Articles of openssl

使用wget获取文件时出现以下错误： Issued certificate not yet valid. To connect to www.atlassian.com insecurely, use '–no-check-certificate'. 使用openssl进行testing会返回类似的消息： Verify return code: 9 (certificate is not yet valid)

我试图为我的内部服务器之一设置一个SSL代理，使用Squid访问https://www.googleapis.com ，以使该服务器上的Rails应用程序能够通过代理访问googleapis.com 。 我是新手，所以我的方法是使用Squid设置SSL透明代理。 我在Ubuntu 12.04上构buildSquid 3.3 ，生成一对ssl key和crt，并configuration这样的squid： http_port 443 transparent cert=/home/larry/ssl/server.csr key=/home/larry/ssl/server.key 几乎所有其他configuration都是默认的。 持有key / crt的dir的授权是drwxrwxr-x 2 proxy proxy 4096 Oct 17 15:45 ssl 回到我的开发笔记本电脑上，我把<proxy-server-ip> www.googleapis.com放在我的/etc/hosts以便让电话进入我的代理服务器。 但是当我在我的rails应用程序中尝试它时，我得到： SSL_connect returned=1 errno=0 state=SSLv2/v3 read server hello A: unknown protocol 我也尝试用openssl在cli： openssl s_client -state -nbio -connect www.googleapis.com:443 2>&1 | grep "^SSL" SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client […]

我试图克隆刚刚完全开源的primefaces库，并遇到了一些麻烦。 试图git clone仓库git clone产生一个SSL错误： wug@wugputer:/src/test$ git clone https://github.com/atom/atom.git Cloning into atom… error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed while accessing https://github.com/atom/atom.git/info/refs fatal: HTTP request failed 谷歌search已经表明，这是一个失败的CURL调用，并有一个环境variables，我可以设置获得更多的信息，但没有显示任何特别有用的东西： wug@wugputer:/src/test$ GIT_CURL_VERBOSE=1 git clone https://github.com/atom/atom.git Cloning into atom… * Couldn't find host github.com in the .netrc file; using defaults * […]

我有一个自定义的easyrsa安装程序，它有一个根和三个由root签名的CA。 （根据用户types，三个不同的子卡），如下所示： RootCA +—– AdminUserCA +—– EmployeeCA +—– ClientCA 我有身份validation使用以下configuration： server { listen 127.0.0.1:443; server_name www.acme.corp; ssl on; ssl_certificate /data/src/easy-rsa/bundles/www.acme.corp_bundle.crt; ssl_certificate_key /data/src/easy-rsa/whfWebCA/pki/private/www.acme.corp.key; add_header Strict-Transport-Security "max-age=315360000; includeSubdomains"; ssl_protocols SSLv3 TLSv1; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA; ssl_prefer_server_ciphers on; ssl_verify_client optional; ssl_client_certificate /data/src/easy-rsa/bundles/client_auth_ca_chain.crt; ssl_verify_depth 2; ssl_crl /data/src/easy-rsa/bundles/crls/all.pem; … } 问题在于CRL检查。 CRL由签发CA签字，因此不能像中间证书+根证书一样join。 因此，用户的证书将由给定的中间CA根据他们的用户types来发布。 问题是我真的需要检查四个CRL列表才能生效。 nginx ssl_crl只支持一个文件。 所以我的问题是：是否有可能让nginx正确检查客户端证书在这个安装程序，而不必在我的应用程序进行检查？

在尝试读取由自身写入的subjectAltName / otherName / UTF8值时，似乎OpenSSL被破坏： 相关的openssl.cnfconfiguration（使用正式但随机的OID）： [alt_names] DNS.1 = www.foo.com DNS.2 = www.bar.org IP.1 = 192.168.1.1 IP.2 = 192.168.69.144 email = email@me otherName = 1.3.6.1.4.1.1;UTF8:some other identifier 从此configuration生成的CSR转储的样本： TLS Web Server Authentication X509v3 Subject Alternative Name: DNS:www.foo.com, DNS:www.bar.org, IP Address:192.168.1.1, IP Address:192.168.69.144, email:email@me, othername:<unsupported> Signature Algorithm: sha1WithRSAEncryption 6f:4a:1d:8f:43:7e:4d:d1:0c:7e:05:9d:1f:f0:98:b1:69:cf: 有人可以指出我是否做错了什么？ 这使我疯狂。

首先，我有什么： OpenSSL 1.0.1e-fips 11 Feb 2013 nginx version: nginx/1.6.2 CentOS Linux release 7.0.1406 (Core) 并为了testing目的，自签名证书： openssl req -x509 -sha256 -newkey rsa:2048 -keyout private_key.pem -out certificate.pem -days 365 openssl rsa -in private_key.pem -out certificate_key.pem openssl dhparam -out dhparam.pem 4096 所以，问题在于 – 当我在浏览器中打开test.example.com时，我得到了ERR_CONNECTION_RESET。 在nginx错误日志中，我看到以下内容： 2015/02/07 03:18:34 [error] 27951#0: *17 no "ssl_certificate" is defined in server listening on […]

* TLDR ; 如果你有连接问题，不仅要确保你已经将所需的规则添加到你的防火墙，还要确保（ $ iptables -L -v ）规则的顺序是正确的！ * 现在已经过了几天了，我不知道为什么我的IMAP（993端口）拒绝工作（Dovecot，版本2.2.22）。 连接不成功，出于某种原因，我没有看到。 使用openssl解决连接问题：在端口993上连接不起作用： $ openssl s_client -connect my-domain.com:993 收益： connect: Connection timed out connect:errno=110 但是使用的端口（993）似乎是开放的： $ ufw status 收益： Status: active To Action From — —— —- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 25/tcp ALLOW Anywhere 587/tcp ALLOW Anywhere 993/tcp ALLOW Anywhere […]

我build立并安装了openssl 1.0.1。 我如何强制Apache使用TLS 1.2密码？

我正在使用Godaddy证书，通常我会连接证书，并成为一个链式证书 cat www.example.com.crt sf_bundle.crt > chained.cert 而在我的nginx.conf中， ssl_certificate chained.cert 在浏览器中，我看到如下链： www.example.com Starfield Secure Certification Authority Starfield Technologies Inc. 这很好，一切正常。 今天，我读了一篇博客文章CloudFlare [1]，它说： The lowest hanging fruit in terms of reducing the size of these certificates was to remove the root certificates from the certificate bundle. There's no reason to include these since they should already be […]

我有一对根CA密钥。 如何使用SAN（主题备用名称）扩展名发行新的SSL证书？ 我试过这个 openssl genrsa -out ssl.key 2048 openssl req -new -config ssl.conf -key ssl.key -out ssl.csr openssl x509 -req -sha256 -days 3650 -CAcreateserial -CAkey root.key -CA root.crt -in ssl.csr -out ssl.crt ssl.conf中： [req] prompt = no distinguished_name = req_distinguished_name x509_extensions = v3_ca [req_distinguished_name] CN = 127.0.0.1 [v3_ca] subjectAltName = @alt_names [alt_names] IP.1 = 127.0.0.1 […]