คำถามติดแท็ก openssl

OpenSSL: ชุดเครื่องมือโอเพนซอร์สสำหรับ SSL และ TLS


5
ไม่สามารถรวบรวม nginx ด้วยการรองรับ SSL ไม่พบ OpenSSL
ฉันกำลังพยายามรวบรวม nginx จากแหล่งที่มาพร้อมกับเปิดใช้งานโมดูล SSL เมื่อฉันเรียกใช้คำสั่งนี้: ./configure --with-http_ssl_module มันจะทำการตรวจสอบตามปกติเพื่อดูว่าทุกอย่างได้รับการติดตั้งอย่างถูกต้องหรือไม่จากนั้นจะปรากฏขึ้น: กำลังตรวจหาไลบรารี OpenSSL ... ไม่พบ ./configure: ข้อผิดพลาด: โมดูล SSL ต้องการไลบรารี OpenSSL คุณไม่สามารถเปิดใช้งานโมดูลหรือติดตั้งไลบรารี OpenSSL ลงในระบบหรือสร้างไลบรารี OpenSSL แบบคงที่จากแหล่งที่มาด้วย nginx โดยใช้ตัวเลือก --with-openssl = ฉันรู้ว่ามีการติดตั้ง OpenSSL เพราะเมื่อopenssl versionฉันได้รับOpenSSL 1.0.1 14 Mar 2012 ดังนั้นฉันค่อนข้างนิ่งงัน ฉันคิดว่าบางที OpenSSL ไม่ได้ถูกติดตั้งในตำแหน่งเริ่มต้นซึ่งเป็นสาเหตุที่ nginx หาไม่พบ แต่ฉันไม่รู้ว่ามันอยู่ที่ไหนเพราะติดตั้งมากับเซิร์ฟเวอร์ล่วงหน้า ฉันจะทราบได้อย่างไรว่านี่คืออะไร? เซิร์ฟเวอร์กำลังใช้งาน Ubuntu 12.04 LTS ขอบคุณ
19 ubuntu  nginx  openssl 

3
วิธีสร้างไฟล์. key และ. crt จากไฟล์ JKS สำหรับเซิร์ฟเวอร์ httpd apache
ฉันมีไฟล์mycert.jksเท่านั้น ตอนนี้ฉันต้องแยกและสร้างไฟล์. key และ. crtและใช้ในเซิร์ฟเวอร์ apache httpd SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key ทุกคนสามารถแสดงรายการขั้นตอนทั้งหมดเพื่อดำเนินการนี้ ฉันค้นหา แต่ไม่มีตัวอย่างที่เป็นรูปธรรมที่จะเข้าใจผสมและทำตามขั้นตอน กรุณาแนะนำ! [แก้ไข] รับข้อผิดพลาดหลังจากทำตามขั้นตอนจากคำตอบด้านล่าง 8/‎21/‎2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid …

2
openssl ให้ฉันข้อผิดพลาด "ตัวเลือกที่ไม่รู้จัก"
ฉันกำลังพยายามสร้างใบรับรอง SSL เป็นครั้งแรก ฉันไม่รู้ว่ามันทำงานอย่างไรและฉันเพียงแค่ทำตามคำแนะนำที่ให้ไว้กับฉัน คำสั่งแรกทำงานได้ดี: openssl genrsa -des3 -out privkey.key 2048 จากนั้นคำสั่งที่สองคือให้ฉันข้อผิดพลาด: openssl req –new –nodes -key privkey.key –out server.csr มันบอกว่า "ตัวเลือกที่ไม่รู้จัก - ใหม่" แล้วแสดงรายการตัวเลือกทั้งหมดซึ่งหนึ่งในนั้นก็คือ "ใหม่" Google ข้อความแสดงข้อผิดพลาดให้เพียงหนึ่งโพสต์ฟอรัมที่มีประโยชน์ซึ่งบอกว่าฉันต้องใช้ตัวเลือก -config เพื่อชี้ไปที่ไฟล์ openssl.cnf ของฉัน ดังนั้นฉันค้นหาอินสแตนซ์เดียวของ openssl.cnf ที่อยู่ในการติดตั้ง XAMPP ของฉัน สิ่งนี้ทำให้ฉันเพิ่มเติม "ข้อผิดพลาดที่ไม่รู้จัก" ขึ้นอยู่กับคำสั่งที่ฉันใส่ตัวเลือก -config openssl req -config /Applications/XAMPP/xamppfiles/share/openssl/openssl.cnf -key privkey.key –out server.csr -new …

