使用以下命令使用OpenSSL查询Sparkfun的CDNurl时: openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443 在证书中返回的通用名称是*.sparkfun.com ,它无法validation,但是如果您在Chrome中加载主机,则显示的通用名称是*.cloudfront.net 这里发生了什么? 这是一个问题,因为我通过Squid SSL_Bump代理SSL的环境,它生成一个由我本地信任的CA签署的域名的证书。 这适用于所有领域,但上述,因为CN不匹配,因为新的证书是使用OpenSSL生成的。 编辑 – 我已经validation了与远程数据中心的服务器上的OpenSSL相同,该服务器与Internet没有直接连接,没有涉及代理或过滤。 编辑 – 这个问题是由于SNI,因为接受,但要填写的信息,为什么它导致与Squid和SSL_Bump的问题: 该项目不支持将SSL服务器名称指示(SNI)信息转发到原始服务器,并会使这种支持变得更加困难。 然而,SNI转发有其自身的严峻挑战(超出本文的范围),远远超过了增加的转发困难。 取自: http : //wiki.squid-cache.org/Features/BumpSslServerFirst
我正在为nginx的SSLconfiguration中的ssl_dhparam指令生成Diffie-Hellman参数。 使用命令openssl dhparam 2048 -check -out dhparam.pem创build文件openssl dhparam 2048 -check -out dhparam.pem 。 我应该为这个文件设置哪些权限? 共享一个git仓库是安全的,还是应该保持私密?
我目前有一个SSH密钥,我用了一段时间,我想开始使用一个新的钥匙圈GnuPG。 但是,鉴于我已经使用了我的密钥很久了,我仍然希望在GPG中使用该密钥作为主/主密钥。 我已经尝试通过这些说明导入密钥。 但是,我最终被认为是一个“子”。 此外,如果我尝试导入它而不创build标准的GPG密钥,GPG甚至不会看到这个子密钥。 (我假设子键需要首先由主键签名。) 如何使用此密钥作为secring.gpg中的主键?
我试图从启用SSL模块的源代码编译nginx。 当我运行这个命令时: ./configure –with-http_ssl_module 它通常会检查一切是否安装正确,然后popup: 检查OpenSSL库…未find ./configure:错误:SSL模块需要OpenSSL库。 您可以不启用这些模块,或者将OpenSSL库安装到系统中,或者使用–with-openssl = option从源代码使用nginx静态构buildOpenSSL库。 我知道OpenSSL是安装的,因为当我openssl version我得到了OpenSSL 1.0.1 14 Mar 2012 所以我很难过 我想也许OpenSSL是不是默认位置,这就是为什么Nginx无法find它,但我不知道这是什么,因为它是预先安装在服务器。 我怎么知道这是哪里? 该服务器正在运行Ubuntu 12.04 LTS。 谢谢。
我正在尝试第一次创build一个SSL证书。 我不知道这是如何工作,只是按照提供给我的一些指示。 第一个命令工作正常: openssl genrsa -des3 -out privkey.key 2048 那么第二个命令是给我的错误: openssl req –new –nodes -key privkey.key –out server.csr 它说“未知选项 – 新”,然后列出所有的选项,其中之一当然是“新” 谷歌的错误信息只给了我一个有用的论坛post,说我需要使用-config选项指向我的openssl.cnf文件。 所以我search了openssl.cnf的唯一实例是在我的XAMPP安装。 这给了我额外的“未知选项”错误,依靠我在-config选项中的命令。 openssl req -config /Applications/XAMPP/xamppfiles/share/openssl/openssl.cnf -key privkey.key –out server.csr -new -nodes 这给了我“未知选项-out”这是荒谬的。 有人可以帮助我命令的顺序,或者让我知道是否有与XAMPP openssl命令已知的错误? 我正在运行OSX Lion和XAMPP 1.7.3
如何从.p12文件生成.key文件和.crt文件?
我正在寻找一个主CRL列表。 我发现的最接近的是Chromium项目的CRLSets 。 我用crlset工具来获取crlset( crlset fetch > crl-set ),然后转储序列号( crlset dump crl-set ),所以我看到这样的事情: f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc 03fb3b4d35074e 03fbf94a0e6c39 04097214d6c97c 0442c6b3face55 …. 我希望能够传递openssl或curl(它使用openssl)一个包含所有坏序列的主列表的CRL文件。 例如,而不是传递verisign的crl,我希望一切都通过。我想我可以用crlset做到这一点,但我不认为格式是兼容的。 我试过openssl crl -inform DER -text -in crl-set但是它说: unable to load CRL 5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c: 1319: 5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta sn_dec.c:381:Type=X509_CRL 如果任何人有任何想法如何做我说的或任何创造性的方式来做到这一点,请让我知道。 谢谢
我想build立一个证书颁发机构,然后我可以导入到公司的所有浏览器和系统中,以便在使用HTTPS或SSL时摆脱所有这些令人讨厌的客户机警告。
有没有办法通过在初始命令中指定所有必需的参数来创buildSSL证书请求? 我正在编写一个基于CLI的Web服务器控制面板 ,如果可能的话,我希望避免在执行openssl时使用expect 。 这是创build证书请求的典型方法: $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout foobar.com.key -out foobar.com.csr Generating a 2048 bit RSA private key ………………………………………….+++ ………………………………….+++ writing new private key to 'foobar.com.key' —– You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to […]
您可以使用* .domain.com作为名称来创buildSSL证书。 但不幸的是,这不包括https://domain.com 有没有解决这个问题?