我为我的组织build立了一个OpenVPN服务器,并且正在阅读客户端密钥工作的不同方式。 我对这些客户端密钥和帐户authentication背后的所有概念还是有点陌生。 使用./build-key-pass和./build-key生成客户端密钥有什么好处? 这与保护SSH密码的密码类似吗? 并不是所有的员工都需要技术支持,所以值得引入另外一个设置步骤? 我现在看到,使用客户端密钥时,有一个选项不需要典型的用户名/密码authentication。 我的计划是为每个客户端在服务器上做一个useradd。 如果我不使用用户身份validation设置,那么我将如何撤消对特定客户端的访问? 我怎样才能将这些客户证书安全地交付给我们所有需要账户的员工? 我相信client.key文件应该是私人的,发送电子邮件似乎是不安全的。
我试图用OSX El Captain上的terminal连接到我的AWS RDS MySQL实例,但是我一直得到这个错误: ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1) 这是一个新鲜的OSX安装,我用brew来安装mysql以及openssl,我可以连接到本地服务器。 另外它似乎MySQL的工作台完美的工作。 我的Ubuntu机器也通过terminal连接到RDS实例。
我有一个与IIS7的Windows 2008服务器。 每当服务器重新启动,SSL停止工作。 正常的HTTP请求正常工作,但是对HTTPS地址的任何请求都会在浏览器中出现典型的错误消息: 找不到服务器或DNS 我可以通过打开IISpipe理器并调出相关网站的“绑定…”窗口来暂时修复它。 然后我select“https”,点击“编辑”,然后点击“确定”,而不需要改变设置。 这样做后,浏览到https://再次工作,直到下一次重新启动。 这个问题看起来很像这里描述的问题 ,但根据证书 MMCpipe理单元,相关证书确实有一个私钥。 我也很肯定,我从来没有在个人商店安装证书,但直接进入机器商店,但它已经有一段时间了… 事件日志中除了链接到的post中描述的事件ID 36870之外没有太多内容。 任何人都可以帮助我解决这个问题,以便即使服务器重新启动后,SSL将工作?
所以我有一个使用不同function的SSL证书的设备。 我使用这些命令使用keytool生成一个CSE: keytool -genkey -alias tomcat -keyalg RSA -keystore / opt / msw / data / keystore -storepass changeit keytool -certreq -alias tomcat -keyalg RSA -keystore / opt / msw / data / keystore -storepass changeit -file /root/certreq.csr 其中生成了我用来下载证书的CSR,然后我使用它来安装它 “keytool -import -alias tomcat -trustcacerts -keystore / opt / msw / data / keystore -storepass changeit […]
我的基本困惑是通配符证书不支持子域的子域,也不能帮助replace域名。 基本上,如果我的CN是example.com ,我想要一个主题备用名称字段,看起来大致像这样: DNS:example.com DNS*.example.com DNS:*.beta.example.com DNS:example.net DNS:*.example.net DNS:*.beta.example.net 使用自签名的证书,我证实了浏览器将正常工作。 不幸的是,我看到的证书颁发机构(Thawte,GoDaddy,Verisign,Digicert)似乎都支持通配符证书和 Subject Alternative Name(有时称为“多域UCC”)。 我甚至打电话给GoDaddy技术支持人员确认。 是否有一个支持通配名的通配符的CA(受99%的浏览器信任)?
在Windows 2008上,我使用OpenSSL生成自签名证书(openssl.cfg文件为空): openssl.exe req -x509 -config openssl.cfg -days 10950 -subj "/CN=ComputerName/OU=Organization/ST=OR/C=US/" -newkey rsa:2048 -keyout private.pem -out public.pem -nodes openssl.exe pkcs12 -export -in public.pem -nodes -inkey private.pem -name "Self-Signed SSL Certificate" -out ssl.cer -passout pass: 然后使用“证书”pipe理单元将证书导入到个人存储中。 当我导入它时,我选中“将此键标记为可导出”。 但是,当我尝试导出证书时,“是,导出私钥”选项呈灰色,并且在对话框中有一个注释,指出“注意:无法find相关的私钥”。 为什么我不能导出我的证书?
使用https为网站确保通信是encryption的,并来自和去正确的服务器。 但是https与http相比非常慢,它也打破了httpcaching协议。 有时足以确保用户位于正确的域中,并且在连接期间内容未被修改。 所以我不明白的是为什么没有办法让数字签名的网页内容通过http头发送签名(或哈希),所以浏览器可以validation内容。 证书可以在一个已知的地方或附加的标题栏中提供。 由此产生的协议几乎可以兼容caching,代理和浏览器等各种HTTP(如果浏览器不理解头部,它可以忽略它,一个新的浏览器可以显示该网站是否有效)。 那么问题出在哪里:这个话题之前是否讨论过? 还是有一个RFC或什么可以签署网页已经?
在IIS 6上强制HTTP请求到HTTPS请求的最佳方法是什么? 例如,我有一个目录和一个整个站点,我需要强制两个不同的服务器上的HTTPS。 什么是完成这个最好的或首选的方法? 这将需要将HTTP中的请求redirect到HTTPS。 我正在考虑从Linux世界沿着mod_rewrite的思路。 请注意,我已经安装了一个证书并正在运行。
我试图让我的头服务器证书。 我是否正确地说: 证书绑定到请求者(即客户端),以certificate他们的身份。 创build时的证书是为了一定的安全性,所以如果服务器名称发生变化,证书是无效的。 所以对于SSL证书,不能使用SSL。 这是证书如何工作? 它如何提高服务器和客户端的安全性?
在使用RD网关pipe理器的Windows Server 2008上,可以创build一个SSL自签名证书。 还有哪些其他方法可以在Windows Server 2008上创build证书?