1
ไม่สามารถกำจัดข้อผิดพลาด `net :: ERR_CERT_COMMON_NAME_INVALID` ใน chrome ด้วยใบรับรองที่ลงชื่อด้วยตนเอง
มีคำถามมากมายบนเว็บที่ผู้คนมีปัญหาในการตั้งค่าใบรับรองที่ลงชื่อด้วยตนเองเพื่อใช้ในเครือข่ายภายใน เพียงเพื่อเชื่อมโยงสองสาม: รับ Chrome เพื่อยอมรับใบรับรอง localhost ที่ลงชื่อด้วยตนเอง Chrome ยอมรับใบรับรอง localhost ที่ลงชื่อด้วยตนเองการ สร้างใบรับรองที่ลงนามด้วยตนเองด้วย openssl ที่ทำงานใน Chrome 58 ใบรับรอง StartCom ข้อผิดพลาด: ERR_CERT_AUTHORITY_INVALID ฉันผ่านแต่ละคนมาแล้ว แต่ก็ยังไม่สามารถกำจัด(net::ERR_CERT_COMMON_NAME_INVALID).ข้อผิดพลาดได้ ขั้นตอนตาม: การสร้างคีย์และใบรับรองบนเซิร์ฟเวอร์ openssl req \ -newkey rsa:2048 \ -x509 \ -nodes \ -keyout file.key \ -new \ -out file.crt \ -subj /CN=Hostname \ -reqexts SAN \ -extensions SAN …

1
ฉันควรตั้งค่าการอนุญาตใดเป็น dhparam.pem
ฉันกำลังสร้างพารามิเตอร์ Diffie-Hellman สำหรับssl_dhparamคำสั่งในการกำหนดค่า SSL ของ nginx ไฟล์ที่ถูกสร้างขึ้นด้วยคำสั่งdhparam.pemopenssl dhparam 2048 -check -out dhparam.pem ฉันควรตั้งค่าสิทธิ์ใดให้กับไฟล์นี้ มีความปลอดภัยในการแชร์ในที่เก็บ git หรือฉันควรเก็บไว้เป็นความลับ?
18 nginx  ssl  openssl  chmod 


2
การสร้าง CSR และไฟล์คีย์สำหรับการรับรอง SSL นั้นมีความสำคัญหรือไม่
ฉันต้องสร้าง CSR สำหรับใบรับรอง SSL แบบ wildcard คำถามที่พบบ่อยบางอย่างจากผู้ให้บริการ SSL บอกว่าฉันควรสร้างไฟล์ CSR บนเครื่องที่ฉันต้องการติดตั้งใบรับรองหรือไม่ ความเข้าใจของฉันคือมันไม่สำคัญว่าฉันจะสร้าง CSR หรือไฟล์คีย์ได้ที่ไหนตราบใดที่ฉันย้ายไฟล์ไปยังตำแหน่งที่ถูกต้องในภายหลัง ดังนั้นคำถามของฉันคือ: การสร้าง CSR และไฟล์คีย์สำหรับการรับรอง SSL นั้นมีความสำคัญหรือไม่

2
การแจ้งเตือน“ SSL3_READ_BYTES: sslv3 การแจ้งเตือนใบรับรองไม่ถูกต้อง” ระบุว่า SSL ล้มเหลว
ในขณะที่ใช้คำสั่งด้านล่าง openssl s_client -host example.xyz -port 9093 ฉันได้รับข้อผิดพลาดต่อไปนี้: 139810559764296:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1259:SSL alert number 42 39810559764296:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184: แต่ท้ายที่สุดฉันก็ได้รับ"Verify return code: 0 (ok)"ข้อความ คำถามของฉันคือสิ่งที่การแจ้งเตือนดังกล่าวข้างต้นมีความหมายและถ้า SSL ที่ประสบความสำเร็จจริง ขอบคุณมากสำหรับความช่วยเหลือล่วงหน้า SSL handshake has read 6648 bytes and written 354 bytes New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit …

4
ฉันจะนำเข้าคีย์ RSA SSH ไปยัง GPG เป็นคีย์ส่วนตัว _primary_ ได้อย่างไร
ขณะนี้ฉันมีคีย์ SSH ที่ฉันใช้มาระยะหนึ่งแล้วและฉันต้องการเริ่มใช้ GnuPG ด้วยพวงกุญแจใหม่ อย่างไรก็ตามเนื่องจากฉันใช้คีย์ของฉันมานานแล้วฉันต้องการยังคงใช้คีย์นั้นใน GPG เป็นคีย์หลัก / หลัก ฉันได้ลองนำเข้ากุญแจผ่านคำแนะนำเหล่านี้แล้ว แต่ฉันจบลงด้วยสิ่งที่ถือว่าเป็น "คีย์ย่อย" นอกจากนี้หากฉันพยายามนำเข้าโดยไม่ต้องสร้างคีย์ GPG มาตรฐาน GPG จะไม่เห็นคีย์ย่อยนี้อีก (ฉันสมมติว่าคีย์ย่อยต้องได้รับการลงนามโดยคีย์หลักก่อน) ฉันจะใช้คีย์นี้เป็นคีย์หลักใน secring.gpg ได้อย่างไร

2
MS Certificate Services สามารถเป็นผู้ใต้บังคับบัญชาถึง CA ที่สร้างด้วย OpenSSL ได้หรือไม่
ฉันต้องการตั้งค่าสิทธิ์การรับรองระดับองค์กรสำหรับโดเมนของฉัน ดังนั้นฉันสามารถออกใบรับรองเพื่อวัตถุประสงค์ต่างๆ ฉันต้องการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการรูท CA เป็นออฟไลน์และตั้งค่า CA องค์กรของฉันเป็นสังกัด แต่ดูเหมือนว่าโง่ที่จะให้ลิขสิทธิ์ Windows แบบสมบูรณ์สำหรับงานนี้ สิ่งที่ฉันหวังว่าจะสามารถทำได้คือติดตั้งการแจกจ่ายสดลงในดิสก์ USB แฟลชแล้วติดตั้ง openssl และติดตั้ง CA ของฉันในแฟลชไดรฟ์ เมื่อฉันพร้อมที่จะสร้างรูทคีย์ / ใบรับรองฉันจะตัดการเชื่อมต่อคอมพิวเตอร์จากเครือข่ายและจากนั้นไม่เคยใช้ดิสก์ USB นั้นบนคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายอีกครั้ง ฉันจะสามารถลงชื่อและสร้างใบรับรอง CA รองสำหรับ CA องค์กร Windows ได้อย่างถูกต้องหรือไม่ซึ่งจะสามารถใช้งานได้ ฉันต้องใช้ตัวเลือกใดกับ OpenSSL เพื่อสร้าง CA และลงนามใบรับรอง CA รองอย่างถูกต้อง ฉันพยายามค้นหาเว็บและนี่เป็นสิ่งเดียวที่ฉันสามารถค้นพบในหัวข้อนี้ แต่มันมาถึงปี 2008 และฉันไม่แน่ใจว่าบุคคลนั้นจะประสบความสำเร็จทุกคน

