คำถามติดแท็ก openssl

ช่องโหว่ Heartbleed OpenSSL ( http://heartbleed.com/ ) มีผลกับ OpenSSL 1.0.1 ถึง 1.0.1f (รวมอยู่ด้วย) ฉันใช้ Amazon Elastic Load Balancer เพื่อยุติการเชื่อมต่อ SSL ของฉัน ELB เสี่ยงไหม?

19 amazon-web-services  openssl  amazon-elb  heartbleed 

ฉันกำลังพยายามรวบรวม nginx จากแหล่งที่มาพร้อมกับเปิดใช้งานโมดูล SSL เมื่อฉันเรียกใช้คำสั่งนี้: ./configure --with-http_ssl_module มันจะทำการตรวจสอบตามปกติเพื่อดูว่าทุกอย่างได้รับการติดตั้งอย่างถูกต้องหรือไม่จากนั้นจะปรากฏขึ้น: กำลังตรวจหาไลบรารี OpenSSL ... ไม่พบ ./configure: ข้อผิดพลาด: โมดูล SSL ต้องการไลบรารี OpenSSL คุณไม่สามารถเปิดใช้งานโมดูลหรือติดตั้งไลบรารี OpenSSL ลงในระบบหรือสร้างไลบรารี OpenSSL แบบคงที่จากแหล่งที่มาด้วย nginx โดยใช้ตัวเลือก --with-openssl = ฉันรู้ว่ามีการติดตั้ง OpenSSL เพราะเมื่อopenssl versionฉันได้รับOpenSSL 1.0.1 14 Mar 2012 ดังนั้นฉันค่อนข้างนิ่งงัน ฉันคิดว่าบางที OpenSSL ไม่ได้ถูกติดตั้งในตำแหน่งเริ่มต้นซึ่งเป็นสาเหตุที่ nginx หาไม่พบ แต่ฉันไม่รู้ว่ามันอยู่ที่ไหนเพราะติดตั้งมากับเซิร์ฟเวอร์ล่วงหน้า ฉันจะทราบได้อย่างไรว่านี่คืออะไร? เซิร์ฟเวอร์กำลังใช้งาน Ubuntu 12.04 LTS ขอบคุณ

19 ubuntu  nginx  openssl 

ฉันมีไฟล์mycert.jksเท่านั้น ตอนนี้ฉันต้องแยกและสร้างไฟล์. key และ. crtและใช้ในเซิร์ฟเวอร์ apache httpd SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key ทุกคนสามารถแสดงรายการขั้นตอนทั้งหมดเพื่อดำเนินการนี้ ฉันค้นหา แต่ไม่มีตัวอย่างที่เป็นรูปธรรมที่จะเข้าใจผสมและทำตามขั้นตอน กรุณาแนะนำ! [แก้ไข] รับข้อผิดพลาดหลังจากทำตามขั้นตอนจากคำตอบด้านล่าง 8/‎21/‎2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid …

19 ssl  ssl-certificate  apache-2.4  openssl  keytool 

ฉันกำลังพยายามสร้างใบรับรอง SSL เป็นครั้งแรก ฉันไม่รู้ว่ามันทำงานอย่างไรและฉันเพียงแค่ทำตามคำแนะนำที่ให้ไว้กับฉัน คำสั่งแรกทำงานได้ดี: openssl genrsa -des3 -out privkey.key 2048 จากนั้นคำสั่งที่สองคือให้ฉันข้อผิดพลาด: openssl req –new –nodes -key privkey.key –out server.csr มันบอกว่า "ตัวเลือกที่ไม่รู้จัก - ใหม่" แล้วแสดงรายการตัวเลือกทั้งหมดซึ่งหนึ่งในนั้นก็คือ "ใหม่" Google ข้อความแสดงข้อผิดพลาดให้เพียงหนึ่งโพสต์ฟอรัมที่มีประโยชน์ซึ่งบอกว่าฉันต้องใช้ตัวเลือก -config เพื่อชี้ไปที่ไฟล์ openssl.cnf ของฉัน ดังนั้นฉันค้นหาอินสแตนซ์เดียวของ openssl.cnf ที่อยู่ในการติดตั้ง XAMPP ของฉัน สิ่งนี้ทำให้ฉันเพิ่มเติม "ข้อผิดพลาดที่ไม่รู้จัก" ขึ้นอยู่กับคำสั่งที่ฉันใส่ตัวเลือก -config openssl req -config /Applications/XAMPP/xamppfiles/share/openssl/openssl.cnf -key privkey.key –out server.csr -new …

