我是从这个网站( https://www.sslshopper.com/move-or-copy-an-ssl-certificate-from-a-windows-server-to-an-apache-server.html )的方向将我的GoDaddy.com证书从Windows Server 2003机器迁移到运行Debian&Apache(v 2.4.10)的服务器。 我将.pfx文件转换为.txt文件并将其打开以提取私钥和证书。 但是,我的文件有三个证书,不仅仅是教程中的证书。 那么,哪一部分是我的SSLCertificateFile,SSLCertificateKeyFile或SSLCertificateChainFile? 我尝试添加顶部作为我的私钥,第二部分作为我的证书,但在Chrome浏览器时,我得到一个'NET:ERR_CERT_AUTHORITY_INVALID'消息导航到我的网站。 任何帮助将不胜感激。 Bag Attributes Microsoft Local Key set: <No Values> localKeyID: 01 00 00 00 Microsoft CSP Name: Microsoft RSA SChannel Cryptographic Provider friendlyName: 921ddddfb37214c2d5593e0c9b386a34_bc31898e-7ad7-4e24-9c39-0088bf3b937a Key Attributes X509v3 Key Usage: 10 —–BEGIN ENCRYPTED PRIVATE KEY—– Some Text Here —–END ENCRYPTED PRIVATE KEY—– Bag Attributes localKeyID: 01 […]
我想configuration我的本地Git客户端安装在Microsoft Windows 7 +或Git ca-bundle.crt中使用预加载的根证书。 有没有办法configurationGit使用已经可用的Windows证书(即Comodo,DigiCert)? ca-bundle.crt文件中已经有哪些根CA证书?
我们正在尝试将推送服务迁移到Google Firebase云消息传递。 在运行linux的开发机器上,一切都很好,但是在集成系统(像FreeBSD那样运行在FreeBSD上)上有一个奇怪的错误。 在Linux上,我可以“蜷缩https://fcm.googleapis.com/fcm/send ”并获得一个propper响应,但是在FreeBSD中它说: curl: (60) SSL certificate problem: unable to get local issuer certificate 和“ https://fcm.googleapis.com/fcm/send ”取回响应: Certificate verification failed for /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 34380949368:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/s3_clnt.c:1180: fetch: https://fcm.googleapis.com: Authentication error ca_root_nss文件被更新,pkg信息ca_root_nss表示: ca_root_nss-3.27.1 Name : ca_root_nss Version : 3.27.1 Installed on : Fri Nov 11 15:54:47 2016 CET Origin : security/ca_root_nss […]
我有一个运行在Windows Server 2012上的IIS 8.5的FTP网站。如果禁用SSL,我可以很好的连接。 但是,如果我启用SSL,服务器不断发送奇怪的答复。 这是来自FileZilla的日志: Status: Connecting to XXXXXXX:21… Status: Connection established, waiting for welcome message… Response: 220 Microsoft FTP Service Command: AUTH TLS Response: 502 AUTH command ok. Expecting TLS Negotiation. Command: AUTH SSL Error: Could not connect to server 注意它如何说“502 AUTH命令正常”。 我不是FTP的专家,但从我在网上看到的,状态码应该是234而不是502。 这里发生了什么? 更新 : 我对这个问题有点创意。 首先,我尝试在自己的笔记本电脑上连接到自己的服务器。 这已经工作了一年多,所以难怪它工作。 然后,我将笔记本电脑移到工作场所,并将其连接到networking。 我试图再次连接到我自己的服务器,我得到了同样的错误,如上所述。 我把我的笔记本电脑从公司networking上断开,然后立刻再次尝试,这次是通过我手机的LTE连接。 你猜怎么了? […]
结论:我相信我编译Apache时,我的openssl版本不匹配。 它现在有效; 我用已经安装的openssl重新编译了它。 感谢你的帮助,不信的人。 附加信息:我从tomcat连接器的server.xml中找出了另一个相关的设置。 所以,当域错误的时候,tomcat处理每个部分,并且域没有错,tomcat和apache同时处理,这可能是不同版本的openssl的问题。 …或不。 我知道这个问题很奇怪,但我无法想象有什么不同。 基本信息: 服务器在http://连接中正常工作。 (domain:test.domain.com)(Apache 2.2.31(用openssl 1.0.1u编译),Tomcat(6.0.35,之前已经安装) 我已经有* .domain.comauthenticationhttps://连接,我已经在'service.domain.com',所以“https:// service.domain.com”已经在其他服务器/机器/ IP 最后,我试图安装SSL到“test.domain.com”以允许https://连接。 问题: 我发现.. 如果我把“.conf”设置错了, #Wrong.conf <VirtualHost *:443> ServerName testy.domain.com #whatever, but not 'test.domain.com' …. </VirtualHost *:443> 正在工作时,我连接https:// test.domain.com。 (它将使用默认的VirtualHost;只有一个*:443,当我删除了虚拟主机,我得到错误,我无法连接。)没有问题,我得到完美的连接和authentication,我可以阅读我想要的网页。 但是,如果我正确设置了“.conf” #Correct.conf <VirtualHost *:443> ServerName test.domain.com … </VirtualHost *:443> 我无法连接https:// test.domain.com。 当我用其他工具检查时,详细的信息,如curl,动词, 当我用#Wrong.conf使用curl的时候 * TLSv1.2 (OUT), TLS handshake, Client […]
