我正在尝试在ubuntu上为我的scala play framework创build一个新的证书,但是我不能用keytool导入我的密钥。 我一直无法弄清楚是什么原因造成的,所以我想如果有人认识到我的问题,我会在这里看到。 我首先使用创build我的私钥 keytool -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore 然后我生成我的CSR keytool -certreq -keyalg RSA -alias tomcat -file my-csr-file.csr -keystore tomcat.keystore 复制并粘贴生成的CSR selectgodaddy上的tomcat服务器,我收到了godaddy新authentication。我得到3个文件: 28042ad1aadd20.crt gd_bundle-g2-g1.crt gdig2.crt 安装根证书和中间证书 wget https://certs.godaddy.com/repository/valicert_class2_root.crt –no-check-certificate keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file valicert_class2_root.crt wget https://certs.godaddy.com/repository/gd_cross_intermediate.crt –no-check-certificate keytool -import -alias cross -keystore tomcat.keystore -trustcacerts -file gd_cross_intermediate.crt 第二个中间(gd_intermediate.crt): […]
如果我简单地使用“SSLCertificateFile”和“SSLCertificateKeyFile”两次,证书链就会被打破。 我可以使用从不同的中间CA证书颁发的RSA和ECC证书吗? ================== 更新:OpenSSL 1.0.2解决问题。 只需使用“SSLCertificateFile”和“SSLCertificateKeyFile”两次。 请注意,“SSLCertificateFile”应该是证书的整个链。
我了解ssl握手stream程,但是我面临一个逻辑问题。 当用户select证书时,我需要根据应用程序对其进行validation,以了解其可靠性并与任何系统用户匹配。 但是,如果没有,我必须允许用户再次要求select另一个。 也许用户在他们的机器上安装了多个证书,并错误地select了错误的证书。 在我的实际情况下,要select另一个证书,用户必须closures浏览器并再次打开,但它会给用户带来负面的体验,我想改进它。 该解决scheme为每个请求都进行握手,因此它允许用户select另一个请求。 但是怎么做呢? 我发现的最相关的问题是https://security.stackexchange.com/questions/56623/avoiding-ssl-handshake-for-each-call 。 完整的握手是客户端和服务器彼此不认识时所做的(他们以前没有谈过,或者很久以前)。 在完整握手中,证书被发送,并且发生非对称密码(RSA,Diffie-Hellman …)。 缩略握手是客户端和服务器互相记住的内容; 更准确地说,他们记得在先前的完整握手中build立的algorithm和密钥,并同意重用它们(从技术上讲,它们重用“主密钥”并从中获得新的encryption密钥)。 我可以释放任何cookie,closures选项卡,并禁用保持活动,第二次握手不会打开证书提示。 它使用的是之前select的,而对于Chrome而言,Firefox没有“记住我的决定”的选项。 边缘,歌剧,边缘等相同的发生是否是一个标准? 我想,它可以由服务器端来控制,请求一个新的SSL握手。 我做了一些干预,试图自己解决,但没有成功 在客户端 : 清除所有的数据,甚至历史。 在另一个子域中打开Cookie 在服务器端 : 发送“连接:closures”标题 禁用保持活动 closures浏览器是唯一有效的新的SSL握手,但它会促进不良的用户体验。 那么,如果我正在清理浏览器中的所有数据,closures连接,删除所有活动的数据,并且仍然使用第二个请求中select的第一个证书,直到closures浏览器(终止所有进程),出现错误,或者与浏览器(全部)或与服务器。 如果我的应用程序使用SSL对用户进行身份validation,则不能在不closures浏览器的情况下使用多个login名,这是不对的,应该有重新协商此身份validation的方法。
使用证书的SSL客户端authentication – 这是一个复杂的话题,我认为我已经学会了足够的东西,使其更加复杂。 这是我的基本理解:公钥和私钥由证书颁发机构生成。 这些信息可以保存在“证书”中,然后由客户端使用来进行authentication。 为什么有可能没有私钥的证书? 我知道,如果从Windows证书商店导出证书,您可以导出它没有私钥。 没有使用私钥的证书如何? 我一直以为你需要这两个,如果你要转移到另一台电脑/设备使用。 如果公钥和CA已经知道,是否可以随时请求私钥?
