我正在尝试对在我们的Linux RHEL 5.3服务器上运行的启用SSL的端口/服务进行审计。 我试图find我们的服务器上的哪些端口是SSL启用。我不知道如何find这个。我需要知道如何检查哪些端口使用SSL启用服务。 我在下面运行命令 lsof -i -n -P netstat -ntulp netstat -nap 但从这些输出我不知道如何确定哪些端口正在运行SSL。我不知道该找什么 任何帮助,请注意,我知道SSLscan实用程序,但是当我运行它不会返回任何值,并吐出一个错误…无法打开一个连接到端口443主机127.0.0.1 SSLscan它似乎在我们的Windows环境中没有任何错误,但不是Linux。我也知道nmap,但不能在我们的环境中出于安全原因使用它 请帮助
我目前正在用Apache运行Debian Squeeze服务器。 我的OpenSSL版本是0.9.8,我想起来一个能够运行TLS 1.2的版本。 到目前为止,我的研究表明,这是不可能的,但我觉得我失去了一些东西。 有没有升级的path可以让我这样做,或者我需要用更新版本的Debian重build我的服务器?
我的一个网站的SSL证书链不完整,我知道我应该在虚拟主机文件中引用中间证书。 Comodo向我发送了两个中间证书,主证书是PositiveSSL,COMODORSAAddTrustCA.crt和COMODORSADomainValidationSecureServerCA.crt。 他们都是格式 —–BEGIN CERTIFICATE—– somegibberish somegibberish somegibberish somegibberish —–END CERTIFICATE—– 所以他们准备参考。 当我在12月份为我的网站购买SSL时,我将这两个中间产品以及主要的PositiveSSL证书都上传到了同一个文件夹。 我在下面添加了行SSLCertificateChainFile… <VirtualHost *:443> … SSLEngine on SSLCertificateFile /etc/apache2/ssl/domain.com/domain.com.crt SSLCertificateKeyFile /etc/apache2/ssl/domain.com/domain.com.key SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSAAddTrustCA.crt SSLCertificateChainFile /etc/apache2/ssl/domain.com/COMODORSADomainValidationSecureServerCA.crt 然后,我运行service apache2 reload命令shell后没有问题。 我做对了吗? 更新:我看了这个页面 ,说SSLCertificateChainFile已被弃用,并且我应该把所有的证书都放在一个特定的顺序。 我试过了,重新加载apache2,到目前为止还没有明显的问题。
我有一个openssl密钥文件使用空密码encryption。 我正尝试使用此命令删除密码 openssl rsa -in ca.key -out ca.key.clear 然后我尝试input空的密码,当它要求当前的密码,但我得到这个错误: 140592616367776:错误:28069065:lib(40):UI_set_result:结果太小:ui_lib.c:869:必须input4到8191个字符 所以,如果它less于4个字符,我似乎无法删除密码短语。 如何删除密码,理想情况下使用openssl。
我尝试使自己的根CA有效性为40年,如下所示: openssl req -new -newkey rsa:4096 -x509 -days 10950 -extensions v3_ca -keyout myca.key -out myca.crt -config /etc/ssl/openssl.cnf 到目前为止,最后我们来看看openssl x509 -noout -text -in myca.crt的证书: Signature Algorithm: sha1WithRSAEncryption Issuer: C=DE, ST=Berlin, L=Berlin, O=Org, OU=Unit, CN=My Root CA/[email protected] Validity Not Before: Jan 31 14:07:06 2012 GMT Not After : Dec 18 07:38:50 1905 GMT 为什么在证书中有效的date(不是在date之后)是错误的? 可以做些什么来纠正这个问题? 一些testing表明,这种溢出发生在2038年1月的某个地方。
我试图build立一个双层的PKI,我有很多问题。 由于存在AD的逻辑删除限制,我假设根(它将脱机)不应该是AD的一部分。 我对么? 我正在考虑的设置是一个根CA和多个中间体(用于不同的目的)。 所以,root可能是一个独立的windows标准或Linux + OpenSSL(不知道这是否可行/可取)。 其中一个中间CA是AD的一部分(自动注册等)。 所以,我的问题是: 根可以独立(不是AD的一部分)吗? 这是否会导致证书链或任何问题? 根可以是Linux + OpenSSL吗? 这会难以pipe理吗? 或者是否有对墓碑限制的解决方法? 谢谢。 请参阅: http : //blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http:// pki-tutorial .readthedocs.org / en / latest / advanced / index.html [2]供参考。
我有以下奇怪的SSL连接错误: openssl s_client -ssl3 -connect host:443 -msg CONNECTED(00000003) >>> SSL 3.0 Handshake [length 0087], ClientHello 01 00 00 83 03 00 53 70 cb 57 f8 66 46 4d ad 9f 12 f9 03 32 11 b9 58 f8 82 d7 43 36 80 c9 39 68 14 72 85 18 95 2b 00 00 […]
通常,SSL证书安装在系统范围内(例如在/etc/ssl/certs )。 是否可以configurationOpenSSL的方式,允许用户把证书放在他们的主目录(例如~/.ssl/certs )? 用例可以是需要使用自签名证书(由他生成,因此可信)访问服务的用户; 将自签名CA安装在系统中会是错误的,因为其他用户不应该相信CA.
我使用easyRSA生成一个CA证书 ,我打算使用FreeRadius来使用starttls,现在我发现FreeRadius使用pem格式来证书,但是在我的情况下证书是二进制格式,因此我尝试使用下面的命令把我的证书从crt转换成pem格式 : root@s1:/etc/freeradius/certs/easy-rsa/keys# openssl x509 -inform DER -in server.crt -out server.pem -text unable to load certificate 3074016960:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1197: 3074016960:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:374:Type=X509 第二个: root@s1:/etc/freeradius/certs/easy-rsa/keys# openssl x509 -in server.crt -inform DER -out server.pem -outform PEM unable to load certificate 3073529536:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1197: 3073529536:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:374:Type=X509 但是,正如我所看到的,总是出现一个错误,我不知道为什么。 这里是我的server.crt文件: Certificate: Data: […]
我们有一个从digicert购买的通配符证书(* .ourcompany.com)。 我被要求build立一个系统,其中某些员工拥有自己的SSL证书,用于签署PDF文件等。 我有一个印象,我可以创build这些,并使用我们的证书签署,使其有效。 然而,我所有的search都是find我的“代码签名证书”,这根本不是我们想要做的。 我相信我们需要以某种方式签署证书签名请求,并附上个人详细信息,然后签署该请求,但是我不确定如何这样做(尤其是考虑到组成我们提供的证书的所有不同文件)。 这是我收到的: |digicert/ |-star_ourcompany_com.csr |-star_ourcompany_com.key |-certs/ |–DigiCertCA2.crt |–star_ourcompany_com.crt |–TrustedRoot.crt 任何人都可以通过最好的方式来解决这个问题吗?