我已经通过一个中间人创build了我的SSL证书,并将证书,密钥和(链)CA连接到[General]下的Samba4configuration。 重新启动Samba时,LDAP服务器不再起作用。 这个问题似乎只发生在我使用我的可信证书时,自签名证书工作正常。 在smb.conf我添加了以下内容: tls enabled = yes tls keyfile = tls/dc1.example.com-key.pem tls certfile = tls/dc1.example.com-cert.pem tls cafile = tls/ca-chain-root.pem 当用下面的方法进行testing时,我得到一个OK回应,并且应该很好的去做: openssl verify /usr/local/samba/private/tls/dc1.example.com-cert.pem -CAfile /usr/local/samba/private/tls/ca-chain-root.pem 一旦这些更改生效,LDAP将停止运行, nmap也会确认端口636上没有任何内容,下面的testing不会返回任何内容,因为LDAP不处于活动状态: openssl s_client -showcerts -connect localhost:636 -CAfile /usr/local/samba/private/tls/ca-chain-root.pem 我确定我在这里错过了一些简单的东西,我已经正确地为我的其他服务器生成了SSL证书,没有任何问题。 任何帮助,将不胜感激。 用于生成证书的OpenSSL命令: openssl genrsa -out intermediate/private/dc1.example.com-key.pem 2048 openssl req -config intermediate/openssl.cnf -key intermediate/private/dc1.example.com-key.pem -new -sha256 -out intermediate/csr/dc1.example.com-csr.pem openssl ca […]
我有一个带有OpenSSL 1.0.2fconfiguration的Apache 2.4.18,带有双(RSA 4096 + ECC 384)证书configuration。 我还通过TLS扩展提供证书透明度。 当使用openssl s_client -serverinfo 18 -connect winpack.cf:443来testing我的签名证书时间戳时,openssl使用EC-384证书并且一切正常(TLS扩展18被正确提供)。 但是,在运行openssl s_client -cipher 'ECDHE-RSA-AES256-SHA' -serverinfo 18 -connect winpack.cf:443以强制使用RSA-4096证书时, 不提供扩展名,输出如下:也可以运行它,你会有相同的结果…我试图从3台不同子网的计算机上运行它) CONNECTED(00000003) 140289703855760:error:140773E8:SSL routines:SSL23_GET_SERVER_HELLO:reason(1000):s23_clnt.c:769: — no peer certificate available — No client certificate CA names sent — SSL handshake has read 7 bytes and written 152 bytes — New, (NONE), Cipher is (NONE) […]
我正在尝试使用OpenSSL创build一个证书,其中使用的是DirectoryPoint URL的nameRelativeToCRLIssuer属性,而不是fullName属性。 我一直在使用下面的extfile.cnf来尝试生成一个nameRelativeToCRLIssuer: crlDistributionPoints=crldp1_section [crldp1_section] namerelativetocrlissuer=URI:http://www.example.com/root.crl 并用下面的openssl命令进行签名: openssl x509 -req -in signingrequest.csr -extfile extfile.cnf -CAform PEM -CA ca.pem -CAkey ca.key -CAcreateserial -out certificate.pem -days 1825 它创build了以下证书[由于这是一个业务环境,因此编辑了几个部分]: Certificate: Data: Version: 3 (0x2) Serial Number: 10317047815326669373 (0x8f2d845373441a3d) Signature Algorithm: ….. Issuer: ….. Validity Not Before: Mar 18 19:46:21 2016 GMT Not After : Mar 17 19:46:21 2021 […]
我已经将openssl从源代码版本升级到安装在/ usr / local / ssl / bin / openssl下的Apache OpenSSL 1.0.1s版本,并更改符号链接将其指向新的安装目录并运行以下命令。 $openssl version OpenSSL 1.0.1s 1 Mar 2016 它显示了新的升级版本,但使用php或检查phpinfo()时,它仍然显示旧版本。 phpinfo()函数: OpenSSL support enabled OpenSSL Library Version OpenSSL 1.0.1k-fips 8 Jan 2015 OpenSSL Header Version OpenSSL 1.0.1k-fips 8 Jan 2015 Openssl default config /etc/pki/tls/openssl.cnf 请build议我如何使这个新版本在所有地方都有效,我也在我的网站上安装了ssl,我还需要重新生成CSR和私钥,并重新颁发ssl证书。 提前致谢。
