我为*.my.example.com获得了*.my.example.com通配符SSL证书。 现在我想用我的邮件服务器(主机名: test.my.example.com )。 我编辑了/etc/postfix/postfix_default.pem ,并在这个文件中包含了key,cert和ca。 不幸的是,SSL检查失败,错误 未知的权威 要么 证书无效:无法获得本地签发人证书 我有什么需要改变我的configuration?
我正在使用由Go Daddy发布的SSL证书。 在我的Linux实例以下是软件的详细信息: Apache版本 – Apache / 2.4.16(亚马逊) OpenSSL版本 – OpenSSL 1.0.1k-fips 2015年1月8日 mod_ssl版本 – mod_ssl-2.4.2 注意: – 我从RPM软件包安装了Apache,后来我从rpm软件包安装了mod_ssl和openssl。 1)问题是,当我禁用SSLv3和testingSSL服务器从https://www.ssllabs.com/ssltest/它给我警告“这个服务器不支持TLSv1.2是最好的” ,当我启用TLSv1 .2协议相同的testing警告我有关“此服务器支持SSLv3协议,易受Poodle攻击”如何禁用SSLv3并在服务器上同时启用TLSv1.2? 我的有关SSL的Vhost文件的当前configuration是: SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on 2)我不能创build一个强大的Diffie-Hellman组。 当前是1024位的Diffie-Hellman组,并且希望为该站点创build2048位组。 我发出这个命令来生成2048位密钥: openssl dhparam -out dhparams.pem 2048 而我在VHost的configuration是: SSLOpenSSLConfCmd DHParameters /etc/httpd/dhparams.pem 当我重新启动服务器错误消息popup: Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not […]
CloudFlare 关于debugging,testing和使用HTTP / 2的工具的博客文章提到了这种方法来找出给定服务器支持哪些协议: $ openssl s_client -connect www.cloudflare.com:443 -nextprotoneg '' CONNECTED(00000003) Protocols advertised by server: h2, spdy/3.1, http/1.1 这种方法似乎对我testing过的很多领域都很好。 然而,(HTTP / 2-enabled)域名benchmarkjs.com产生的输出看起来完全不同,我不知道为什么: $ openssl s_client -connect benchmarkjs.com:443 -nextprotoneg '' CONNECTED(00000003) depth=0 C = US, ST = Washington, L = Seattle, O = Odin, OU = Plesk, CN = Plesk, emailAddress = [email protected] verify error:num=18:self […]
我正在使用Apache 2.4.18和OpenSSL 1.0.1e。 根据https://mozilla.github.io/server-side-tls/ssl-config-generator/ 进入拥塞的configuration,我收到了,但我不知道如何configuration它在Windows上,因为我不确定param SSLStaplingCache,它是一个目录? # OCSP Stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000) 谢谢
旧Solaris 10服务器中的其中一个shell脚本使用下面的命令来解密文件。 des-sunos5.7 -d -u -k password enc_filename.tar.gz dec_filename.tar.gz 现在我们正在迁移到RHEL 6,并且无法find确切的命令来解密文件。 我们从外部来源收到这个文件,我没有他们用来encryption文件的密码。 我已经使用了下面的命令 openssl enc -d des3 -in filename -out filename; openssl enc -d -des-cbc -iv 0 -d -in filename -out filename; openssl enc -des-ede3 -iv o -d in filename -out filename; 我也尝试了-des-ecb,-des-cbc,-des-ede-cbc,-des-ede3-cbc,-desx -cbc,-des。 我所得到的是“不可思议的数字”。 $file des-sunos5.7 des-sunos5.7: ELF 32-bit MSB executbale SPARC32PLUS Version 1, […]
我安装了Samba4,并将其configuration为域控制器,并自动生成ca.pem,cert.pem,key.pem。 现在我想使用同一个samba的CA来签署新的证书(可能由easyRSA或OpenSSL生成)。 有人可以请指导我如何做到这一点(使用easyRSA或OpenSSL)? 主要的困难是我刚从桑巴(不是crt和密钥文件)pem文件,因此我不知道我怎么能做我想要的。 一个相关的问题:我怎么知道我的pem文件是只包含证书还是证书和私钥? (这点对我理解我的主要问题非常重要)。 并且,如果它同时拥有证书和私钥,我怎样才能将它们分开以便将它们方便地用作crt和密钥文件? 我打算做的实际上是使用Samba4 AD DC使用starttls来validationOpenVPN,但由于某种原因,openvpn不接受这个问题,我认为问题在于服务器证书的签名不同。 任何帮助真的很感激。
我在Linux VPS上运行了Apache 2.2的Centos 6.4,最近我将OpenSSL升级到版本1.0.2h。 由于OpenSSL Padding Oracle漏洞,我在CA安全委员会的SSL报告中得分为F。 (CVE-2016年至2107年)。 百胜更新不做任何事情。 我该如何修复此漏洞?
我基于这个规范创build了自己的证书颁发机构和服务器(虚拟主机)证书: https : //jamielinux.com/docs/openssl-certificate-authority/index.html 它成功创build,它的工作,但服务器证书不工作没有“www”前缀。 如果我加载没有“www”的域,得到一个错误: SSL_ERROR_BAD_CERT_DOMAIN 我检查了几个页面,选项会有(SAN – 主题替代名称),只是不知道如何插入上述configuration。
我正尝试通过SSL连接到swift.ca-ns-1.clouda.ca:8443。 我可以从多个其他机器(包括其他新鲜的16.04.1盒子(不在GCE上))连接到这台服务器,并从其他不是Ubuntu 16.04.1的GCE实例连接到它,但是当我尝试从任何Ubuntu 16.04连接时。 1个GCE实例的SSL握手失败。 我已经从下面的openssl发布了一个示例输出。 请注意,我可以连接到我尝试过的所有其他SSL服务器。 CloudA自己搞不清楚。 有任何想法吗? % openssl s_client -connect swift.ca-ns-1.clouda.ca:8443 CONNECTED(00000003) write:errno=104 — no peer certificate available — No client certificate CA names sent — SSL handshake has read 0 bytes and written 305 bytes — New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No […]
假设我有PC A和PC B.假设两个都有由CA签名的证书。 我如何使用openssl在这里进行相互authentication。 我必须使用哪些命令? 一些命令的简短解释将会有很大帮助。