19 ssl-certificate  openssl 

มีคำถามมากมายบนเว็บที่ผู้คนมีปัญหาในการตั้งค่าใบรับรองที่ลงชื่อด้วยตนเองเพื่อใช้ในเครือข่ายภายใน เพียงเพื่อเชื่อมโยงสองสาม: รับ Chrome เพื่อยอมรับใบรับรอง localhost ที่ลงชื่อด้วยตนเอง Chrome ยอมรับใบรับรอง localhost ที่ลงชื่อด้วยตนเองการ สร้างใบรับรองที่ลงนามด้วยตนเองด้วย openssl ที่ทำงานใน Chrome 58 ใบรับรอง StartCom ข้อผิดพลาด: ERR_CERT_AUTHORITY_INVALID ฉันผ่านแต่ละคนมาแล้ว แต่ก็ยังไม่สามารถกำจัด(net::ERR_CERT_COMMON_NAME_INVALID).ข้อผิดพลาดได้ ขั้นตอนตาม: การสร้างคีย์และใบรับรองบนเซิร์ฟเวอร์ openssl req \ -newkey rsa:2048 \ -x509 \ -nodes \ -keyout file.key \ -new \ -out file.crt \ -subj /CN=Hostname \ -reqexts SAN \ -extensions SAN …

19 ssl  ssl-certificate  https  http  openssl 

ฉันกำลังสร้างพารามิเตอร์ Diffie-Hellman สำหรับssl_dhparamคำสั่งในการกำหนดค่า SSL ของ nginx ไฟล์ที่ถูกสร้างขึ้นด้วยคำสั่งdhparam.pemopenssl dhparam 2048 -check -out dhparam.pem ฉันควรตั้งค่าสิทธิ์ใดให้กับไฟล์นี้ มีความปลอดภัยในการแชร์ในที่เก็บ git หรือฉันควรเก็บไว้เป็นความลับ?

18 nginx  ssl  openssl  chmod 

บน CentOS 6.5 /etc/pki/tls/certsฉันมี: ca-bundle.crt และ ca-bundle.trust.crt ด้วยขนาดไฟล์ที่แตกต่างกัน ซึ่งผมควรจะใช้เป็นเส้นทางความไว้วางใจสำหรับNginx proxy_ssl_trusted_certificate

18 nginx  openssl  certificate-authority 

ฉันต้องสร้าง CSR สำหรับใบรับรอง SSL แบบ wildcard คำถามที่พบบ่อยบางอย่างจากผู้ให้บริการ SSL บอกว่าฉันควรสร้างไฟล์ CSR บนเครื่องที่ฉันต้องการติดตั้งใบรับรองหรือไม่ ความเข้าใจของฉันคือมันไม่สำคัญว่าฉันจะสร้าง CSR หรือไฟล์คีย์ได้ที่ไหนตราบใดที่ฉันย้ายไฟล์ไปยังตำแหน่งที่ถูกต้องในภายหลัง ดังนั้นคำถามของฉันคือ: การสร้าง CSR และไฟล์คีย์สำหรับการรับรอง SSL นั้นมีความสำคัญหรือไม่

