我的网站在我的服务器上(Debian Wheezy,testing版上的Apache 2.4.10)。 我自己configuration了Apache,并在阅读了许多讨论这些问题的网站之后,封锁了所有可攻击的密码。我不得不说,这不是我的专长,因为我是物理学家。 所以请原谅我的无知,如果我做了明显错误的事情。 我在Apache中的密码configuration是这样的: SSLProtocol all -SSLv2 -SSLv3 SSLCompression off SSLCipherSuite AES128+EECDH:AES128+EDH 我尝试了一个替代的显式密码configuration,这也给出了同样的问题: SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 ECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS -RC4" 所以问题是Google Chrome(版本42.0.2311.90米)在我打开我的网站的时候会出现惊叹号: 另一方面,在SSLLabs中 ,我得到了非常好的排名,没有任何评论(尽pipe80%的密码的解释是很好的,我应该怎么做才能得到90 +%? 所以我的问题是:我怎样才能让谷歌铬(和其他浏览器)停止抱怨与三angular? 如果您需要任何其他信息,请询问。
我打算让openssl为使用OpenSSL的Windows二进制文件的现有私钥生成一个CSR。 通常这个命令行是: openssl.exe req -new -sha256 -out test.csr -key privkey.pem 但是出于安全原因,我想通过标准input提供密钥,所以我不需要将私钥文件存储在磁盘上。 有一个特定于Linux的解决scheme类似的问题 ,但是我正在使用Windows,因此无法应用。
在ejabberd的现代版本中,通过向ejabberd.yml的dhfile和s2s_dhfile选项提供自我生成的pem文件,可以使用自定义的Diffie-Helman参数。 我以三种不同的方式创build了不同的DH参数pem-files: openssl dhparam -out dh.pem 2048 openssl dhparam -out dh.pem 4096 openssl genpkey -genparam -algorithm DH -out dhp4096.pem -pkeyopt dh_paramgen_prime_len:4096 将它们放置在/etc/ejabberd/并相应地configuration了ejabberd: hosts: – "somehost.tld" access: announce: admin: allow c2s: blocked: deny all: allow c2s_shaper: admin: none all: normal configure: admin: allow local: local: allow max_user_offline_messages: admin: 100 all: 100 max_user_sessions: all: 10 muc: all: […]
我使用自己的CA为我的服务创buildSSL证书。 这些证书由我的CA直接签署。 在我看来,这可能是一个弱项策略,就好像证书被破坏一样,我需要从一个CA创build新的证书。 如果CA受到攻击,每个服务的游戏结束都需要更新。 所以我的理解是,“保护”自己和“稀释”关注的典型方式是创build一个证书链,并签署服务证书的链末,以便如果签名人受到攻击,下一个级别可以用来创build一个新的签名证书。 我能得到那个吗? 我想要做的是创build我自己的证书链。 整个TLS / SSL的东西对我来说还是有点朦胧,但是正如我所看到的,首先创build一个主密钥,然后用openssl genrsa然后用openssl req -x509 -new创build一个自签名证书来创buildCA. 然后我可以使用openssl req -new -key' and sign the request with my CA with -key创build新的密钥和证书签名请求, openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem openssl req -new -key' and sign the request with my CA […]
SSH公共密钥支持注释(仅仅由附加在密钥末尾的文本组成),这使得识别一个不可识别的id_rsa.pub文件变得很容易。 您可以使用注释来存储信息,例如密钥的属性,创build时间以及使用的机器等信息。 私钥似乎缺less此function。 ssh-keygen -C comment将会生成一个密钥对,注释会附加到公钥上,但私钥将保持不注释状态。 ssh-keygen有一个-c参数,“请求改变私钥和公钥文件中的注释”,但是 root@kitsune:~# ssh-keygen -c -f id_rsa Comments are only supported for RSA1 keys. 所以看起来SSH2私钥格式没有注释字段。 只要把这对钥匙放在一起并保留在正确的位置,这种做法基本上没有问题,但是这些文件可以被复制和移动(这可能发生在帐户/机器共享密钥时)或者意外覆盖,而且它们都有同名(id_rsa),所以可以跟踪哪个键是哪个。 在没有评论的情况下,保持私钥有组织的最佳做法是什么?