我正在尝试编写一个解决scheme来自动提交Base64 CSR到一个Microsoft Certificate Services CA,但是一直在绊倒。 我的理解是,我需要指定的是一个证书模板和CSR文件,它会吐出一个证书。 CSR是为了 CN = myserver.ilo.domain.local,OU = ISS,O = Hewlett-Packard Company,L = Houston,ST = Texas,C = US 哪个是HP iLO3设备? certreq -Submit -attrib“CertificateTemplate:Webserver”infile.csr outfile.cer 运行此命令会导致: 证书请求处理器:数据无效。 0x8007000d(WIN32:13) 使用MSCS http:// certsvr / certsrv的Web界面,并通过高级设置(设置Web服务器证书)允许我提交证书请求就好了。 有没有人知道我可能会与certreq错了?
当我使用SSLSCAN来检查我的服务器的密码套件时,我发现有三种状态:Accepted,Rejected和Failed。 之后,我尝试禁用RC2(40位)的密码。 我在[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ RC2 40/128]下创build了一个新的密钥“Enabled”= dword:00000000。 SSLSCAN显示EXP-RC2-CBC-MD5(40位)是“失败的”,而其余的RC2(40位)的密码是“拒绝的”。 所以这让我感到困惑:失败和拒绝之间的区别是什么? 我偶然发现了关于google的所有信息,包括SSLSCAN的主页,但还没有find明确的答案。
我正在尝试生成一个自签名SSL证书来保护example.com和*.example.com 。 看这个和这个问题的答案,似乎有同样数量的人同意和不同意这是否可以完成。 然而,authentication机构的网站似乎暗示可以这样做。 目前,这些是添加到我的opensslconfiguration文件中的更改: [req] req_extensions = v3_req [req_distinguished_name] commonName = example.com [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = *.example.com 我尝试了上面的configuration并生成了一个证书。 导航到https://example.com ,会产生通常的警告:证书是“自签名的”。 接受后,我导航到https://abc.example.com并产生一个额外的警告,说这个证书只对example.com有效。 证书详细信息只在证书层次结构中列出example.com ,没有任何通配符子域存在的迹象。 我不确定这是由于configuration错误引起的,还是普通名称应该有通配符,或者这是不能做到的。 进一步更新: 这是通过使用openssl查看证书请求所得到的结果: # openssl req -text -noout -in eg.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/[email protected] Subject Public […]
我正在运行RHEL 6.4,而且我的可信证书最近已经过期,所以我决定更新它。 我已经从StartSSL获得了一个新的证书。 下载并将证书文件放在服务器上后,我在httpd.d/ssl.conf指定了新的证书。 /sbin/service httpd configtest 说Syntax OK ,但是 /sbin/service httpd restart 导致[FAILED]结果没有错误信息。 我在哪里可以find实际的原因? 更新: [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch [warn] RSA server certificate CommonName (CN) `www.mywebsite.com' does NOT match server name!? 这些线是在特定的病毒宿主的error_log中find的。 (www.mywebsite.com当然是阴谋理由的真实领域的替代)
如果我去这个urlhttps://solarpaces2014.pse.de/typo3/fileadmin/template/images/banner.jpg去寻找SSL证书,那么我看到一个有效的(通配符)证书为我们的域名pse.de 如果我访问这个URL https://85.214.107.230/img/common/globe.png (相同的IP),那么浏览器会抱怨:a)证书已过期,b)它是自签名的。 没关系,那就是pleskpipe理员站点的证书,但是我们的pipe理员无论如何都使用这个站点。 如果我curl这些文件curl发生这种情况: $ curl https://solarpaces2014.pse.de/typo3/fileadmin/template/images/banner.jpg > /dev/null % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 90217 100 90217 0 0 16960 0 0:00:05 0:00:05 –:–:– 319k $ curl https://85.214.107.230/img/common/globe.png > /dev/null % Total % Received % Xferd Average Speed Time […]
情况:具有30多个站点和10多个证书以及less量证书的IIS 7.5服务器可能已经过时。 过时意味着它们没有绑定到IIS上任何站点的ip:port。 我可以通过GUI检查每个站点绑定,但这似乎不是最快的方法。 使用什么命令可以获得使用特定证书的站点列表,其名称通常为*.example.com 。 我想我至less需要netsh http show sslcert ,但该输出只显示证书哈希和没有网站名称。