Articles of openssl

apache2虚拟主机的#子域与重写到SSL

我一直有一些问题,build立我的Apache Web服务器,只通过HTTPS提供页面。 我想这个星期早些时候我已经钉了它,但经过一番修改之后,似乎我又把它弄坏了,我不知道我到底什么时候把它弄坏了。 我的设置产生这个输出,因此我的configuration语法应该是可以的: # apache2ctl -t -D DUMP_VHOSTS VirtualHost configuration: 192.168.0.1:80 is a NameVirtualHost default server cal.example.com (/etc/apache2/sites-enabled/99-davical:2) port 80 namevhost cal.example.com (/etc/apache2/sites-enabled/99-davical:2) port 80 namevhost proius.example.com (/etc/apache2/sites-enabled/proius:1) port 80 namevhost slnew.example.com (/etc/apache2/sites-enabled/slnew:1) port 80 namevhost webmail.example.com (/etc/apache2/sites-enabled/webmail:1) 192.168.0.1:443 is a NameVirtualHost default server proius.example.com (/etc/apache2/sites-enabled/proius:10) port 443 namevhost proius.example.com (/etc/apache2/sites-enabled/proius:10) port 443 namevhost […]

用SSLcurl不能在Ubuntu服务器上工作

当我尝试在我的Ubuntu 12.04 TLS服务器上curlSSL页面时,它不起作用: 不是ssl页面: $ curl https://evernote.com/ -vv [the entire webpage] ssl页面: $ curl https://evernote.com/ -vv * About to connect() to evernote.com port 443 (#0) * Trying 204.154.94.73… connected * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * Unknown SSL protocol error in connection to […]

如何在使用openssl生成自签名证书时添加扩展密钥用法string

我在Mac OS X 10.9上使用openssl为Windows Server Remote Desktop Services生成自签名证书。 使用下面的命令我可以生成证书, openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout myserver.key -out myserver.crt 但是,我需要添加一个扩展的密钥用法string服务器authentication(1.3.6.1.5.5.7.3.1) ,我不知道如何在上面的命令。 我曾尝试使用openssl选项-extfile与包含此文件, [= default ] extendedKeyUsage = 1.3.6.1.5.5.7.3.1 但是,我得到一个错误,“-extfile选项未find”

Postfix和OpenSSL:“无法获取本地颁发者证书”

我为我的邮件服务器购买了一个certicifate,并在Postfix中configuration它,如下所示: smtpd_tls_security_level=may smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_cert_file = /somepath/chain.crt smtpd_tls_key_file = /somepath/myserver.key 我通过连接我的证书和两个中间CA证书,为每个Postfix指令创build了chain.crt 。 (确切地说,我自己的证书,然后COMODORSADomainValidationSecureServerCA.crt ,然后COMODORSAAddTrustCA.crt )根据日志,我的邮件服务器的大多数连接现在encryption,所以一切似乎工作。 但是,当我连接到服务器使用openssl s_client -connect mail.example.com:25 -starttls smtp我得到以下输出,这似乎表明有什么错: CONNECTED(00000003) depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority verify error:num=20:unable to get local issuer certificate verify return:0 — […]

Chrome的SHA-1应该与OpenSSL相匹配吗?

如果我比较在Chrome中为https://0000.jp显示的SHA-1: 79 72 28 12 74 83 85 DE 3C B0 DE E7 A4 C3 14 BE B4 93 79 6E 与OpenSSL提出的那样: $ echo -n | openssl s_client -connect 0000.jp:443 2>/dev/null | openssl x509 -noout -fingerprint SHA1 Fingerprint=79:72:28:12:74:83:85:DE:3C:B0:DE:E7:A4:C3:14:BE:B4:93:79:6E 那么我得到相同的价值。 如果我对https://google.co.uk执行相同的操作,则Chrome会显示: 06 4B 11 0D 63 4A 83 E2 6B 1A 12 19 EC 04 46 […]

生成安全SSL证书/ csr的最佳select是什么?

为了序言,我search了很多,但似乎无法find正确的search条件。 我使用以下命令生成了一个CSR: openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr 通过生成的CSR,我通过StartSSL获得了2级签名证书。 问题是当我在我的网站上查看Chrome中的证书信息时,它说网站安全性已经过时。 也许有一个Apache2的mod_ssl设置我需要改变? 或者如果这是一个证书问题,我需要使用哪些OpenSSL选项来生成最新的CSR请求? 提前致谢。

(自签名)本地主机IP通配符证书(127 …)

有没有办法创build一个(自签名)证书,将涵盖所有本地主机IP,如127的全部范围? 我尝试了127.*和127.*.*.*但都没有成功。 我仍然有SSL错误页面,警告我这个页面(例如,127.2.3.4)与证书不匹配和/或不是一个可信的根,尽pipe我已经确定closures浏览器,删除旧的,每次安装新的。 有一些网页显示如何在子域中使用通配符,但不显示IP。

ssl证书可以修改吗?

有没有办法修改一个SSL证书? 我不想更改任何有关validation的部分,只有一些周围的数据,例如Issuer或X509v3 Key Usage 。 是否有任何工具将采取一个现有的证书和一个字段的新值,并输出一个相同的证书与所作的修改? 或者是从头开始生成新证书的唯一解决scheme,并在其中包含修改?

Nginx的前向保密(CentOS6)

我正在尝试使用nginx webserver在CentOS中启用Forward保密function。 我曾经尝试过 我已经阅读了一些教程,似乎我们应该有nginx,openssl最新版本来启用它。 所以我从源码安装了openssl。 sudo wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz sudo tar -xvzf openssl-1.0.1e.tar.gz cd openssl-1.0.1e sudo ./config –prefix=/usr/local sudo make sudo make install 现在OpenSSL支持椭圆曲线密码(ECDHE)。 我也用openssl s_servertesting了这个。 它运作良好。 接下来,我用最新的代码replace了Nginx。 sudo wget http://nginx.org/packages/centos/6/x86_64/RPMS/nginx-1.4.2-1.el6.ngx.x86_64.rpm sudo rpm -e nginx sudo rpm -ivh nginx-1.4.2-1.el6.ngx.x86_64.rpm 并按照此链接中的描述configurationNginx ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+RC4:EDH+aRSA:EECDH:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS; http://baudehlo.wordpress.com/2013/06/24/setting-up-perfect-forward-secrecy-for-nginx-or-stud/ 但是现在Nginx不支持ECDHE密码。 它支持DHE密码。 我试图通过在Nginx中启用ECDHE密码仍然不起作用。 我正在使用最新的网页浏览器(chrome 29,它支持这个密码) 我错过了什么? 或与CentOS或Nginx有问题? […]

如果我从源代码tarball中安装Apache,我该如何删除Apache?

我从一个源tar安装了Apache 2.4,似乎在解压目录的makefile中没有“make deinstall”或“make uninstall”选项。 我怎样才能从我的系统中删除已安装的Apache服务器? 系统是FreeBSD; 我避免使用这些端口,因为安装是针对OpenSSL较低版本的testing服务器。