我正在运行一个服务器“myserver.net”,它有子域名“a.myserver.net”和“b.myserver.net”。 创build(自签名)SSL证书时,我必须为每个包含FQDN的子域创build一个,即使这些子域只是虚拟主机。 OpenSSL只允许一个“公共名称”,这是有问题的域名。 是否有可能创build一个有效的域的所有子域的证书?
背景 我已经看到Comodo有一个椭圆曲线根(“COMODO ECCauthentication机构”),但是在他们的网站上我没有看到EC证书的提及。 Certicom是否拥有阻止其他发行人提供EC证书的知识产权? 广泛使用的浏览器是否无法支持ECC? ECC不适合传统的PKI使用,如Web服务器authentication? 还是只是没有需求呢? 由于NSA Suite B的build议,我有兴趣切换到椭圆曲线。 但对于许多应用程序来说这似乎并不实际。 赏金标准 要索取奖金,答案必须提供一个链接到知名CA网站上的一个或多个页面,描述他们提供的ECC证书选项,价格以及如何购买。 在这种情况下,“众所周知”意味着在Firefox 3.5和IE 8中必须默认包含正确的根证书。如果提供了多个合格的答案(人们可以希望!),那么来自无处不在的CA将赢得赏金。 如果这还没有消除任何联系(仍然希望!),我将不得不酌情select一个答案。 记住,有人总是声称至less有一半的赏金,所以即使你没有全部的答案,请给它一个镜头。
我即将重新生成我的CA证书(由OpenSSL维护),主要用于为客户提供OpenVPN访问Intranet的权限。 我的问题是关于这个 – “证书颁发机构根证书到期和更新”。 Shane Madden提供的一个很好的答复解释说,对由特定CA签名的证书的信任实际上取决于CA私钥的签名,并且如果CA自己的证书被replace,信任链不会被破坏该新证书已由相同的私钥签名。 问题是我主要使用我的CA为OpenVPN客户端生成证书。 每个客户端都会收到捆绑了客户端证书和密钥的PKCS#12文件以及 CA证书,以便客户端能够信任OpenVPN服务器的证书。 反过来,服务器被告知读取为客户端捆绑的相同的CA证书。 所以我的问题是:如果我replaceCA证书,以便OpenVPN服务器立即看到它,而客户端将PKCS#12捆绑包中的旧CA证书,客户仍然会信任服务器的证书? 或者我应该采取另一条路线,像这样走? 重新生成CA证书,但推迟部署。 为每个客户端重新生成并重新部署PKCS#12捆绑包,包括活动CA证书和新的PKCS#12捆绑包。 最后在服务器上部署新的CA证书。 据推测,这将使客户挑他们认为合适的CA证书,但我不知道。 对于我应该采取的处理我的情况的策略,我将不胜感激。
我正在使用squid的sslBump和dynamicSSL证书生成function,下面是我对sslBump的configuration sslcrtd_program / usr / lib64 / squid / ssl_crtd -s / usr / local / squid / var / lib / ssl_db -M 4MB sslcrtd_children 5 sslproxy_cert_error允许全部 always_direct全部允许 ssl_bump client-first all sslproxy_cert_error允许全部 sslproxy_flags DONT_VERIFY_PEER http_port 3128 ssl-bump generate-host-certificates = on dynamic_cert_mem_cache_size = 4MB cert = / etc / squid / ssl / myCA.pem 当我开始鱿鱼时,我正面临着错误。 […]
我在CentOS上安装了OpenVPN服务器。 我有两个客户端 – 首先在CentOS下(所有的作品),并尝试连接Windows客户端。 我用生成build-key实用程序生成客户端的证书。 如果我在服务器端检查它 – 似乎都可以: # openssl verify -CAfile /etc/openvpn/clients/setevoy/ca.crt /etc/openvpn/clients/setevoy/setevoy.crt /etc/openvpn/clients/setevoy/setevoy.crt: OK 但是 – 当我在Windows下检查相同的证书时 – 出现错误: $ openssl verify -CAfile ca.crt setevoy.crt setevoy.crt: /C=UA/ST=CA/L=Kiev/O=Fort-Funston/OU=MyOrganizationalUnit/CN=venti.setevoy.org.ua/name=openvpn_root/[email protected] error 7 at 1 depth lookup:certificate signature failure 文件似乎是相同的服务器上(从我复制他们)和Windows客户端(他们被放置在c/Program Files (x86)/OpenVPN/config : # md5sum /etc/openvpn/clients/setevoy/ca.crt 53984cf44daffb708cdb937fa3d30438 /etc/openvpn/clients/setevoy/ca.crt $ md5sum ca.crt 53984cf44daffb708cdb937fa3d30438 *ca.crt # md5sum /etc/openvpn/clients/setevoy/setevoy.crt c818d312e58db514a9a2afae4c687241 […]
