我在OpenSSL方面遇到了麻烦,抱怨我无法validation本地颁发的证书,而且我也拥有CA链。 除了当地的CA连锁证书(CER,PEM,CRT)之外,我还有(PEM和CRT)本地颁发的证书。 根和发行者是相同的服务器。 比较两个证书上的文本,两者都匹配“签发者:”字段。 这是RedHat Linux服务器。 我收到错误“validation错误:num = 20:无法获得本地发卡行证书”和“validation返回码:21(无法validation第一个证书)”。 我不知道该找什么。 故障排除步骤 我没有使用cerutil certutil -d /etc/pki/nssdb -A -t "C,," -n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer添加颁发者CA证书到linux证书cerutil certutil -d /etc/pki/nssdb -A -t "C,," -n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer 冉certutil -d /etc/pki/nssdb -L ,我可以看到那里的证书: 证书昵称信任属性SSL,S / MIME,JAR / XPI DomainA1-Server1CA C ,, 运行openssl s_client -connect ServerA2:443 -CAfile /root/certs/DomainA1-Server1CA.cer ,尝试(.CRT和.PEM),得到了上面的两个错误。 运行openssl s_client -connect […]
我正在尝试使用自定义版本的openssl编译Apache-2.4.27的源代码,在configuration步骤本身期间使用选项–with-ssl =“自定义openssl目录的path”。 我故意使用OPENSSL(V1.0.1f)的易受攻击的版本,以便我可以做某种testing。但总是使用1.0.2g,因为它是OPENSSL版本。 我如何用OPENSSL 1.0.1f编译Apache?
我正在使用nginx的开源版本作为逆向代理与上游安全文件服务使用docker和自签名证书,我可以在客户端上运行脚本并拉下文件。 我可以全部工作,直到我申请“ssl_verify_client;”,然后我curl,wget和powershell尝试失败。 我的猜测是,我没有正确地生成或注册证书,因此信任链被维护。 我扼杀了一下,看看我是否可以在没有上游或docker的情况下运行它(也就是说,只试图在虚拟机上运行反向代理,只有在“ssl_verify_client on”的情况下才能运行相同的结果)。 我已经在客户端添加了自己的CA证书,并完成了“update-ca-certificates”(我应该在服务器上完成此操作?)。 curl示例(得到“400没有必要的SSL证书发送”):curl -v -s –key client.key –cert client.crt –cacert client.pem https://mysite.dyndns.org/file .txt -o /home/user/Desktop/file.txt 试图诊断问题,我尝试:“openssl s_client -connect mysite.dyndns.org:443”并得到:validation错误:num = 20:无法获得本地发行者证书 很高兴发布我的nginx.conf,我如何生成证书,但最初会问: 我试图做的是可行的吗? curl,wget或PowerShell可以使用自签名证书(而不是购买的证书)? 使用dyndns(没有validation工作)是一个问题? 如果它看起来像我的证书代的问题,有人可以build议一个链接作为如何(我一直在尝试https://jamielinux.com/docs/openssl-certificate-authority/和nate商品网站) 。 “LetsEncrypt”是“正确答案”吗? 我知道我可能需要发布更多的命令/configuration使用等细节任何帮助表示赞赏。 谢谢!
