在openssl.cnf中default_md (使用公共密钥默认MD)设置为默认值 。 如何在不生成证书的情况下找出默认值? 有没有一个文件,我可以检查它在哪里列出了默认?
为了testing一个特定的embedded式客户端,我需要build立一个服务于几个SSL(HTTPS)站点的web服务器,比如说“main.mysite.com”和“alternate.mysite.com”。 这些应由同一证书处理,主题名称为“main.mysite.com”,主题备选名称为“alternate.mysite.com”。 这个证书需要在一个授权链中回到一个“合适”的CA(比如GoDaddy,以降低成本)。 我的问题是,有没有什么好的教程如何做到这一点,或有人可以解释的过程? 我需要从CA提供商购买什么样的父母证书? 我对SSL证书的理解是有限的,但正如Manuel在Fawlty Towers所说:“我学习……”。 我很高兴在Windows(IIS)或Linux(Apache)(甚至是OSX)中工作。 提前致谢。
通配符证书(例如* .example.com)在SQL Server 2008或更低版本中不起作用。 但是,在MSDN上encryption连接到SQL Server的连接就像那天一样 SQL Server 2008 R2支持通配符证书。 优秀。 因此,我在一台机器上安装了SQL Server 2008 R2 Express,并将HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQLServer\SuperSocketNetLib\Certificate条目configuration为通配符SSL证书的指纹(因为在五年处理SQL服务器,我从来没有得到#$ @#对话框在Sql Serverconfiguration显示任何证书)。 SQL Server日志然后告诉我,这很顺利: 2010-08-31 11:46:04.04服务器证书[Cert Hash(sha1)“5DDD9E51B30E0CA6CE3656AE54EC6D0B8B75904A”]已成功加载encryption。 不幸的是,如果我尝试使用.NET Framework 4.0中提供的Microsoft SQL Server Management Studio(2008 R2版本)或Sql *类,我总是会收到以下exception: 与服务器build立了连接,但在login前握手过程中发生错误。 (提供程序:SSL提供程序,错误:0 – 证书的CN名称与传递的值不匹配。)(Microsoft SQL Server,错误:-2146762481) 这里是我尝试过的东西: 确保主机名configuration正确。 (例如,主机名是prod ,并且DNS后缀已正确设置: prod.example.com 。) 确保prod.example.com的PTRlogging正确设置。 在连接string中设置TrustServerCertificate=Yes 。 有趣的是,如果我尝试通过sqlcmd.exe连接,我没有收到有关证书的投诉。 我开始怀疑SQL服务器中的通配符证书将被服务器加载 ,但是没有任何.NET SQL客户端的实例可以正确地针对其中的一个工作。 任何人都可以点亮这个? 更新 […]
简介 :我们有两个不同的启用了SSL的Windows Server + II6环境。 一个人的行为是我们想要的,另一个不是。 服务器configuration : Windows Server 2003 SP2 IIS 6 页面configuration为SSL客户端身份validation。 详细信息 :我们有一个生产虚拟机,configuration为托pipe一个IIS 6网站,需要SSL客户端身份validation才能启用CAC。 在此生产虚拟机上,页面将显示服务器证书,然后在提示客户机证书之前死亡。 为了testing服务器的configuration,我们创build了一个与您的CAC页面具有相同configuration的“Hello World”页面,我们看到了相同的结果。 然后,我们把这个页面放在一个已知的有相同OS / IIS版本的工作虚拟机上,并以相同的方式configuration页面。 通过提示客户端证书,然后加载页面,页面正常运行。 我们采取的步骤来解决这个问题 : 检查两台机器上证书path的完整性 在两台虚拟机之间分散IIS元数据以检查不一致性 在破坏的虚拟机上创build并安装新的服务器证书 将选项更改为“需要客户端证书”而不是“接受客户端证书” 检查IIS日志中是否有错误。 所有的访问都回来了200。 我们find了一个解决我们问题的选项,但却产生了新的问题。 有一个选项可以协商所有页面的客户端证书,这会导致证书提示出现,但会导致每个页面都这样做,这就违背了SSL会话的目的。 同样重要的是 :这个虚拟的虚拟机已经根据政府的规范进行了STIG格式化。 我们怀疑这可能是潜在的原因。 但是,解决问题的可能性不在我们的控制之内。 因此,我们必须处理目前的局限性。
我已经购买了两个PositiveSSL证书(单独),一个用于manager.domain.com,另一个用于domain.com。 最初我只需要使用SSL的manager.domain.com,但比我需要在domain.com上使用SSL。 一切工作正常与domain.manager.com的一个SSL证书,但是当我将第二个证书数据添加到.pem文件,domain.com尝试使用domain.com的证书进行validation,并且它不起作用。 我怎样才能有两个ssl证书使用同样的stunnel instanse? 我有趣的nginx和清漆,如果这是有用的。 这里是stunnelconfiguration文件和我的pem文件的格式。 注意 – 这对于domain.manager.com(这是第一个证书)可以正常工作。 cert = /etc/ssl/all.pem debug = 5 output = /var/log/stunnel4/stunnel.log [https] accept = 443 connect = 80 和all.pem的格式。 第一个证书是为manager.domain.com(其工作),第二个为domain.com,这是行不通的。 (私人密钥是用manager.domain.com生成的): —–BEGIN PRIVATE KEY—– MIIEvwIBADANBgkahkiG9w0BAQEFAASCBKkwggSl444AAoIBAQDz/pbylQ5Ci6ji END PRIVATE KEY—– —–BEGIN CERTIFICATE—– MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw —–END CERTIFICATE—– 我也尝试分离证书,并把它们放入CApath CApath = /etc/stunnel/certs/ debug = 5 output = […]
