我想弄清楚如何启用TLS 1.2,但是确切地find需要的东西并不容易。 看着这个问题显示了一个必需的configuration,但是被标记为过期,第二个答案意味着唯一的其他要求是一个OpenSSL至less是版本1.0.1,在答案发布时(几乎4.5年前)不是根据答案在当时发布。 其他的结果也提到了一个特定的Apache版本的需求,但是尽pipe大多数人都同意特定的版本,但其他一些人则指向更老的版本,或者只是更新的版本。 现在,在2016年初的几年之后,如果希望使用某些Web服务,TLS 1.2正在成为一种需求,但是更新需求的唯一信息已经过去了几年,并且分散在最好的状态,其中最好的谷歌结果包括类似这样的问题哪些被标记为过期。 那么,在Apache服务器上启用TLS 1.2的实际要求是什么呢? 什么版本需要什么,并configuration唯一的其他要求?
我有一个由我的同事创build的证书和私钥文件。 在Apache /etc/apache/ssl目录中放置了所有的configuration。 我用https://打开网站,得到了“ 证书不可信 ”的错误,并且“ url不匹配 ”,所以我把它添加到受信任的根证书颁发机构 。 但它没有解决错误,问题依然存在。 当我查看证书详细信息时,可以看到“发给”和“发出”具有不同的值。 试试1: 我使用下面的命令创build了自己的证书和私钥文件,并重新加载了Apacheconfiguration。 sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt 此证书具有“由…颁发”和“颁发给”相同的值。 之后,我再次打开该网站与https://并得到“ 证书不可信 ”的错误,这一次没有“ url不匹配 ”的错误。 我将这个证书添加到受信任的根证书颁发机构 ,我能够看到绿色的状态和网站被encryption。 为什么不能使用现有的证书?
我在我的Linksys LRT224上设置了OpenVPN客户端configuration,但是当我尝试“导出客户端configuration”时,浏览器显示一个空白页面,“400错误请求 – 您的客户端发出了格式错误或非法的请求。
我试图find我的服务器的一个奇怪的问题。 在最后一天左右,与某些受SSL保护的网站(包括HTTP和SMTP)的连接开始失败。 这是openssl的输出: CONNECTED(00000003)depth = 1 C = IL,O = StartCom有限公司OU =安全数字证书签名,CN = StartCom Class 2主要中间服务器CAvalidation错误:num = 20:无法获得本地颁发者证书validation返回:0 这仅影响受startcom证书保护的服务器,并且仅在最近几天才开始发生。 我证实,StartCom证书安装在/ etc / ssl / certs中,他们是我需要的。 是什么让这真是奇怪的是,使用wget成功和curl失败。 这是Debian Jessie。
我最终试图获得一个PHP CAS客户端(带有Apache的zend服务器8)来信任一个CAS服务器(tomcat 7),为此我已经尽了自己的私钥基础设施,在这里看到了密码取而代之的是臀部: PKI GEN #root key openssl genrsa -out rootCA.key -aes256 -passout pass:butts 4096 openssl req -x509 -new -key rootCA.key -out rootCA.crt -subj '/C=US/O=World Domination/CN=WorldDom Root CA' -days 3650 -sha256 -passin pass:butts #intermdiate key openssl genrsa -out intermediateCA.key -aes256 -passout pass:butts 4096 openssl req -new -key intermediateCA.key -out intermediateCA.csr -subj '/C=US/O=<orgname>/CN=<orgname> Intermediate CA' -passin […]
首先,我尝试从openssl.org下载源码压缩包openssl-1.0.1s.tar.gz并执行./config && make install ,尽pipe它似乎已经成功完成了这个过程,但我不知道编译的地方代码去,或者如果它被安装在所有,因为我仍然有一个非常旧版本的openssl链接在/usr/bin/ ,似乎没有工作。 [root@E345 openssl]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 然后,我尝试下载rpm软件包并用rpm -Uvh安装,似乎安装正确,但是有大量的警告,和上面一样的结果, [root@E345 openssl]# rpm -Uvh openssl-1.0.1e-42.el7.9.src.rpm Updating / installing… 1:openssl-1:1.0.1e-42.el7.9 ################################# [100%] warning: user mockbuild does not exist – using root warning: group mockbuild does not exist – using root warning: user mockbuild does not exist – using root […]