我想debugging一个SSL连接,所以我跟着这个问题的答案,并想运行第一个testing: # openssl s_client -connect SERVER_IP:PORT -state -debug 并得到以下输出: socket: Connection refused connect:errno=111 我查了一下,发现它与SSL无关,这意味着服务器没有运行,或者端口被防火墙阻塞。 我login到服务器,并检查,实际上它正在运行,并且端口是开放的监听所有的IP地址: # netstat -plan | grep PORT tcp 0 0 0.0.0.0:PORT 0.0.0.0:* LISTEN PID/java 下面是有趣的部分:当我使用我的服务器的内部IP来运行上面的openssl命令时,我得到了预期的输出。 无论我尝试从客户端还是从服务器本身连接到服务器,行为都是相同的。 我添加了端口到iptables。 以下是他们现在的样子: # iptables -L -v | grep PORT 40 4252 ACCEPT tcp — any any anywhere anywhere tcp dpt:PORT 0 0 ACCEPT tcp — […]
我们有一台带有过期证书的Mac OS X服务器。 我们更新了CA的证书,生成了一个新的CSR(在命令行上使用openssl),并成功导入了新的证书。 服务器pipe理员证书菜单仍显示旧的证书到期date,而不是新的证书。
我确实使用PAM身份validation设置了OpenLDAP服务器。 明文,它工作得很好,但是当我尝试添加SSL它总是失败。 我正在遵循该指南来使其工作: http : //kidrek.fr/blog/?p=30 我在Debian lenny系统上这样做。 在我的日志中,我可以看到:9月9日17:00:48主机名slapd [3231]:connection_read(13):检查inputid = 14 9月9日17:00:48主机名slapd [3231]:connection_read(13):无法获取TLS客户端DN,错误= 49 id = 14 9月9日17:00:48主机名slapd [3231]:connection_get(13):得到connid = 14 9月9日17:00:48主机名slapd [3231]:connection_read(13):检查inputid = 14 9月9日17:00:48主机名slapd [3231]:fd 13上的ber_get_next失败errno = 0(成功) 9月9日17:00:48主机名slapd [3231]:connection_closing:准备conn = 14 sd = 13closures 9月9日17:00:48主机名slapd [3231]:connection_close:conn = 14 sd = 13 客户端:9月9日17:00:47主机名称:nss_ldap:无法searchLDAP服务器 – 服务器不可用 9月9日17:00:47主机名id:nss_ldap:无法连接到任何LDAP服务器,因为cn = admin,dc = company,dc = local […]
突然间,我正在使用svn。 当试图更新/提交或创build一个新的结帐时,我得到以下错误。 我似乎无法find关于它的很多信息。 svn:“ https://[email protected]/svn/repos/project/TRUNK ”的选项:SSL协商失败:SSL错误代码-1/1/336032856( https://svn.host.com ) 任何想法?
我正在更新通配符SSL证书。 最简单的select是使用我现有的私钥并使用它生成新的CSR。 是否有任何理由(假设我的私钥没有被泄露)来增加额外的成本并生成一个新的私钥?
我想知道如果有人有任何想法如何使用openssl生成一个签名的CA证书和密钥? 我发现这个网站( http://dev.mysql.com/doc/refman/5.1/en/secure-create-certs.html )生成客户端和服务器证书的MySQL服务器,但例子是一个自签名证书。 我使用以下命令来使用openssl和生成的证书和密钥运行服务器和客户端: openssl s_server -accept 6502 -cert server-cert.pem -key server-key.pem -CAfile ca-cert.pem -www openssl s_client -connect 192.168.1.92:6502 -cert client-cert.pem -key client-key.pem -CAfile ca-cert.pem 我得到的错误输出是“validation返回码:18(自签名证书)”。 保罗
问题: 通过命令行和PHP将LDAP查询保护到具有自签名证书的AD域控制器。 背景: 我正在开发一个项目,我需要启用从PHP Web应用程序到使用自签名证书的MS AD域控制器的LDAP查找。 此自签名证书也使用不是FQDN的域名 – 将people.campus视为域名。 Web应用程序将获取用户的凭据,并将其传递到AD域控制器,以validation该凭证是否匹配。 这似乎很简单,但我有问题试图让PHP和自签名证书工作。 有人build议我在OpenLDAPconfiguration中将TLS_REQCERTvariables从“request”改为“never”。 我担心这可能会带来更大的影响,比如中间人攻击,我不能很好地把这个设置改变为从不。 我还在线阅读了一些可以获取证书的地方,并将其作为可信来源放在openldapconfiguration文件中。 我很好奇,如果这是我能为我所处的情况做些什么? 我可以从命令行获取AD域控制器正在使用的自签名证书,将其保存到一个文件中,然后让openldap使用该文件来获得所需的信任,这样我就不需要调整variables从请求到从不? 我无权访问AD域控制器,因此无法导出证书。 如果有从命令行获取证书的方法,我需要使用哪些命令? 有没有一种处理这个问题的替代方法,从长远来看会更好? 我有一些CentOS服务器和一些我正在尝试使用的Ubuntu服务器。 预先感谢您的帮助和想法。