预期的结果:在IIS 8.5(新服务器)中具有相同的密码支持,正如我在Apache 2.4(我想从中复制受支持的密码的服务器)中所支持的那样。 ssllabs.com信息:Apache 2.4提供了强大的FS支持和支持Android 2.x的A +评级。 IIS 8.5,玩耍时,我可以得到一个“现代浏览器”FS的评级,或者没有Android 2.x支持的A +评级。 与密码相关的Apache 2.4 conf params: SSLProtocol -all -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 SSLCipherSuite -LOW:AESGCM:AES:!kRSA:!kPSK:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH SSLStrictSNIVHostCheck Off SSLCompression off SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire SSLHonorCipherOrder on 什么是Windows Server 2012r2上的IIS 8.5的等效密码列表,以下是Apache2.4(linux)套件。 Windows中的可用密码名称位于Apache2下面的密码列表之后。 Apache2密码列表(按实力顺序排列) ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS […]
Google chromes更新至版本58几天前开始使我的自签名证书无效。 这是抱怨失踪subjectAltNames 。 我做了一些研究,并尝试了几个build议(这将不起作用),但后来发现这个职位 ,我唯一可以工作。 还是我? 现在接受我的新生成和import的证书,我正在路上, 直到我在我的PHP web应用程序中打开一个页面,该页面需要在同一个开发机器上从另一个微型Web服务加载数据。 stream_socket_client():SSL操作失败,代码为1. OpenSSL错误消息:错误:14090086:SSL例程:ssl3_get_server_certificate: 现在我一直在用google和这个修补程序大约4个小时,只是无法绕过它。 题 为什么铬接受我的证书。 无论如何curl , openssl s_client所有的工具unable to verify the first certificate或invalid certificate ? 我试图通过证书作为参数,但仍然显然无效。 用curl和openssl调用证书文件作为参数继续给我这个错误 SSL证书validation结果:无法获得本地颁发者证书(20), 我想在一天结束的时候我会完全秃顶的。 笔记 虚拟机是我的本地开发环境,所以我确实有多个域,有自己的证书和密钥 虚拟机位于IP 192.168.33.10。 这意味着chrome不能访问localhost。 然而,curl和openssl s_clinet试图访问locahost 服务器是运行ubuntu 14.04的虚拟机 在主机上安装带有MMC(微软pipe理控制台)的自签名证书 错误肯定来自试图访问Web服务的客户端类。 我试图通过证书作为参数,但仍然显然无效。 我完全意识到,我可以将validation对象设置为false,或者将请求传递给请求,但我从中没有学到任何东西。 SSL会话:协议:TLSv1.2 运行sudo dpkg-reconfigure ca-certificates来更新证书 已经运行sudo update_ca_ccertificates 我已经达到了9000的挫折水平 恢复更新 我重新生成了v3扩展closures的新证书,并返回chrome告诉我subjectAltName丢失,但curl正在工作。 我需要弄清楚如何使curl和chrome都能接受的证书成为现实。
我想要使用一个IP来承载具有单独SSL证书的多个域(要求SNI)。 在CentOS 5.3中,最新版本的OpenSSL我可以findRPM为0.9.8e,不支持SNI。 我想升级到0.9.8k,但我找不到RPM。 我可以从源代码编译,但如果我尝试通过yum删除现有的OpenSSL包,它希望我删除所有依赖于OpenSSL(100 +包)的包。 编辑:我结束了安装0.9.8K而不覆盖以前的版本。 现在我都避免打破依赖关系,并可以使用SNI。 这是最好的行动?
我正在构build一个为域成员进行802.1xauthentication的Debian FreeRadius服务器。 我想签署我的RADIUS服务器的SSL证书(用于EAP-TLS)并利用域的现有PKI。 radius服务器通过Samba连接到域,并具有在Active Directory用户和计算机中显示的计算机帐户。 我试图签署我的radius服务器的密钥的域控制器没有安装IIS,所以我不能使用首选的Certsrv网页来生成证书。 MMC工具不能工作,因为它不能访问radius服务器上的证书存储,因为它们不存在。 这会留下certreq.exe实用工具。 我使用以下命令生成我的.CSR: openssl req -nodes -newkey rsa:1024 -keyout server.key -out server.csr 由此产生的.CSR: ******@mis-ke-lnx:~/G$ openssl req -text -noout -in mis-radius-lnx.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=US, ST=Alaska, L=CITY, O=ORG, OU=DEPT, CN=ME/emailAddress=MYEMAIL Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): […]
我正在尝试使用运行OpenLDAP的服务器(并使用OpenSSL,而不是GnuTLS)来设置SSL。 服务器似乎工作正常:我可以使用ldap://进行身份validationldap://也可以在Apache Directory Studio中使用ldaps:// 。 我也可以从客户端使用LDAPS,只要在/etc/ldap.conf中有这个设置: tls_checkpeer no 只要我尝试使用tls_checkpeer yes SSL连接被拒绝。 我在服务器上有以下设置: olcTLSCACertificateFile /etc/ssl/certs/cacert.pem olcTLSCertificateFile /etc/ssl/private/newcert.pem olcTLSCertificateKeyFile /etc/ssl/private/newreq.pem 客户有这些相关的条目: # ssl on uri ldaps://192.168.1.15 tls_checkpeer no # tls_cacertdir /etc/ssl/certs # tls_cacertfile /etc/ssl/certs/cacert.pem 用户可以访问文件/etc/ssl/certs/cacert.pem进行阅读。 通过上述configuration,它可以工作。 如果我取消注释两个注释tls_*configuration条目之一,并更改为tls_checkpeer yes它会失败。 我已经尝试使用证书( tls_cacertfile )cacert.pem和newcert.pem,它不起作用。 cacert.pem有一个—–BEGIN CERTIFICATE—–部分,和newcert.pem一样。 但是,cacert.pem在X509v3 extensions下有这个: X509v3 Basic Constraints: CA:TRUE …和newcert.pem文件在同一节中有这个: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL […]