SSLEngine on SSLCertificateFile /etc/httpd/conf/login.domain.com.crt SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
我今天一直在为自己的域名设置SSL,并且遇到了另外一个问题 – 我希望有人能够提供一些启示。 我不断收到以下错误消息: [错误]初始化:无法从文件/etc/apache2/domain.com.ssl/domain.com.crt/domain.com.crt读取服务器证书 [错误] SSL库错误:218529960错误:0D0680A8:asn1编码例程:ASN1_CHECK_TLEN:错误标记 [错误] SSL库错误:218595386错误:0D07803A:asn1编码例程:ASN1_ITEM_EX_D2I:嵌套asn1错误 我正在运行Apache 2.2.16和Ubuntu 10.10。 我的.crt文件具有开始和结束标记,并已从我收到的确认电子邮件中完全复制,非常令人沮丧! 干杯! 编辑>>当试图validation.crt它似乎不工作: >> openssl x509 -noout -text -in domain.com.crt 无法加载证书 16851:错误:0906D06C:PEM例程:PEM_read_bio:无起始行:pem_lib.c:650:预计:TRUSTED CERTIFICATE 也>> >> openssl x509 -text -inform PEM -in domain.com.crt 无法加载证书 21321:错误:0906D06C:PEM例程:PEM_read_bio:无起始行:pem_lib.c:650:预计:TRUSTED CERTIFICATE >> openssl x509 -text -inform DER -in domain.com.crt 无法加载证书 21325:错误:0D0680A8:asn1编码例程:ASN1_CHECK_TLEN:错误标记:tasn_dec.c:1316: 21325:错误:0D07803A:asn1编码例程:ASN1_ITEM_EX_D2I:嵌套asn1错误:tasn_dec.c:380:Type = X509 编辑>>(欢呼的方式帮助) >> grep'^ —–'domain.com.crt —– […]
自签名SSL证书是否具有错误的安全感? 如果你被窃听,用户会像他/她一样接受证书。
我正在设置远程桌面服务场,并且在configuration要使用的证书时遇到问题。 我看到的问题的演示可以在步骤#4中find。 在这一点上,我确信用户界面存在问题,并且正在寻找解决方法。 有什么办法可以在远程桌面服务中configuration证书,以便设置保持并反映在GUI中? 如果没有,我有什么办法来validation设置是否正确? 步骤1 – 创build要使用的证书。 我已经configuration了一个与RD Web Access一起使用的证书。 证书存储在RD连接代理上的证书MMC中,然后从该计算机configuration服务器场。 我发现通过让RD Web Access生成自己的证书,需要以下属性: 增强的密钥使用 服务器authentication 客户端authentication 这可能不是必需的,但自签名证书包含它。 密钥用法 电子签名 重要协议 主题备用名称 DNS名称= domain.com 关于自签名证书的生成 作为一个快速绕道,我能够解决使用PowerShell创build自签名证书的问题。 New-RDCertificate cmdlet的文档提供了以下示例: PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx" 在shell中键入这个命令会导致一个错误消息,声明Get-Server函数无法find。 在使用New-RDCertificate之前,您必须使用Import-Module RemoteDesktop导入RemoteDesktop模块。 步骤#2 – 观察箱外行为 […]
(发布到ServerFault而不是StackOverflow,因为我觉得它涉及的操作系统configuration比编程代码更多)。 我目前负责维护连接到第三方Web服务的系统。 这个web服务需要客户端authentication证书,这是公平的,但web服务本身是由一个自我创build的根证书颁发机构证书创build的自签名证书保护的,这个证书是创build客户端authentication证书的根。 仅仅将当前的服务证书添加到已知的信任列表就足够了,而忽略自build的授权证书,不幸的是,服务证书会定期更改,因此必须信任授权证书,以确保应用程序不会在服务证书更新。 然而,根据我在运行Web服务的公司的经验,我不(个人)信任CA证书 – 如果它泄漏到Web上,我不会感到意外 – 而且令人担忧的是,CA证书没有对密钥使用进行限制它(虽然外部的MITM攻击是可能的,尽pipe很遥远,我更关心用于代码签名的泄漏证书)。 是否可以告诉我的计算机(目前是一个服务器盒,但是在将来的普通桌面客户端的盒子中)信任一个CA,但是只有一组给定的密钥用法和一小组可能的主题名称(域名)? 该服务器目前是Windows Server 2012 R2,但它可以在Linux机器上运行 – 尽pipe桌面机器都是Windows机器。
考虑使用IIS7的Win 2008 SP2计算机。 任务是将证书和主机名应用于此机器上的唯一站点。 该网站的主机标题需要是abc.123.example.com 第一步是将.pfx安装到个人商店,这是成功的。 IIS7发现证书可用,但不允许input主机名。 主机名称文本框总是禁用/灰色,即使在select我的证书之前。 我甚至删除了默认的端口80绑定。 问:我怎样才能为这个网站设置一个主机名? 这个证书是通配证书吗? 我知道SSL请求进入Web服务器,并且数据包中的主机头被encryption。 为什么IIS6允许指定主机头,但是IIS7不是? 更新:证书不是问题的一部分。 我在机器上创build了一个新的站点,当selecthttps绑定时,主机名文本框被禁用。
使用来自这个网站的指示,但改变他们只是一点点我创build一个使用-newca的CA,我复制cacert.pem到我的cacert.pem ,并作为信任发行人在IE中导入。 然后我做了-newreq和-sign(注意:我做了/full/path/CA.sh -cmd而不是sh CA.sh -cmd )并将证书和密钥移到了apache。 我访问了IE中的网站,并使用.NET代码,它似乎值得信赖,伟大(除非我写在前面预期的WWW)。 但每次我重新启动Apache我需要input我的密码为网站(s?)。 我怎样才能让它,所以我不需要input密码?
在Ubuntu上,它看起来像是用于签署证书(供nginx使用)的私钥的最佳位置在/etc/ssl/private/ 这个答案补充说,证书应该在/etc/ssl/certs/但这似乎是一个不安全的地方。 .crt文件需要保持安全还是被视为公共?
是否需要在将托pipe我的Web应用程序和SSL证书的同一台机器上生成CSR(证书签名请求)? SSL Shopper上的这个页面是这么说的,但我不确定是否是这样,因为这意味着我必须为集群中的每个服务器购买单独的SSL证书。 什么是CSR? CSR或证书签名请求是服务器上生成的encryption文本块,证书将被使用。
我无法理解为什么我们需要购买SSL证书,我们可以使用openSSL在本地生成证书。 我购买的证书和我在本地生成的testing证书之间有什么区别? 这只是一个大骗局吗?