:443 -certform DER | sed -ne'/ -BEGIN CERTIFICATE – /,/ – END CERTIFICATE- / p'> /tmp/google.com.der”) 但它不能给我我所期望的。
我正在使用以下命令在Ubuntu 10.04盒子上encryption一个tar文件(使用tar cfz创build): openssl enc -aes-256-cbc -salt -in myfile.tar -out myfile.enc.tar -pass pass:${P} 现在我将encryption文件复制到另一台机器,并使用以下命令对其进行解密: openssl enc -d -aes-256-cbc -in myfile.enc.tar -out myfile.tar -pass pass:${P} 但是我无法打开解密的arhchive文件myfile.tar 。 我在这里做错了什么,或者这是不可能的? 编辑: 现在工作,我想我在解密过程中遗漏了一个参数( – -salt ) openssl enc -d -aes-256-cbc -salt
我在ubuntu上用imapd-ssl设置了快递。 一切工作正常:ssl证书validation(在Ubuntu /雷鸟和Mac /邮件)和login工程,也是如此。 唯一的问题是握手总是需要半分钟。 如果我做 openssl s_client -showcerts -connect myserver:993 我得到“连接(00000003)”,然后挂起半分钟 命令和直到我收到mail.log之间的时间: myserver imapd-ssl: Connection, ip=[::ffff:89.136.227.107] 在服务器上的日志总是在29到32秒之间。 任何想法可能会导致什么? Postifx,HTTPS似乎快速响应。 更新:我试图从酒店连接,似乎工作正常。 所以我的猜测是,这是我的家庭路由器或服务器的firwall(ufw / iptables)防火墙的问题。 我曾经在某个地方看过,当这两个系统中的任何一个有防火墙时,信使似乎花了很多时间来login/authentication。 有些人( http://de.comm.software.mailserver.narkive.com/GIvIajz6/courier-imap-sehr-langsam-mit-iptables )build议在iptables设置时发生快递。 然而,禁用他们在我的情况并没有伎俩..
我正在尝试创build自己的SSL层次结构,如下所示: MyRootCA –MyIntermediateCA —- MyCert 我已经安装了MyRootCA和MyIntermediateCA,但是Windows指出MyIntermediateCA没有颁发证书的权利。 因此它使MyCert无效。 我使用mod_ssl包中的sign.sh,它使用openssl ca命令。 我想知道是否有任何参数/选项授予MyIntermediateCA发行子证书的权利?
我试图找出我的Apache mod_sslconfiguration将接受客户端连接的minimum key/cipher bit length 。 我运行openssl ciphers -v并查看所有长度的密码(40,56等)。 如何find或configurationApache将接受的最小长度密钥? 换句话说,如果一个客户端请求一个长度为40位的密码连接,我怎样才能指定连接应该被拒绝,因为它是< 64 ?