最近,我的IIS 7.5 SSL站点重新启动后开始拒绝连接。 奇怪的是,这个问题可以通过绑定网站与不同的证书,并切换回正确的问题。 在发生故障时,wireshark会显示客户端发送各种SSL hello数据包(TLS 1.0,1.1,1.2),服务器使用TCP RST进行响应。 当工作客户端你好几乎是相同的(相同的密码/压缩/ SNI)。同样的行为显示为IE和Chrome(内容略有不同,但即时RST是常见的)这表明它很可能是服务器端的东西。 我唯一的提示是随机的SChannel事件ID 36870“尝试访问SSL服务器凭证私钥时发生致命错误,encryption模块重新生成的错误代码为0x8009030d,内部错误状态为1001。 检查我的库0x8009030d是“SEC_E_UNKNOWN_CREDENTIALS”和1001可能是MSG_FILE_NOT_FOUND。 基于此,我检查了每个kb278381 Crypto / RSA文件夹的权限,并按预期发现它们。 我强制对基础文件夹进行inheritance,但不会导致行为改变。 任何线索在哪里看下一个将不胜感激!
我正在运行“服务器版本:Apache / 2.4.23(Ubuntu)”,我看着我的Apache错误日志,他们充满了以下,我无法弄清楚为什么发生这种情况。 有人可以解释这个错误,我可以如何缓解这个问题? [ssl:error] AH02032: Hostname xxxx provided via SNI and hostname xxx.com provided via HTTP have no compatible SSL setup 我只使用https运行3个虚拟主机。
我想build立一个反向代理的nginx背后的Synapse实例。 由于nginx是使用HTTPS的TLS设置的,所以这个有些过时的blogpostbuild议使用nginx vhost中已经使用的TLS东西来设置matrix突触,因为这是其他服务器在与我的实例交谈时将看到的TLS内容。 到目前为止,我已经成功地设置了服务器,以便它自己运行,并且此实例上的用户可以相互交谈。 主要的问题是服务器 – 2 – 服务器通信,或者像matrix家伙称之为“联邦”。 这是我在matrix突触中的TLS设置: tls_certificate_path: "/var/lib/acme/live/matrix.simonszu.de/fullchain" # PEM encoded private key for TLS tls_private_key_path: "/etc/matrix-synapse/homeserver.tls.key" # PEM dh parameters for ephemeral keys tls_dh_params_path: "/etc/ssl/dhparams/matrix.simonszu.de_dhparams.pem" # Don't bind to the https port no_tls: True 上面的tls_private_key_path表明,你可以完全注释掉tls_private_key_path ,因为你已经把no_tls设置为True(因为每个TLS的东西都是由nginx实例pipe理的)。 我已经注意到,这并不是真正的工作,因为在这种情况下,matrix突触将在隐蔽的地方search密钥文件。 由于密钥pipe理是通过acmetool从Let's Encrypt获取证书来完成的,并且如果对密钥文件设置了除0600之外的其他任何文件权限,则自动续订过程将失败,因此我无法链接到与证书关联的密钥文件。 但是由于TLS的东西无论如何都由nginx来pipe理,所以synapse只需要这个证书用于其他突触实例的指纹显示,并且有效地忽略了key_path。 我已经确定这个突触实例可以通过浏览器访问,并且可以手动获取签名。 但不幸的是,与其他实例进行通信时的初始握手失败。 我有自己的突触实例(不是在一个反向代理后面)访问另一个主机,我可以在握手过程中查看它的日志文件。 我的日志文件中出现以下错误: SynapseError: 401: No key for matrix.simonszu.de […]
我正在使用这个Apacheconfiguration SSLProtocol +TLSv1.2 +TLSv1.1 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DS SSLHonorCipherOrder on 但是当对服务器运行nmap enum-cipher-script时,它会为TLSv1.2&TLSv1.1提供“cipher preference:client” 但是由于SSLHonorCipherOrder打开,它应该说“密码偏好:服务器” 我应该改变一些其他的设置来强制服务器的偏好
我最近从CA购买了一个使用Bitnami和Liferay的Apache Tomcat服务器的SSL证书。 我已经configuration了tomcat server.xml文件,如下所示: <Connector port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/opt/bitnami/apache-tomcat/conf/ssl/tomcat.keystore" keystorePass="mypass" clientAuth="false" sslProtocol="TLS" /> 而根据我的CA,我已经正确地将证书及其中间体添加到密钥存储区,但是当我通过任何SSL检查器运行域时,仍然会说证书是自签名的,并且证书上的名称是“www .example.com的”。 有关获取CA证书的任何build议?