Articles of openssl

在Nginx上testingSSL性能

我在CentOS 6 x86_64上运行带有OpenSSL的nginx 1.0.0。 以下是openssl基准testing的结果。 sh# openssl speed aes-256-cbc OpenSSL 1.0.0-fips 29 Mar 2010 built on: Sat Jun 25 04:58:15 BST 2011 options:bn(64,64) md2(int) rc4(1x,char) des(idx,cisc,16,int) aes(partial) blowfish(idx) compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector –param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,–noexecstack -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 […]

同时安装2个版本的openssl

我需要同时安装两个不同版本的OpenSSL。 目前,我正在使用Amazon EC2和Amazon 32位AMI,该AMI目前运行OpenSSL 1.0.0a。 我有一个需要运行的旧软件,需要OpenSSL.0.9.6。 不幸的是,从我所学到的,OpenSSL不是向后兼容的,所以我将需要同时安装两个版本。 我find了一个可以运行的RPM,但是我不知道如何在不破坏任何东西的情况下同时安装它们。 任何关于这个问题的信息将不胜感激。 谢谢

为什么Windows错误地声称自签名根CA证书被吊销?

我使用openssl为内部testing使用创build了一个自签名根CA证书。 这已成功安装,并在许多机器和平台(Windows,Linux,各种Java / .NET /浏览器客户端)上用作可信CA。 一个用户(运行WinXP SP3 / IE8)在尝试将CA证书导入其受信任的根存储时收到以下错误:“此证书已被其证书颁发机构吊销” CA确实引用了我自己创build的CRL,但它是空的。 用户可以手动访问和查看CRL并确认它是空的。 在IE浏览器中禁用CRL检查,但是我猜这个设置在填充证书存储时可能不适用。 什么可以解释这个? 有没有办法从不同的CA,但具有相同的指纹撤销证书可以导致我的CA证书被标记为撤销?

什么是openssl.conf中的“certs”?

在openssl.conf中,我可以看到 [ CA_default ] dir = $ENV::KEY_DIR # Where everything is kept certs = $dir # Where the issued certs are kept crl_dir = $dir # Where the issued crl are kept database = $dir/index.txt # database index file. new_certs_dir = $dir # default place for new certs. 如果我将new_certs_dir设置为$dir/newcerts那么当我创build一个新的证书时,例如一个名为17.pam的文件就放在那里,而不是放在$dir 。 openssl使用这些文件的是什么? 但是,如果我将certs设置为例如$dir/certs并创build该目录,那么我会预期新的crt, csr, key文件将放置在那里,但仍然放在$dir 。 […]

创build一个encryption焦油的日志

我想创build一个encryption的焦油,但我也想有一个什么压缩的tar日志,我使用下面的命令: tar -cvvf – –files-from=/root/backup.cfg | openssl des3 -salt -k backuppass | dd of=/root/tmp/back.encrypted 但是我需要有一个tar的stdout日志。 我不知道如何得到它,因为如果我在tar命令中使用“>”命令,openssl的结果是不正确的。 我也检查了tar手册希望find一些选项来写一个文件的标准输出,但我什么也没有find。 任何帮助? 感谢和问候。

在签署csr时覆盖特定的DN字段

在CA侧签署CSR时,如何通过自定义值覆盖特定的DN字段? 我想忽略在CSR中写的东西。 例如在C =和O =字段中,并用静态的东西replace它们。 其他值,如CN = ,应该被CSR接受。 openssl / ca /​​ policyconfiguration只支持匹配和提供的选项。

OpenSSL缺less密码

我正在尝试为我的HTTPS服务器configuration适当的设置,并且IE8 @ WinXP有点麻烦。 该平台对TLS sipher的支持非常差: https ://www.ssllabs.com/ssltest/viewClient.html ? name = IE & version =8& platform = XP 我想启用TLS_RSA_WITH_3DES_EDE_CBC_SHA但似乎我的OpenSSL安装(通过软件包pipe理器,Debian安装)不支持它。 我如何将TLSv1.0密码的支持添加到OpenSSL? OpenSSL宣称它支持TLSv1.0密码: https ://www.openssl.org/docs/apps/ciphers.html#TLS_v1_0_cipher_suites_ 我的OpenSSL版本: # openssl version OpenSSL 1.0.1e 11 Feb 2013 目前我正在使用的密码configuration: # openssl ciphers -v 'HIGH:!SSLv2:!ADH:!DHE:!DH:!3DES:!MD5:!aNULL:!eNULL:!NULL:@STRENGTH' ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384 […]

openssl 0.9.7a报告“证书签名失败”,但版本0.9.8e很高兴

我正在尝试构build一个openssl证书链,它将与标准的CentOS 4安装作为客户端一起工作。 (我知道这是非常古老的,但这是我们的客户正在使用,所以我们需要支持它)。 第一个问题是CentOS 4 openssl CA bundle并不包含所有的现代证书,特别是GoDaddy根证书 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority 所以我挖了一遍,find了上述证书的Valicert证书,并把它放在了链条中。 在CentOS 5(openssl 0.9.8e)上运行openssl s_client ,这个链可以validation,但是在CentOS 4(openssl 0.9.7a)上不validation。 CentOS 5输出: $ openssl s_client -CAfile /etc/pki/tls/certs/ca-bundle.crt -connect svn.example.org:443 CONNECTED(00000003) depth=4 /L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//[email protected] verify return:1 depth=3 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy […]

openssl s_client显示未知的警报证书,但所有服务器证书似乎都被validation

我正在解决错误,build立到EPP服务器的安全连接。 我发出下面的命令,看到所有的服务器证书都已经过validation,但仍然出现错误(以粗体突出显示)。 validation服务器的证书是否还存在问题? 如果是这样,那会是什么? 编辑:我削减了“可接受的客户端证书CA名称”,因为垃圾邮件检测器不喜欢他们。 $ openssl s_client -connect otessl.verisign-grs.com:700 -key /home/ubuntu/foo.key -cert /home/ubuntu/foo.crt -CAfile /home/ubuntu/foo-cert-chain.pem -CApath /etc/ssl/certs CONNECTED(00000003) depth=3 C = US, O = "VeriSign, Inc.", OU = Class 3 Public Primary Certification Authority verify return:1 depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, […]

从SSL证书/密钥中恢复组织信息

我正在pipe理一个RHEL 6.6服务器,我从pipe理员那里inheritance了公司不再有联系。 我需要replaceSSL证书,为此需要一些关于物理组织的信息: $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout example.com.key -out example.com.csr Generating a 2048 bit RSA private key ……….+++ …………………………………………………+++ writing new private key to 'example.com.key' —– You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is […]