18 ssl  ssl-certificate  openssl  csr 

ในขณะที่ใช้คำสั่งด้านล่าง openssl s_client -host example.xyz -port 9093 ฉันได้รับข้อผิดพลาดต่อไปนี้: 139810559764296:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1259:SSL alert number 42 39810559764296:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184: แต่ท้ายที่สุดฉันก็ได้รับ"Verify return code: 0 (ok)"ข้อความ คำถามของฉันคือสิ่งที่การแจ้งเตือนดังกล่าวข้างต้นมีความหมายและถ้า SSL ที่ประสบความสำเร็จจริง ขอบคุณมากสำหรับความช่วยเหลือล่วงหน้า SSL handshake has read 6648 bytes and written 354 bytes New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit …

17 ssl  ssl-certificate  openssl  ssl-certificate-errors 

ขณะนี้ฉันมีคีย์ SSH ที่ฉันใช้มาระยะหนึ่งแล้วและฉันต้องการเริ่มใช้ GnuPG ด้วยพวงกุญแจใหม่ อย่างไรก็ตามเนื่องจากฉันใช้คีย์ของฉันมานานแล้วฉันต้องการยังคงใช้คีย์นั้นใน GPG เป็นคีย์หลัก / หลัก ฉันได้ลองนำเข้ากุญแจผ่านคำแนะนำเหล่านี้แล้ว แต่ฉันจบลงด้วยสิ่งที่ถือว่าเป็น "คีย์ย่อย" นอกจากนี้หากฉันพยายามนำเข้าโดยไม่ต้องสร้างคีย์ GPG มาตรฐาน GPG จะไม่เห็นคีย์ย่อยนี้อีก (ฉันสมมติว่าคีย์ย่อยต้องได้รับการลงนามโดยคีย์หลักก่อน) ฉันจะใช้คีย์นี้เป็นคีย์หลักใน secring.gpg ได้อย่างไร

16 openssl  ssh-keys  rsa  gpg  private-key 

ฉันต้องการตั้งค่าสิทธิ์การรับรองระดับองค์กรสำหรับโดเมนของฉัน ดังนั้นฉันสามารถออกใบรับรองเพื่อวัตถุประสงค์ต่างๆ ฉันต้องการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการรูท CA เป็นออฟไลน์และตั้งค่า CA องค์กรของฉันเป็นสังกัด แต่ดูเหมือนว่าโง่ที่จะให้ลิขสิทธิ์ Windows แบบสมบูรณ์สำหรับงานนี้ สิ่งที่ฉันหวังว่าจะสามารถทำได้คือติดตั้งการแจกจ่ายสดลงในดิสก์ USB แฟลชแล้วติดตั้ง openssl และติดตั้ง CA ของฉันในแฟลชไดรฟ์ เมื่อฉันพร้อมที่จะสร้างรูทคีย์ / ใบรับรองฉันจะตัดการเชื่อมต่อคอมพิวเตอร์จากเครือข่ายและจากนั้นไม่เคยใช้ดิสก์ USB นั้นบนคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายอีกครั้ง ฉันจะสามารถลงชื่อและสร้างใบรับรอง CA รองสำหรับ CA องค์กร Windows ได้อย่างถูกต้องหรือไม่ซึ่งจะสามารถใช้งานได้ ฉันต้องใช้ตัวเลือกใดกับ OpenSSL เพื่อสร้าง CA และลงนามใบรับรอง CA รองอย่างถูกต้อง ฉันพยายามค้นหาเว็บและนี่เป็นสิ่งเดียวที่ฉันสามารถค้นพบในหัวข้อนี้ แต่มันมาถึงปี 2008 และฉันไม่แน่ใจว่าบุคคลนั้นจะประสบความสำเร็จทุกคน

