这里的交易…我有一个由证书颁发机构生成的个人P12证书。 我想用CURL来访问受保护的URL。 如果CENTOS上的CURL是用openssl编译的,我应该只把它转换成PEM格式,然后把这个文件提供给CURL(在UBUNTU上testing并工作)。 问题是我的curl是用NSS编译的。 所以,谷歌search了一段时间后,我发现我需要生成一个NSS数据库,并将证书导入到这个数据库。 之后,我应该能够调用curl传递一个别名,并访问我的url。 (这里解释: https : //stackoverflow.com/questions/19265100/curl-command-unable-to-load-client-cert-8018 ) 但我无法find一种方法来提供一个ALIAS我的钥匙。 所以curl不会find我导入的键。 调用curl给我: * Initializing NSS with certpath: sql:/var/nss * warning: ignoring value of ssl.verifyhost * skipping SSL peer certificate verification * NSS: client certificate not found (nickname not specified) * SSL connection using TLS_RSA_WITH_RC4_128_MD5 * Server certificate: 经过一些研究,我最终得到了两个select: – 尝试导入(或重新生成)这个数据库(或p12)的昵称(无法find如何做) – 或尝试replace我的curl和php_curl(我会需要以后)用openssl编译(不能find一个适当的存储库与两个包) 有任何想法吗??
我在大约3个月前在Windows服务器上创build了一个CSR文件,并使用此CSR文件购买通配符SSL证书。 SSL公司(opentrust)给了我3个文件,根CA文件,中间和通配符证书。 但是我突然失去了创buildCSR文件的服务器,所以无法完成SSL证书请求的过程。 奇怪的是,我将这3个文件导入到我的Windows服务器的4个证书库中,当我在这些服务器上打开证书时,它显示出相应的私钥,尽pipe这些服务器的DNS名称不匹配证书,但在其他服务器上没有私钥。 我不知道为什么会发生这种情况,如果我重新创buildCSR文件,SSL公司将再次向我收取重新签发证书的费用。
我处于以下情况。 我需要build立一个与外部系统的双向集成。 外部系统的pipe理员要求我发送两个CSR,一个用于生成客户端证书,另一个生成服务器证书。 他们给了我相应的证书。 我设置了频道我 – >他们成功(即:我可以调用他们的服务提供我的客户端证书),但我不能正确设置反向频道(即:我不能让我的Apache接受他们的客户端证书没有抱怨)。 再加上我的服务器证书(我们称之为my-server.pem),他们也给我发送了自己的客户端证书(我们称之为“客户端.pem”)。 这个证书(their-client.pem)是由一个“自签名的”CA发出的,这个CA是不在我的Linux系统中已经可用的那些知名的CA之中的。 我没有这个证书,我还没有从外部系统pipe理员那里得到它(他们不愿意…让我们搁置这个请求…> – |) 这是我如何在Apache中设置我的VirtualHost: SSLEngine on SSLCertificateFile /path/to/my-server.pem SSLCertificateKeyFile /path/to/my-server-secret-key.key SSLVerifyClient require SSLCACertificateFile /path/to/their-client.pem SSLVerifyDepth 0 由于我没有CA证书,因为我完全可以说“只要信任客户证书,别人就可以!”,我把客户证书本身作为SSLCACertificateFile ,正如答案中的build议: https:/ / /security.stackexchange.com/questions/36069/use-client-certificate-using-self-signed-ca-while-using-web-certificate-of-a-pub 但是,这似乎并不奏效。 他们看到的错误是: javax.net.ssl.SSLException: Received fatal alert: unknown_ca 启用SSL日志并将其设置为debugging后,我在我身边看到的是: [ssl:debug] [pid 3396] ssl_engine_kernel.c(1381): [client <their-ip>:41474] AH02275: Certificate Verification, depth 1, CRL checking mode: none [subject: CN=Test […]
我已经在我的lighttpd上安装了过去的ssl密钥,并且logging了我所做的步骤,以确保我可以在将来复制它。 那么,我还没有碰到服务器一段时间,我需要创build一个新的Web服务器与lighttpd,将支持SSL。 按照我的笔记中的所有步骤,它给了我这个错误 SSL: couldn't read X509 certificate from PEM file 我不确定我在步骤中错过了什么,但如果有人可以请看看我的步骤,也许build议我错过了什么,我真的很感激。 这是我的环境 CentOS 6.4 64 bit lighttpd/1.4.35 (ssl) – a light and fast webserver 我的ssl证书来自startcom公司 这是我的步骤 生成我的csr openssl req -new -newkey rsa:4096 -nodes -out myserver.csr -keyout myserver_privatekey.key -subj "/C=us/ST=State/L=City/O=MyCompany/OU=Productions/CN=myserver.mycompany.net" 将CSR发送到Startcom并将此ssl保存为 myserver.crt 创build最终的PEM文件 cat myserver_privatekey.key myserver.crt > myserver.pem 从startcom得到这2个文件 ca.pem sub.class1.server.ca.pem 统一这两个文件 cat ca.pem sub.class1.server.ca.pem […]