3
ทำไม Internet Explorer 11 ไม่สามารถเชื่อมต่อกับไซต์ HTTPS เมื่อเปิดใช้งาน TLS 1.2
ปกติฉันจะไม่ใช้ Internet Explorer เลย ฉันใช้งานได้เฉพาะในเวลาออกแบบสำหรับการทดสอบส่วนต่อประสาน (เครื่องพัฒนาและด้วย http ที่ไม่ได้เข้ารหัส) ฉันทำการทดสอบเซิร์ฟเวอร์ SSL Labs ทุกสัปดาห์ซึ่งระบุว่า IE11 สามารถเข้าถึงเว็บไซต์ของฉันได้ วันนี้ฉันค้นพบปัญหากับหนึ่งในบริการของบุคคลที่สามของฉัน ฟังก์ชั่นพิเศษบางอย่างไม่ทำงานกับ Chrome หรือ Firefox ดังนั้นฉันจึงเปิดตัว IE11 บนเครื่อง Windows 7 ของฉัน และ IE11 แสดงให้ฉันเห็นหน้าข้อผิดพลาดในตัวแม่มดโดยทั่วไปบอกว่า "หน้าไม่สามารถแสดงได้" และ dummy bla bla ทั่วไปเช่นตรวจสอบ DNS และอื่น ๆ ไม่มีวี่แววของปัญหาการเข้ารหัสที่เกี่ยวข้องกับหน้าข้อผิดพลาดทั้งหมด (เช่นเบราว์เซอร์ปกติจะทำ) ย้อนกลับไปสองสามเดือนมีschannelปัญหานี้ซึ่งป้องกันไม่ให้ IES ที่เปิดใช้งาน TLS1.2 เข้าถึงไซต์ HTTPS จากจุดนั้นในเวลา "รายการตรวจสอบ WTF สำหรับ IE …

3
การสร้างการร้องขอใบรับรอง SSL แบบไม่โต้ตอบ
มีวิธีสร้างคำขอใบรับรอง SSL โดยระบุพารามิเตอร์ที่จำเป็นทั้งหมดในคำสั่งเริ่มต้นหรือไม่ ฉันกำลังเขียนแผงควบคุมเว็บเซิร์ฟเวอร์ที่ใช้CLIและฉันต้องการหลีกเลี่ยงการใช้ความคาดหวังเมื่อดำเนินการopensslถ้าเป็นไปได้ นี่เป็นวิธีทั่วไปในการสร้างคำขอใบรับรอง: $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout foobar.com.key -out foobar.com.csr Generating a 2048 bit RSA private key .................................................+++ ........................................+++ writing new private key to 'foobar.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. …


3
ทำความเข้าใจเกี่ยวกับผลลัพธ์ของ openssl s_client
นับตั้งแต่ผู้ให้บริการอีเมลของเราเปลี่ยนใบรับรอง SSL ลูกค้า POP3 ที่ใช้โมโนปฏิเสธที่จะเชื่อมต่อกับเซิร์ฟเวอร์ POP ที่ปลอดภัยเพื่อดาวน์โหลดอีเมล ลูกค้ารายอื่นไม่มีปัญหา เช่น Thunderbird และ Outlook ไม่ไม่มากที่สุดเว็บไซต์ตรวจสอบ SSL ที่มีความสามารถในการตรวจสอบพอร์ตแปลกยกเว้นคนนี้ ฉันได้ทำงานร่วมกับผู้ให้บริการทั้งสองเพื่อพยายามระบุปัญหา แต่ในที่สุดก็ถึงจุดจบกับทั้งคู่เนื่องจากฉันไม่รู้ใบรับรอง SSL เพียงพอที่จะสามารถชี้แนะผู้ให้บริการทั้งสองให้เข้าใจถึงความผิดพลาด ในระหว่างการสอบสวนความสนใจของฉันถูกดึงไปยังความแตกต่างในเอาต์พุตของสองคำสั่งต่อไปนี้ (ฉันได้ลบใบรับรองออกจากเอาต์พุตเพื่อให้สามารถอ่านได้): echo "" | openssl s_client -showcerts -connect pop.gmail.com:995 เชื่อมต่อ (00000003) ความลึก = 2 / C = US / O = GeoTrust Inc./CN=GeoTrust Global CA ยืนยันข้อผิดพลาด: num = 20: ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.