我想检查是否有必要testing每一个可能的ssl,tls我的testsslserver列出。 目的是找出尽可能多的http响应。 最重要的是,我想检查一下,除了200以外的HTTP响应代码是否有效: echo "—HTTP 1.0 —-" printf "GET / HTTP/1.0\r\n\r\n" | nc -v $1 $2 echo "Last Run:GET / HTTP/1.0\r\n\r\n" printf "OPTIONS / HTTP/1.0\r\n\r\n" | nc -v $1 $2 echo "Last Run:OPTIONS / HTTP/1.0\r\n\r\n" echo "—HTTP 1.1 —-" printf "GET / HTTP/1.1\r\nHost: $1:$2\r\nConnection: close\r\n\r\n" | nc -v $1 $2 echo "Last Run:GET / HTTP/1.1\r\nHost: […]
我必须pipe理一系列具有不同分布的Linux机器(服务器和客户端)。 我们希望在将来使用docker工人,所以未来可能会有更多不同的差异。 我曾尝试自动添加和删除自签名的ca.pem文件,并注意到,有时.pem文件驻留在/ etc / ssl / certs(debian)中,有时位于/ usr / share / pki / trust或/ etc / pki / trust(opensuse),有时这些目录是空的或不存在的。 有一种常见的方式或命令来添加/删除Linux上的ca-certificates到机器上的“官方”openssl堆栈吗? 如果没有,我怎么find正确的地方为CA证书或在哪里(在哪个configuration文件)为openssl定义的文件夹? 我知道这只是一半的路由,因为有些应用程序正在使用自己的私有堆栈(curl?),但是在一个众所周知的地方拥有自签名的ca-cert会有很大的帮助。
这实际上适用于我们使用这个相同证书的其他一些服务,但是当你比较testing结果时,Apache做这件事的方式是最明显和矛盾的。 我们在我们的网站https://webmail.lightspeed.ca上有通配证书。 Web浏览器给我们的客户一个绿色的锁,GeoTrust的CryptoReport在https://cryptoreport.geotrust.com/checker/告诉我,我们的证书安装正确。 然而,当我尝试使用openssl s_client -connect webmail.lightspeed.ca:443 ,我得到错误Verify return code: 20 (unable to get local issuer certificate) 这就是我们的Apacheconfiguration对于SSL的外观: SSLEngine on SSLCertificateFile /mailhome/webmail.lightspeed.ca/ssl.cert SSLCertificateKeyFile /mailhome/webmail.lightspeed.ca/ssl.key SSLCACertificateFile /etc/ssl/certs/GeoTrust_DV_SSL_CA-G3.pem 虽然我知道连接正在encryption,但显然这个错误信息也意味着我没有被完全validation为我所说的我。 当我们应用这些相同的证书来说我们的SMTP或POP服务器时,这是有问题的,因为有些客户端(如Android的Outlook)真的是这样的肛门。 例如,在http://www.checktls.com/perl/TestReceiver.pl的testing不喜欢这个,我们得到了错误Cert NOT VALIDATED: unable to get local issuer certificate 。 我觉得这很奇怪,因为文件GeoTrust_DV_SSL_CA-G3.pem是我们的中级CA证书。 它是Geotrust的CA,用于我们特殊的通配证书。 这只不过是我的一个恶化来源。 你的帮助将不胜感激。
我的老板使用Openssl来购买证书,现在我有这个文件: 一个密钥文件(yourdomain.key), 一个csr文件(yourdomain.csr), cer文件(my_domain.cer)(从comodo.com收到的IIS SSL证书(PKCS#7)) 文件.cer有格式 —– BEGIN PKCS7 —– ……. —– END PKCS7 —– 为了在我的tomcat上configuration我的SSL证书,我想重新生成密钥库文件。 我谷歌,但没有答案可以帮助我。 任何人都可以帮助我做到这一点?