我需要能够使用Gmail的networking界面发送电子邮件,但让他们似乎来自我自己的域名,而不是源于一个Gmail地址。 为了做到这一点,gmail要求我的smtp服务器的信息(url,帐户等),并进行validation,实际上,我被允许使用我自己的smtp服务器发送来自所述域的电子邮件(postfix,托pipe在我的的Linode)。 Gmail的回应是:“您的其他电子邮件提供商的响应速度太慢,请稍后重试,或联系您其他域的pipe理员以获取更多信息。” – 无法获得比他们更多的细节。 我根据Linode的Centos 7教程,为Centos 7设置了Postfix,Dovecot,MariaDB,并且试图根据我的需要,在Chuan Ji的教程中find一些题为“使用postfix和gmail定制域名邮件”的说明(即I根据那里的build议生成一个单一的.pem文件,其中包括我的smtp服务器的名称作为通用名称 – mail.tcs-usa.com在证书中,以使Gmail快乐)。 我可以使用postfix作为我的smtp服务器发送电子邮件与雷鸟,我有postfixconfiguration为转发到我的域中的任何地址的传入电子邮件)到我的gmail帐户。 这工作得很好。 我也检查了我的smtp服务器与mxtoolbox.com,它也发现一切顺序。 我在下面摘录了postfix的日志。 唯一跳出来的是#11线上的“match_list_match:mail-yk0-f169.google.com:不匹配”和#12线上的另一个。 如果我包括太多的信息,请提前感谢您的帮助和道歉,但我已经在这里已经两天了,没有到任何地方。 亚历克斯 以下是/etc/postfix/main.cf中的所有活动行: command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix mail_owner = postfix inet_interfaces = all inet_protocols = all mydestination = localhost, localhost.localdomain alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases debug_peer_level = 2 #alexw- added google debug_peer_list = […]
无法启动apache2服务器。 错误信息在下面。 考虑到类似的问题( SSL错误 – 无法从文件读取服务器证书 , Apache无法读取证书文件等),仍然陷于这个问题。 任何帮助是受欢迎的。 谢谢。 me@localhost:/etc/apache2$ sudo service apache2 start * Starting web server apache2 Action 'start' failed. The Apache error log may have more information. [fail] me@localhost:/etc/apache2$ sudo apachectl configtest Syntax OK error.log中: [Thu Dec 17 17:24:11 2015] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Thu Dec […]
我有一个带有OpenSSL 1.0.2fconfiguration的Apache 2.4.18,带有双(RSA 4096 + ECC 384)证书configuration。 我还通过TLS扩展提供证书透明度。 当使用openssl s_client -serverinfo 18 -connect winpack.cf:443来testing我的签名证书时间戳时,openssl使用EC-384证书并且一切正常(TLS扩展18被正确提供)。 但是,在运行openssl s_client -cipher 'ECDHE-RSA-AES256-SHA' -serverinfo 18 -connect winpack.cf:443以强制使用RSA-4096证书时, 不提供扩展名,输出如下:也可以运行它,你会有相同的结果…我试图从3台不同子网的计算机上运行它) CONNECTED(00000003) 140289703855760:error:140773E8:SSL routines:SSL23_GET_SERVER_HELLO:reason(1000):s23_clnt.c:769: — no peer certificate available — No client certificate CA names sent — SSL handshake has read 7 bytes and written 152 bytes — New, (NONE), Cipher is (NONE) […]
在我们的设置上,我们要提醒用户一个客户端SSL证书。 所有证书都由StartSSL颁发。 问题是即使ssl_verify_client on; 设置为“开启”时,网站/浏览器不会提示input证书。 我怎样才能让NGINX提示客户端证书? 这与这个没有答案的问题有关 。 nginx版本:nginx / 1.9.11 我们的服务器configuration: server { listen 80; server_name example.com; # enforce https return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name example.com; # strenghen ssl security ssl_certificate SOMECERT; ssl_certificate_key SOMEKEY; ssl_client_certificate SOMECERT; ssl_verify_client on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; […]
我想用自己的CA生成的SSL证书replace各种ESXi 5.5主机上的(自签名)SSL证书。 我在VMware网站上find了关于如何覆盖ESXi主机上的密钥和证书文件的文档,而不是如何在主机上生成CSR。 有人可以解释如何在esxi主机上生成CSR?
我试图通过下一个命令来更新我的letsencrypt证书: ./letsencrype-auto renew 但我收到此错误消息: configuration file /etc/letsencrypt/renewal/domain.conf produced an unexpected error: Namespace object has no attribute 'standalone_supported_challenges'. 我如果尝试使用我创build我的证书的命令: ./letsencrypt-auto certonly –standalone-supported-challenges tls-sni-01 -d domain 我得到这个错误: unrecognized arguments: –standalone-supported-challenges tls-sni-01 如果我尝试这个: ./letsencrypt-auto certonly –standalone -d domain 它说: The requested standalone plugin does not appear to be installed. 我不知道现在如何更新我的证书。