# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <… successful tls negotiation stuff …> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout : 300 (sec) Verify return […]
我有一个运行Apache 2.2.22的mod_ssl和OpenSSL v1.0.1的Ubuntu 12.04.2 LTS服务器。 在我的虚拟主机configuration(其中所有其他行为像我所期望的),我有的SSLProtocol线与-all +SSLv3 。 有了这个configuration,TLS 1.1&1.2被启用并正常工作 – 这对我来说是非常直观的,因为我期望在给定configuration的情况下只能启用SSLv3。 我可以使用-/+TSLv1启用/禁用TLSv1,并且按预期工作。 但是+/-TLSv1.1和+/-TLSv1.2不是有效的configuration选项 – 所以我不能以这种方式禁用它们。 至于为什么我想要这样做 – 我正在处理一个第三方应用程序(我无法控制),有TLS启用的服务器有一些错误行为,我需要完全禁用它前进。
我在我的服务器上运行debian jessie,最近升级到了带有http / 2支持的新的nginx web服务器(nginx 1.10)。 就像今天,它工作的很好,web服务器使用http2协议提供内容。 我已经阅读, 铬是下降NPN的支持 ,只允许ALPN 15.5.2016后。 ALPN是扩展,它需要安装openssl 1.0.2,但在debian上jessie只是openssl 1.0.1(在debian backports和另一个版本库中,这个debian没有openssl 1.0.2版本)。 并有问题 – 我已经从SPDY升级到http2,并在几天内,我将不得不closureshttp2,不能使用SPDY,因为这个版本的nignx只有http2。 我也读过,这个版本的debian会卡住openssl 1.0.1,只有debian stretch会有openssl 1.0.2。 但是发布date几乎是一年,Chrome会尽快放弃支持,所以我不想放弃http2协议的好处。 有没有解决scheme,如何在这个系统上安装openssl 1.0.2,而不build立自己的构build(坏的维护)或等待backports存储库有它? 我也不希望两个版本的openssl在我的系统上,如果他们之一必须手动链接和维护。 感谢您的帮助。
我想知道如何手动(使用openssl而不是puppet ca命令)创build可以由Puppet使用的CA? 目标是创build这样的CA,将其部署到多个puppetmasters上,而不是通过puppet cert命令在其上创build证书。 任何想法如何做到这一点? 我只能find这样的东西: https ://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster但它没有工作 – 在创buildCA和客户端证书并将其应用到puppetmaster后,它抱怨: Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both the […]
自从我们的电子邮件提供商更改其SSL证书后,基于单声道的POP3客户端拒绝连接到其安全的POP服务器以下载电子邮件。 其他客户没有问题; 例如Thunderbird和Outlook; 大多数能够检查奇数端口的SSL检查站点除外。 我一直在和这两家提供商合作,试图找出问题所在,但最终都与两者都陷入了僵局,因为我对SSL证书不够了解,无法指导提供商了解故障所在。 在调查过程中,我注意到以下两个命令的输出不同(为了便于阅读,我从输出中删除了证书): echo "" | openssl s_client -showcerts -connect pop.gmail.com:995 连(00000003) 深度= 2 / C = US / O = GeoTrust Inc./CN=GeoTrust Global CA validation错误:num = 20:无法获取本地颁发者证书 validation返回:0 — 证书链 0 s:/ C = US / ST = California / L = Mountain View / O = Google Inc / CN […]
我试图设置OCSPvalidation例程,所以首先要对环境感到舒适。 在例如OpenSSL中find优秀的教程:根据OCSP手动validation证书 。 出现多个问题,请耐心等待。 自从那个教程以来有了一些变化,但我认为主要是: 1)抓住你想validation的证书,例如 openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/—–BEGIN/,/—–END/p' > wikipedia.pem 2)build立证书链,例如 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem 然后进行适当的编辑。 我发现上面没有提供自签名的CA证书GlobalSignRootCA,所以join了。 3)确定ocsp URI,例如 openssl x509 -noout -ocsp_uri -in wikipedia.pem 哪个返回 http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4)调用openssl ocsp客户端,例如 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 哪个返回 [woody@oc2042275410 testCerts]$ […]
