我已经在Centos上安装并configuration了rkhunter,除此之外我没有任何警告 检查OpenSSL的版本[警告] 当我检查日志文件,我看到我需要更新openssl root@server [~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Mon Jun 15 18:29:40 UTC 2015 platform: linux-x86_64 options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector –param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,–noexecstack […]
我有两个openLDAP服务器,每个服务器使用脚本完成所有繁重的工作,两个服务器将configuration/用户互相复制,并且很长一段时间以来我都认为一切正常。 刚刚发现其中一台服务器实际上没有协商TLS ,所以没有任何可以对其进行validation。 这两个系统都是RHEL 6.7 ,两者都是在创build完成后以完全相同的方式更新完全相同的时间。 每个服务器应该100%相同…. 使用自签名证书 如果我(在破坏的一个): ldapsearch -ZZd 1 -D "cn=Manager,dc=example,dc=org" -w secret-b "" TLS: loaded CA certificate file /etc/openldap/certs/ca-bundle.crt. TLS: error: tlsm_PR_Recv returned 0 – error 22:Invalid argument TLS: error: connect – force handshake failure: errno 22 – moznss error -5938 TLS: can't connect: TLS error -5938:Encountered end of file. ldap_err2string […]
如何在使用OpenSSL签署证书请求时在Windows中添加主题备用名称(如果有的话)? 我从IIS界面生成了一个基本的证书签名请求(CSR)。 现在,我想添加几个主题备用名称,用现有的根证书签名,然后返回证书来完成签名请求。 我能find的每个教程都涉及到生成一个新的私钥和一个全新的CSR,但是我的印象是私钥驻留在请求的计算机上(我不一定有权访问)。 我只想在添加备用名称的同时签署请求。 我对OpenSSL和CA主题比较陌生,所以这可能是我的一个误解。
我使用OpenSSL创build一个私钥和自签名的公共证书。 然后,我创build了包含私钥和公共证书(mail.example.com.pem)的证书颁发机构文件。 在局域网中的客户端计算机上,我使用OpenSSL连接到端口587(SMTP)上的Postfix,并告诉OpenSSL使用证书颁发机构文件(mail.example.com.pem)。 openssl s_client -connect mail.example.com:587 -starttls smtp -CAfile /etc/pki/tls/private/mail.example.com.pem 这产生了相当多的输出。 包含在输出中的是来自证书颁发机构文件的公共证书。 所有的TLS,证书和其他安全信息后,我有一个闪烁的光标,所以我试图对你说Postfix。 EHLO mail.example.com 这个命令产生“没有客户端证书”。 这很奇怪,因为我可以从字面上看到前一个输出中的公共证书。 我有一种感觉,我在这里错过了一些概念。 例如,我是否需要告诉客户发送或使用公共证书? Postfix服务器上的公共证书是否与客户端证书不同? 目标:我的总体目标是configurationPostfix来encryption邮件,而不是发送没有encryption的邮件。 这是postconf -n命令的输出: data_directory = /var/lib/postfix home_mailbox = Maildir/ inet_interfaces = all inet_protocols = all mail_owner = postfix mailbox_command = mydestination = example.com, localhost.example.com, localhost mynetworks_style = host queue_directory = /var/spool/postfix smtpd_recipient_restrictions = permit_sasl_authenticated, […]
我一直试图根据本教程在我的Debian安装上设置一个自签名的SSL证书https://www.digitalocean.com/community/tutorials/how-to-create-an-ecc-certificate-on-nginx -for-debian-8,但连接时出现以下错误: openssl s_client -connect vpsipaddr:443 -state -debug CONNECTED(00000003) SSL_connect:before/connect initialization write to 0x7d3380 [0x7d3f10] (289 bytes => 289 (0x121)) 0000 – 16 03 01 01 1c 01 00 01-18 03 03 62 c4 ec 46 0b ………..b..F. 0010 – 47 d3 35 9a f1 b4 54 11-fe 85 66 b8 e7 70 a2 e6 […]