我试图debugging我的第一次尝试在我正在开发的应用程序中使用SSL固定。 我使用共享主机服务,我有几个域激活。 其中一个领域将作为API端点。 我想利用SSL钉住来提高安全性。 我问我的托pipe服务提供商安装证书,密钥和CA Bundle。 这看起来还行,因为当我使用任何网页浏览器浏览网站时,证书详细信息与我期望看到的相符。 但是,当我尝试连接使用我的应用程序,它失败,因为证书不匹配。 我仍然搞清楚如何更好地debugging这个部分,看看应用程序匹配…但这是另一个线程 作为我已经运行的故障排除的一部分 openssl s_client -connect example.com:443 -showcerts 这是发送一个连接到服务提供商通配符证书 – 我希望看到我在浏览器中看到我的证书 所以我的问题是: 我期望浏览器中显示的证书应该与openssl返回的内容匹配吗? 如果没有,有人可以向我解释为什么差异? 我的开发环境是MAC OS / X,openssl的安装版本是OpenSSL 0.9.8zf 2015年3月19日。托pipe服务提供商使用光速(不知道他们的操作系统)。 我使用标准的apache / PHP设置进行本地开发
我正在尝试configuration在Java 1.8.0_45-b14上运行的jetty-distribution-9.3.1.v20150714后端,并使用由自签名CA证书签名的证书进行SSL固定。 遵循苹果指南 ,我创build了一个自签名的CA证书,然后基于该CA证书创build了一个证书。 结果是ServerCertificate.p12与服务器的证书和一个私钥和一个root.cer文件,将用于钉住。 $ keytool -list -keystore keystore.p12 -storetype pkcs12 server, Jul 27, 2015, PrivateKeyEntry, Certificate fingerprint (SHA1): AA:BB:CC………11:22:33 我以前曾经用可靠的CA签名过证书,所以后端应该configuration正确的SSL。 该移动应用程序的固定框架是与一个不同的网站自签名testing,它运作良好。 但是该应用程序无法通过该密钥库连接到我的后端: Trust anchor for certification path not found. 我感觉密钥库中缺lessCA证书,所以我试图用keytool -import -alias root -keystore keystore.p12 -storetype pkcs12 -trustcacerts -file root.crt (.crt是base64可读的证书文件),但没有帮助。 # after adding root.crt $ keytool -list -keystore keystore.p12 -storetype pkcs12 server, […]
我有一个带有两个通配符证书的Exchange 2013服务器,一个用于匹配内部AD区域,另一个用于公用域名。 证书是用这些名字来定义的: *.example.com *.local.example.com 当我尝试通过提交端口(587)进行连接时,所提供的证书是zone *.local.example.com的一个,该*.local.example.com抱怨服务的主机名称不匹配。 IMAP服务按照预期使用正确的*.example.com证书,但SMTP不。 已经在Powershell上尝试了Enable-ExchangeCertificate类的东西来从证书中删除SMTP服务,但是它不起作用。
我试图为HTTP和HTTPS设置通配符*.localhost和Nginx代理请求到localhost:3000 。 DNSmasq用于将*.localhostparsing为127.0.0.1 。 一切工作正常的HTTP,但HTTPS连接在Google Chrome中收到以下错误: There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID). 该证书是我通过设置添加到Chrome的自签名证书,并使用以下命令生成: openssl req -x509 -sha256 -newkey rsa:2048 -keyout localhost.key -out localhost.crt -days 3650 -nodes Subject如下: Subject: C=AU, ST=Western Australia, L=Perth, O=Zephon, CN=*.localhost 我的Nginxconfiguration如下: server { listen 80; listen 443 ssl; server_name localhost; ssl_certificate /etc/nginx/ssl/localhost.crt; ssl_certificate_key /etc/nginx/ssl/localhost.key; location / { proxy_pass […]
我在NGINX上有两个带有SSL的网站。 什么时候 curl -I https://www.1111.com answer: https://1111.com 但当 curl -I https://www.2222.com answer: https://1111.com curl -I https://2222.com answer https://2222.com 在nginx.conf中,我尝试改变/ import * .conf的顺序,当我在1111.com之前设置2222.com>回答改变相反。 1111.conf server { listen 80; server_name 1111.com www.1111.com; return 301 https://1111.com;$request_uri; } server { listen 443 ssl http2; server_name 1111.com; root /usr/share/nginx/1111.com; index index.php; … 2222.conf是类似的 我怎么能redirect所有https:// www。*和http:// www。*在这个网站,而不是其他?