我需要在我的apache2 ubuntu上安装一个ssl,不知道我错了什么,但事实是,我没有得到…我有相关的文件:一个.key文件和两个.crt文件。 起初在编辑apache2configuration文件的时候添加对应的ssl虚拟主机; 重新启动Apache,我返回错误:键值不匹配。 因此,我运行以下命令来检查密钥: openssl x509 -in -noout -modulus your_domain_com.crt | openssl md5 openssl rsa -in -noout -modulus your_domain_com.key | openssl md5 我的错误是,我没有采取正确的.crt文件。 解决这个错误之后,现在证书似乎安装正确,但是当我去的url: https://midominio.com 浏览器告诉我,证书是错误的:地址错误。 我看到了证书的详细信息,事实certificate,颁发证书的域名是不同的域名! …而不是我的域名…所以我检查我的Windows系统(我的笔记本电脑)的证书,它说证书颁发的域是正确的域… 这是怎么回事? 任何帮助? 非常感谢你提前。
我在/etc/apache2/sites-available/有一个xxx-ssl.confconfiguration,其中包含以下SSL选项: SSLEngine on SSLCertificateFile /var/www/ssl/webserver_cert.der SSLCertificateKeyFile /var/www/ssl/webserver.key SSLCipherSuite NULL-SHA 密钥文件和证书文件已到位。 虚拟主机(xxx-ssl.conf)使用a2ensite命令启用。 Apache服务器重新加载。 不幸的是它无法启动 – 错误日志显示如下: [debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA] [error] Unable to configure permitted SSL ciphers [error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format – or even just a forgotten SSLCertificateKeyFile? [error] SSL Library Error: 151441516 […]
我在我的Ubuntu 14.04 LTS服务器上运行Prosody。 我安装了OpenSSL 1.01f,通过运行openssl version来确认。 TLSv1.2支持并通过运行openssl ciphers -v 'TLSv1.2' 我遵循这个指南来启用前向保密。 尽pipe如此,似乎我的Prosody服务器仍然使用TLSv1.0,通过检查XMPP天文台以及运行命令openssl s_client -connect mydomain.com:5222 -starttls xmpp < /dev/null这导致了TLS1.0连接。 添加protocol = "tlsv1_2"; 到我的configuration下SSL选项导致Prosody错误日志报告“无效的协议”。 这里是我的韵律configuration的副本: admins = {"[email protected]"} modules_enabled = { — Generally required "roster"; — Allow users to have a roster. Recommended 😉 "saslauth"; — Authentication for clients and servers. Recommended if you want to […]
我需要使用ALPN来configurationHAProxy以支持HTTP / 2。 configurationHAProxy后,我尝试重新启动,但失败了。 即使将openssl升级到1.0.2也没有帮助。 维基百科自从1.0.2开始支持ALPN。 我运行的系统是Ubunut 14.04。 LTS 这些是错误信息: [ALERT] 364/162959 (3104) : parsing [/etc/haproxy/haproxy.cfg:137] : 'bind 192.143.56.150:443' : 'alpn' : library does not support TLS ALPN extension [ALERT] 364/162959 (3104) : parsing [/etc/haproxy/haproxy.cfg:142] : error detected while parsing switching rule : unknown fetch method 'ssl_fc_alpn' in ACL expression 'ssl_fc_alpn'. [ALERT] 364/162959 (3104) : […]
当我试图运行以下命令来发出一个新的私钥,我用它来通过SSL托pipe我的Web应用程序: openssl genrsa -out example.key 2048 ,发生以下错误: 无法写入“随机状态”e是65537(0x10001) 在Web上挖掘出来之后,我find了一个解决scheme ,指导您删除~/.rnd文件,这个文件很可能是由root拥有的。 sudo rm ~/.rnd 但是,如果使用sudo发出openssl命令,则发现不需要删除~/.rnd 。 所以我的问题是: 什么是~/.rnd ,为什么它存在于我的环境中? 哪一个更好的方式来发行一个新的私钥?
我在一台vserver上使用Debian 8.7 64位进行testing。 我通过安装nginx apt-get update -y && apt-get -t jessie-backports install nginx和 nginx -v显示nginx version: nginx/1.10.3 。 我也通过openssl version -v并得到 OpenSSL 1.0.1t 3 May 2016 (Library: OpenSSL 1.0.2k 26 Jan 2017) 。 目前我有一个高效率的服务器的问题,因为我得到很多closuresfailed (SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init)错误,发现nginx和openssl使用1.9版本的nginx时有一些问题。 生产系统仍然使用nginx / 1.9.10。 在我想通过jessie-backports更新nginx到1.10之前,我想testing一切是否仍然有效。 在testing的同时,我也检查了openssl的版本,并得到了我上面粘贴的信息。 那是什么意思? 是openssl 1.0.1t或1.0.2k安装? 谢谢你的帮助!