16 ssl-certificate  windows  openssl  certificate-authority 

ปกติฉันจะไม่ใช้ Internet Explorer เลย ฉันใช้งานได้เฉพาะในเวลาออกแบบสำหรับการทดสอบส่วนต่อประสาน (เครื่องพัฒนาและด้วย http ที่ไม่ได้เข้ารหัส) ฉันทำการทดสอบเซิร์ฟเวอร์ SSL Labs ทุกสัปดาห์ซึ่งระบุว่า IE11 สามารถเข้าถึงเว็บไซต์ของฉันได้ วันนี้ฉันค้นพบปัญหากับหนึ่งในบริการของบุคคลที่สามของฉัน ฟังก์ชั่นพิเศษบางอย่างไม่ทำงานกับ Chrome หรือ Firefox ดังนั้นฉันจึงเปิดตัว IE11 บนเครื่อง Windows 7 ของฉัน และ IE11 แสดงให้ฉันเห็นหน้าข้อผิดพลาดในตัวแม่มดโดยทั่วไปบอกว่า "หน้าไม่สามารถแสดงได้" และ dummy bla bla ทั่วไปเช่นตรวจสอบ DNS และอื่น ๆ ไม่มีวี่แววของปัญหาการเข้ารหัสที่เกี่ยวข้องกับหน้าข้อผิดพลาดทั้งหมด (เช่นเบราว์เซอร์ปกติจะทำ) ย้อนกลับไปสองสามเดือนมีschannelปัญหานี้ซึ่งป้องกันไม่ให้ IES ที่เปิดใช้งาน TLS1.2 เข้าถึงไซต์ HTTPS จากจุดนั้นในเวลา "รายการตรวจสอบ WTF สำหรับ IE …

15 nginx  ssl  openssl  internet-explorer  tls 

มีวิธีสร้างคำขอใบรับรอง SSL โดยระบุพารามิเตอร์ที่จำเป็นทั้งหมดในคำสั่งเริ่มต้นหรือไม่ ฉันกำลังเขียนแผงควบคุมเว็บเซิร์ฟเวอร์ที่ใช้CLIและฉันต้องการหลีกเลี่ยงการใช้ความคาดหวังเมื่อดำเนินการopensslถ้าเป็นไปได้ นี่เป็นวิธีทั่วไปในการสร้างคำขอใบรับรอง: $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout foobar.com.key -out foobar.com.csr Generating a 2048 bit RSA private key .................................................+++ ........................................+++ writing new private key to 'foobar.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. …

15 linux  apache-2.2  command-line-interface  openssl 

ฉันจะลดช่องโหว่ POODLE SSL ได้อย่างไรเมื่อใช้ stunnel เป็น HTTPS reverse proxy

15 ssl  openssl  stunnel 

นับตั้งแต่ผู้ให้บริการอีเมลของเราเปลี่ยนใบรับรอง SSL ลูกค้า POP3 ที่ใช้โมโนปฏิเสธที่จะเชื่อมต่อกับเซิร์ฟเวอร์ POP ที่ปลอดภัยเพื่อดาวน์โหลดอีเมล ลูกค้ารายอื่นไม่มีปัญหา เช่น Thunderbird และ Outlook ไม่ไม่มากที่สุดเว็บไซต์ตรวจสอบ SSL ที่มีความสามารถในการตรวจสอบพอร์ตแปลกยกเว้นคนนี้ ฉันได้ทำงานร่วมกับผู้ให้บริการทั้งสองเพื่อพยายามระบุปัญหา แต่ในที่สุดก็ถึงจุดจบกับทั้งคู่เนื่องจากฉันไม่รู้ใบรับรอง SSL เพียงพอที่จะสามารถชี้แนะผู้ให้บริการทั้งสองให้เข้าใจถึงความผิดพลาด ในระหว่างการสอบสวนความสนใจของฉันถูกดึงไปยังความแตกต่างในเอาต์พุตของสองคำสั่งต่อไปนี้ (ฉันได้ลบใบรับรองออกจากเอาต์พุตเพื่อให้สามารถอ่านได้): echo "" | openssl s_client -showcerts -connect pop.gmail.com:995 เชื่อมต่อ (00000003) ความลึก = 2 / C = US / O = GeoTrust Inc./CN=GeoTrust Global CA ยืนยันข้อผิดพลาด: num = 20: ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น …

14 ssl-certificate  openssl