通常我根本不使用Internet Explorer。 我只在devise时使用它来进行接口testing(开发机器和未encryption的http)。 每周我都运行SSL实验室服务器testing,IE11能够访问我的网站。 今天,我发现我的第三方服务有问题。 某些特殊function不适用于Chrome或Firefox,因此我在Windows 7机器上启动了IE11。 而IE11显示我内置的错误页面女巫基本上只是说“页面不能显示”。 而典型的虚拟的bla bla像检查DNS等等。 整个错误页面上绝对没有encryption相关问题的迹象(就像普通浏览器所做的那样)。 回过头几个月,有一个schannel问题,阻止启用TLS1.2的IE访问HTTPS站点。 从那个时候,我的“IE浏览器的WTF清单”包含“禁用TLS1.2”作为检查点。 我应该怎么说… 禁用IE中的TLS1.2工作,我的网站再次可用 。 但是我不能在访问者浏览器上做到这一点。 现在到真正的问题: 为什么IE浏览器启用TLS 1.2时,Internet Explorer 11无法连接到我的HTTPS站点 ? 以及如何解决它在服务器端? SSL实验室告诉我,我的网站上一切正常 。 重要编辑:似乎IE11只能处理非前缀域,而不是TLS1.2启用时的前缀域。 没有前缀(www)的 域名 工作,而包含前缀(www)的域名不起作用 。 在服务器端我使用的是debian / 7 nginx / 1.7.8 openssl / 1.0.1e ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
大多数台式计算机都信任SSL证书,但只有一些Android设备。 但是,即使在证书不可信的Android设备上,也会安装根证书。 我一定试过了解决这个问题的方法,但是我认为这与AddTrust External CA Root (可能与SHA-256指纹缺失?)有关。 原因似乎不是一个不正确的证书授权包。 原因似乎与时间无关。 我使用的所有在线SSL检查器工具(例如, https : //www.ssllabs.com )都表示SSL证书已正确安装。 根证书位于我的Android设备和我的台式计算机上(请参阅两个屏幕截图中的SHA1指纹,它们是相同的)。 编辑1 我相信我在证书链中包含了新的中介证书,但SSL实验室仍然报告说它不存在(即使点击“清除caching”button)。 编辑2 要明确我所做的: 我已login到WHM并单击“在域中安装SSL证书”选项。 我input了域名“www.angusaustralia.com.au”。 我input了IP地址“27.124.127.2”。 我已经input了发给我的证书。 —– BEGIN CERTIFICATE —– MIIFnDCCBISgAwIBAgIRAP / vaD7B7JaVJvqC2H7jiDcwDQYJKoZIhvcNAQELBQAw gZMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtK ZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMTkwNwYD VQQDEzBVU0VSVHJ1c3QgUlNBIERvbWFpbiBWYWxpZGF0aW9uIFNlY3VyZSBTZXJ2 ZXIgQ0EwHhcNMTYwNjI3MDAwMDAwWhcNMTcwNjI3MjM1OTU5WjCBhzEhMB8GA1UE CxMYRG9tYWluIENvbnRyb2wgVmFsaWRhdGVkMScwJQYDVQQLEx5Ib3N0ZWQgYnkg Q3JhenkgRG9tYWlucyBGWi1MTEMxFTATBgNVBAsTDEVzc2VudGlhbFNTTDEiMCAG A1UEAxMZd3d3LmFuZ3VzYXVzdHJhbGlhLmNvbS5hdTCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBALbDVHckJORMdY0 / ygZqo0jjI02E883VpyL0RCeq7wuI wkCWys3L1v6ZjW45wBEbsYGwpZMV3 / IdXYTc5cO5ke4bYnXP4y5NbteVvNOQi1sX FMf8DlpJ + K0ZRcWQVIpsSIRRslXUPw4PWu27Q6Sgp1JuVa2YhXu7hSshIrIhkslT BX / IL67ZZfwo3wpMoig271yGHT4y1KAz9BfLTqVftL8n7uCKYFj3vo5E44czqSRl wYdQgSOLUc1G7jt33fCV8t + hXbKR0WdutTwdBQfftp2ZCSYwKCgCl3yDSLnqbbI + 8GdFuLM4c1ZZwbFfJiKSZ5qDBg0IeODgIRdxSDmirDECAwEAAaOCAfMwggHvMB8G A1UdIwQYMBaAFKbB5 […]
我想为我的域设置一个企业证书颁发机构。 所以我可以为各种目的颁发证书。 我想遵循将脱机CA作为根的最佳实践,并将我的企业CA设置为下属。 但是,为了完成这个任务,许可Windows的全部副本似乎很愚蠢。 我希望能够做的是安装一些实时分发到USB闪存盘上,然后安装openssl,并将我的CA安装在闪存驱动器上。 当我准备build立根密钥/证书时,我将断开计算机与networking的连接,然后再次不要在networking连接的计算机上使用该USB硬盘。 我能否为Windows企业级CA正确签署和创build从属CA证书,这将是可用的。 我需要使用哪些选项与OpenSSL构buildCA并正确签署从属CA证书。 我试图搜查networking, 这是我能find的唯一的主题。 但是,它早于2008年,我不完全确定这个人是成功的。
使用stunnel作为HTTPS反向代理时,如何缓解POODLE SSL漏洞?