G'day,我configuration了在端口636上运行的openldap-server机器。我也可以从另一个openldap-client机器telnet到这个端口。 为了保证连接的安全,我在服务器上使用此链接input链接描述在此处创build了自签名证书,然后将证书文件复制到客户端。 我已经确定SELinux在这两台机器上都是可用的,并且客户端/etc/openldap/ldap.conf文件也有TLS_REQCERT选项 客户机的详细configuration是: # cat ldap.conf URI ldap://ad.dfsi.dev:636 BASE dc=dfsi,dc=dev TLS_CACERTDIR /etc/openldap/cacerts TLS_REQCERT allow 和nslcd文件: # cat /etc/nslcd.conf tls_reqcert allow ssl start_tls tls_cacertdir /etc/openldap/cacerts tls_reqcert allow 如果我不使用SSL,则ldap客户端可以访问所有ldap用户。 但是,当我通过authconfig-tui更改configuration以使用TLS时,ldaps://ad.xx.dev:636,则失败。 日志说,客户端成功连接到服务器,但然后服务器删除连接,如下所示: ldapsearch -x -d 1 ldap_create ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ad.dfsi.dev:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying xx.xx.xx.xx:636 ldap_pvt_connect: fd: 3 […]
我刚刚升级了我们的Web服务器,因为我们目前的证书本周晚些时候会过期。 当我通过FF浏览我们的网站时,会抛出这个错误: Secure Connection Failed An error occurred during a connection to www.rivworks.com. Peer's Certificate has been revoked. (Error code: sec_error_revoked_certificate) * The page you are trying to view can not be shown because the authenticity of the received data could not be verified. * Please contact the web site owners to inform them of […]
我有一个通过Starfield安全证书颁发机构签发的通配符SSL证书,有效期至2014年。我已经使用ELB证书,且没有后端身份validation(证书未安装在ELB上)一年多。 我最近需要将客户端IP传递给服务器。 为了让客户端IP通过,我必须创build一个新的ELB,并在ELB上安装证书,并使用ELBSampleELBDefaultCipherPolicy设置后端身份validation。 SSL证书也安装在服务器/实例上。 我有超过100个客户使用新的configuration,没有任何问题。 但是,我有2个客户端抛出无效的证书错误: java: "unable to find valid certification path to requested target" .net: "Could not establish trust relationship for the SSL/TLS secure channel… The remote certificate is invalid according to the validation procedure" 我担心这个错误是我的configuration更大的问题的症状。 如果您对如何解决此问题有任何想法或build议,请告诉我们。
我在我的IIS 7服务器上为2个不同的网站使用SSL时遇到麻烦。 请参阅下面的设置: 网站1:my.corporate.portal.com 网站1的SSL证书:* .corporate.portal.com https / 443绑定到my.corporate.portal.com website2:client.portal.com SSL证书颁发给:client.portal.com当我尝试绑定与客户端的证书在IIS7的HTTPS,我没有一个选项,把主机名(变灰),只要我select“client.portal.com”证书,我在IIS中收到以下错误: At least one other site is using the same HTTPS binding and the binding is configured with a different certificate. Are you sure that you want to reuse this HTTPS binding and reassign the other site or sites to use the new certificate? 如果我点击“是”,my.corporate.portal.com网站将停止使用正确的SSL证书。 […]
在我的虚拟主机中,我有这样的东西: SSLEngine on SSLCertificateKeyFile /etc/apache2/ssl/svn.XXXXX.me.key SSLCertificateFile /etc/apache2/ssl/svn.XXXXX.me.crt SSLProtocol all SSLCipherSuite HIGH:MEDIUM SSLVerifyClient require SSLCACertificateFile /etc/ssl/certs/ICA-Standart.0 到目前为止,我可以使用由CA“ICA-Standart.0”颁发的任何证书login,但是我想指定一种白名单,只有一些证书可以login,这是可能的吗? 如果是这样,我应该看哪个指令? 另请注意,CA是一个公共证书颁发机构。