我在运行Centos 5.11的服务器上运行一个网站 – EOL现在我知道,但升级是不可能的一段时间。 该网站运行与Paypal集成的Sellerdeck软件进行支付。 在接下来的一个月左右,PayPal将要求我使用TLS 1.2 [1]来连接它们,这是5.11(0.9.8b)中安装的默认OpenSSL版本所不支持的。 我遵循指示[2]安装第二版的OpenSSL,第二版的Curl链接到新版本的OpenSSL,它将支持TLS 1.2,但它仍然没有通过贝宝testing。 在/ usr / local /中使用OpenSSL 1.0.2k的Centos 5.11 /usr/local/bin/curl https://tlstest.paypal.com curl: (35) Unknown SSL protocol error in connection to tlstest.paypal.com:443 CentOS 6.9与OpenSSL 1.0.1e-fips curl https://tlstest.paypal.com PayPal_Connection_OK 任何人都可以帮助指出我正确的方向,为什么连接不与更新的OpenSSL? 非常感谢 凯文 1 – https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1914&viewlocale=zh_CN 2 – https://miteshshah.github.io/linux/centos/how-to-enable-openssl-1-0-2-a-tlsv1-1-and-tlsv1-2-on-centos-5-and- RHEL5 / 详细的非工作输出: /usr/local/bin/curl -Ivvv https://tlstest.paypal.com * Rebuilt URL to: https://tlstest.paypal.com/ […]
[更新]已find解决scheme: https : //github.com/robhawkes/node-extension/issues/1 我将Nodeembedded到浏览器扩展中,不希望用户手动安装openssl,甚至不知道它是什么,我宁愿将它捆绑到Node构build中,或者静态链接到浏览器扩展中的文件。 我已经知道如何在Node中完全禁用openssl,并且该解决scheme能够工作,但是我希望openssl能够在我的用户需要的时候启用。 我也知道–openssl-includes和–openssl-libpath ./configure标志,但是当我把它们指向一个包含libssl和crypto静态构build的目录时,它们似乎没有做我想做的事情 -生成失败,因为它找不到“SSL_library_init”函数。 任何想法,我可以做到这一点? 如果有帮助的话,我现在很满意OS X的解决scheme。 以后我可以解决。 我感谢帮助。
openssl OpenSSL support enabled OpenSSL Library Version OpenSSL 0.9.8o 01 Jun 2010 OpenSSL Header Version OpenSSL 1.0.1 14 Mar 2012 从PHP(5.4.4)信息,这是我有问题。 我思想枯燥,我不明白为什么它不工作。 这是我的configuration: ./configure '–with-apxs2=/etc/apache24/bin/apxs' '–with-mysql' '–prefix=/etc/apache24/php' '–with-config-file-path=/etc/apache24/php' '–enable-force-cgi-redirect' '–disable-cgi' '–with-zlib' '–with-gettext' '–with-curl' '–with-mcrypt' '–with-gd' '–with-pdo' '–with-pdo-mysql' '–with-mysql-sock=/var/run/mysqld/mysqld.sock' '–with-libdir=lib32' '–with-openssl=shared,/usr' '–with-mysqli'
我使用Verisign Extended SSL证书,由运行默认密码套件configuration的nginxpipe理。 这会导致256位encryption连接。 但是,由于这是CBC方法,我应该关心BEAST攻击吗? nginx手册提供了以下回退到RC4的build议(似乎没有受到特定攻击的影响): ssl_ciphers RC4:HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; 这很好,但是它也将encryption还原为128位。 最好select容易受到BEAST攻击的256位,或128位不是(但可能容易受到其他攻击)?
编辑:作为以下文件描述http://www.novell.com/support/kb/doc.php?id=7002392我已经连接这些文件像这样domain.crt sf_bundle.crt >> domain.pem现在的以下命令openssl s_client -connect domain:465抱怨verify error:num=19:self signed certificate in certificate chain我希望有人可以帮助geo出一个线索:D 我刚刚通过后缀,通过TLS提供IMAP和SMTPconfiguration我们的mta。 在testing期间,我创build了一个自签名证书,但现在,为了避免恼人的不受信任的证书警告,我在Godaddy购买了一个便宜的证书; http://www.godaddy.com/compare/gdcompare3_ssl.aspx 这里的问题是我做错了什么,可能在安装Godaddy下载的证书时,所以我仍然在警告。 以下是我遇到的过程: openssl genrsa -des3 -out domain.key 1024 openssl req -new -key domain.key -out domain.csr 去Godaddy,粘贴csr文件的内容,包括是和结束标签。 在那一点上,我能够下载生成的证书,这是一个zip文件,所以现在我有以下文件: sf_bundle.crt;链文件,不知道应该如何使用 domain.crt;与Godaddy的sf_bundle一起提供 domain.csr;由我发现 domain.key;由我发现 我不知道我应该怎么做,但我做了以下几点: cat domain.crt sf_bundle.crt >> /etc/ssl/certs/domain.pem ln -sf /path/to/domain.key /etc/ssl/private/domain.key 但是当testing我得到以下问题: openssl s_client -connect imap.domain.ltd:465 连(00000003) 深度= 2 […]