我有一个域名,我想有networking邮件,我希望它是安全的。 我是唯一使用这个网站的人,但我仍然希望它是安全的。 我买不起,我不认为付CA来签署我的证书是有道理的。 我现在有自己的签名证书SSL工作,但我想知道是否足够。 如果有人使用与我的证书相同的信息生成一个自签名的证书,有什么办法可以告诉我吗?记住序列号或什么的?
我试图理解在服务器(而不是AWS负载均衡器后面的几个服务器)上安装SSL的正确stream程。 https://www.digicert.com/easy-csr/openssl.htm提供了一个向导。 我想确认我可以input详细信息,运行openssl命令并接收两件事: domain.csr domain.key 然后我使用csr实际购买证书,并使用密钥进行签名。 它是否正确? 我错过了一块拼图吗?
试图找出修补openssl对Heartbleed后,应该重新启动服务。 至less有一个post提到重启: sshd,apache,nginx,postfix,dovecot,courier,pure-ftpd,bind,mysql 有没有一个命令可以运行,看看哪些运行的服务依赖于openssl? 是否有一个命令来运行对Apache / Nginx的修补程序是否是活动的,所以服务不需要重新启动? 我们是否应该安排停机时间并重新启动每台服务器? 编辑: 这个postbuild议使用: lsof -n | grep ssl | grep DEL lsof -n | grep ssl | grep DEL lsof -n | grep ssl | grep DEL来显示仍然使用标记为删除的旧版本OpenSSL的进程
在Centos 6.5 Minimal安装中,我已经编译了安装了Percona的Apache,PHP和rpm。 在几天前更新OpenSSL之后,我在这台服务器上使用SSL的站点在某种程度上容易受到Heartbleed的攻击。 我的Apache二进制文件没有显示它使用的是libssl.so *,但是当我通过https://filippo.io/Heartbleed/查看时,它说我的网站实际上很脆弱。 我检查错误吗? [root@centos user]# ldd /usr/local/apache2/bin/httpd |grep -i ssl [root@centos user]# 我已经通过yum( yum update openssl openssl-devel ) yum update openssl openssl-devel ,我重新编译了Apache(自openssl更新4次),我重新编译了PHP(自更新以来),并且重新安装了Percona。 尽pipe一切都是最新的,但我仍然收到“网站很脆弱”的信息。 [root@centos user]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Tue Apr 8 02:39:29 UTC 2014 platform: linux-x86_64 options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) […]
我正在使用PKI基础结构设置服务器到服务器的OpenVPN,并且无法使其工作。 我怀疑这是证书链上的东西,但我不知道如何解释。 我有一个脱机的根CA和一个证书层次结构。 CA的产品由EJBCA产品进行外部pipe理。 这个链子看起来像这样(名字改变了): RootCA -> OnlineSubCA -> SubCA1 -> VPNCA 我使用CA VPNCA签署了服务器和客户端证书,并在这些系统上拥有证书链。 在debuggingOpenVPN时,我尝试使用“openssl s_server”和“s_client”,导致我相信这是CA链。具体在服务器上: openssl s_server -cert server.cert -key server.key -CAfile chained.pem -verify 5 并在客户端 openssl s_client -cert client.cert -key client.key -CAfile chained.pem -verify 5 服务器回吐,除其他外: depth=3 C = CA, O = My Company, CN = OnlineSubCA verify error:num=24:invalid CA certificate verify return:1 […]
我试图确保一个子域名: bitbucket.kl.company.com 该证书用于* .company.com。 所以我得到一个错误: bitbucket.kl.company.com uses an invalid security certificate. The certificate is only valid for the following names: *.company.com, company.com, bitbucket-mirror.company.com Error code: SSL_ERROR_BAD_CERT_DOMAIN 令人费解的是,有些浏览器不会抱怨,并按预期加载页面。 我的证书错了吗? 我能否专门为bitbucket.kl.company.com订购证书,而不是使用* .company.com?
我有一个完全补丁的CentOS 5.5服务器,Trustwave PCI符合性扫描失败。 它抱怨的项目是openssl <0.9.8.o. rpm -q openssl显示:openssl-0.9.8e-12.el5_5.7 apache header banner显示:Server:Apache / 1.3.41(Unix)PHP / 5.2.14 mod_psoft_traffic / 0.2 mod_ssl / 2.8.31 OpenSSL / 0.9.8b mod_macro / 1.1.2 (注意:apache横幅甚至没有显示安装的版本) openssh和php也有类似的情况(报告的版本低于PCI合规性的最低要求)。 我是否需要从源代码构build所有这些库以获取最新版本的库? 还是有办法告诉CentOS yum安装新版本,而不是他们的后端端口补丁版本? 如果可能的话,我宁愿不去百胜,以便将来的维护工作得到简化
我们最近改变了我们的nginxconfiguration,以支持TLSv1.2以及一些更安全的密码。 自更改以来,我们的nginx错误日志已填充以下错误: 2015/01/28 23:55:57 [crit] 16898#0:* 18712916 SSL握手,客户端:SSL_do_handshake()失败(SSL:错误:140A1175:SSL例程:SSL_BYTES_TO_CIPHER_LIST:不适当的回退) 。 。 。 ,服务器:0.0.0.0:443 我们的nginxconfiguration如下: server { root /var/www/fl/current/public; listen 443; ssl on; ssl_certificate /etc/nginx/ssl/wildcard.pem; ssl_certificate_key /etc/nginx/ssl/wildcard.key; ssl_session_timeout 5m; ssl_session_cache shared:SSL:50m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_prefer_server_ciphers on; 我们收到了一些关于用户无法访问该网站的电子邮件。 一位用户表示这是他们在Firefox中遇到的错误: 安全连接失败 在与******.com连接期间发生错误。 服务器拒绝握手,因为客户端降级到比服务器支持的更低的TLS版本。 (错误代码:ssl_error_inappropriate_fallback_alert) 您尝试查看的页面无法显示,因为收到的数据的真实性无法validation。 如果我理解正确,那么当客户端使用比它和服务器支持的更低版本的TLS时,回退警报是一种安全防范措施。 考虑到我们现在支持更高的协议版本,这个错误似乎很有意义。 我不明白的是,为什么当连接到我们的网站时,这个改变会导致一些用户的问题。 这是我们的configuration或浏览器中的错误吗? 我们现在在Qualys SSL服务器testing中得到一个“A”,所以我犹豫回到我们的旧configuration。
我不确定如何用OpenSSL 重新编译 PHP? 我一直在环顾OpenSSL PHP页面和OpenSSL教程,但是我的服务器周围没有看到任何openssl.so或php-openssl.so 。 apt-get channel上有一个简单的包,所以我可以从那里安装它? 我只需要用OpenSSL重新编译PHP,但我不知道如何做到这一点。 编辑:我运行一个专用的服务器,它的Ubuntu 11.10。
我试图与godaddy产生一个CSR。 我使用以下命令来创build证书: openssl req -new -nodes -keyout server.key -out server.csr openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 但是,当我使用在我的server.csr文件中生成的密钥,我从godaddy得到以下错误: The CSR key length must be 2048 or 4096 我如何指定CSR的密钥大小? PS我打算在一个托pipe在heroku上的域使用这个。