คำถามติดแท็ก openssl

ฉันมีสคริปต์ที่ใช้คำสั่ง s_client openssl เพื่อดึงใบรับรองสำหรับโฮสต์ชุดใหญ่ โฮสต์เหล่านี้บางส่วนจะไม่สามารถเข้าถึงได้เนื่องจากไฟร์วอลล์ เป็นไปได้ไหมที่จะตั้งค่าการหมดเวลาของ s_client ให้สั้นกว่าค่าเริ่มต้นมาก? ฉันไม่เห็นไฟล์ในหน้า man / help file หรือคำสั่ง wrapper ประเภทนั้นที่จะฆ่า openssl -s_client อัตโนมัติหลังจากจำนวน X วินาที ฉันไม่ต้องการทดสอบโฮสต์ / พอร์ตล่วงหน้าหากเป็นไปได้

14 unix  openssl  shell-scripting 

ฉันต้องการตั้งค่าผู้ออกใบรับรองซึ่งฉันสามารถนำเข้าเบราว์เซอร์และระบบทั้งหมดของ บริษัท เพื่อกำจัดคำเตือนลูกค้าที่น่ารังเกียจทั้งหมดเมื่อใช้ HTTPS หรือ SSL

14 linux  security  ssl-certificate  openssl  rsa 

ฉันใช้ jessie debian บนเซิร์ฟเวอร์ของฉันและเพิ่งอัพเกรดเป็นเว็บเซิร์ฟเวอร์ nginx ใหม่พร้อมการสนับสนุน http / 2 (nginx 1.10) วันนี้มันใช้งานได้ดีและเว็บเซิร์ฟเวอร์ส่งเนื้อหาด้วยโปรโตคอล http2 ฉันได้อ่านแล้วChrome นั้นกำลังลดการสนับสนุน NPNและอนุญาตให้ ALPN เท่านั้นหลังจาก 15.5.2016 ALPN เป็นส่วนขยายซึ่งจำเป็นต้องติดตั้ง openssl 1.0.2 แต่บนเดเบียนเจสซีเป็น openssl 1.0.1 เท่านั้น (เช่นเดียวกับเดกซ์แบ็กและแหล่งเก็บข้อมูลอื่นไม่มีรุ่น openssl 1.0.2 สำหรับเดเบียนนี้) และมีปัญหา - ฉันได้อัพเกรดจาก SPDY เป็น http2 และในอีกไม่กี่วันฉันจะต้องปิด http2 และไม่สามารถใช้ SPDY ได้เนื่องจาก nignx รุ่นนี้มี http2 เท่านั้น ฉันได้อ่านแล้วว่าเดเบียนเวอร์ชันนี้จะติดอยู่กับ openssl 1.0.1 และเดซิเบลยืดเท่านั้นที่จะเปิด …

14 nginx  debian  openssl  debian-jessie  http2 

ฉันมีปัญหาแปลก ๆ อัปเดตเครื่อง LAMP dev ของฉัน (Debian) เป็น PHP 7 หลังจากนั้นฉันไม่สามารถเชื่อมต่อกับ API ที่เข้ารหัส TLS ผ่านทาง Curl ได้อีกต่อไป คำถามเกี่ยวกับใบรับรอง SSL ถูกลงชื่อโดย thawte curl https://example.com ให้ฉัน curl: (60) SSL certificate problem: unable to get local issuer certificate แต่ทว่า curl https://thawte.com ซึ่งแน่นอนว่ายังมีลายเซ็นของ Thawte ฉันสามารถเข้าถึงไซต์ API ผ่าน HTTPS บนเครื่องอื่น ๆ เช่นเดสก์ท็อปของฉันผ่านทาง curl และในเบราว์เซอร์ ดังนั้นใบรับรองจึงมีผลใช้ได้แน่นอน …

14 ssl  ssl-certificate  openssl  tls  curl 

กำลังพยายามตั้งค่ารูทีนการตรวจสอบ OCSP และต้องการให้คุ้นเคยกับสภาพแวดล้อมเป็นอันดับแรก พบบทเรียนที่ดีเยี่ยมเช่นOpenSSL: ด้วยตนเองตรวจสอบใบรับรองกับ OCSP มีคำถามหลายข้อเกิดขึ้นดังนั้นโปรดอดทนกับฉัน มีการเปลี่ยนแปลงบางอย่างตั้งแต่กวดวิชานั้น แต่ฉันคิดว่าส่วนสำคัญคือ: 1) ขัดขวางใบรับรองที่คุณต้องการตรวจสอบเช่น openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2) สร้างห่วงโซ่ใบรับรองเช่น openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem จากนั้นแก้ไขอย่างเหมาะสม ฉันพบว่าข้างต้นไม่ได้จัดเตรียมใบรับรอง CA ที่ลงนามเองด้วยตนเอง GlobalSignRootCA ดังนั้นจึงเพิ่มเข้ามา 3) กำหนด ocsp URI เช่น openssl x509 -noout …

13 openssl  x509  ocsp 

เมื่อทำการสอบถาม URL ของ CDN ของ Sparkfun โดยใช้ OpenSSL ด้วยคำสั่งต่อไปนี้: openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443 ชื่อทั่วไปที่ส่งคืนในใบรับรองคือ*.sparkfun.comซึ่งไม่สามารถตรวจสอบได้ แต่ถ้าคุณโหลดโฮสต์ใน Chrome ชื่อสามัญที่ปรากฏคือ*.cloudfront.net เกิดขึ้นที่นี่คืออะไร? นี่เป็นสาเหตุของปัญหาเนื่องจากสภาพแวดล้อมที่ฉันอยู่ในพร็อกซี SSL ผ่าน Squid SSL_Bump ซึ่งสร้างใบรับรองที่ลงนามโดย CA ที่เชื่อถือได้ในพื้นที่ของฉันสำหรับโดเมน ใช้ได้กับทุกโดเมน แต่ด้านบนเนื่องจาก CN ไม่ตรงกันเนื่องจากใบรับรองใหม่ถูกสร้างขึ้นโดยใช้ OpenSSL แก้ไข - ฉันตรวจสอบแล้วว่าเกิดขึ้นกับ OpenSSL บนเซิร์ฟเวอร์ในศูนย์ข้อมูลระยะไกลที่มีการเชื่อมต่อโดยตรงกับอินเทอร์เน็ตโดยไม่มีพร็อกซีหรือตัวกรองที่เกี่ยวข้อง แก้ไข - ปัญหาเกิดจาก SNI เป็นที่ยอมรับ แต่เพื่อกรอกข้อมูลว่าทำไมมันทำให้เกิดปัญหากับ Squid และ SSL_Bump: โครงการนี้จะไม่สนับสนุนการส่งต่อข้อมูลชื่อเซิร์ฟเวอร์ SSL (SNI) ไปยังเซิร์ฟเวอร์ต้นทางและจะทำให้การสนับสนุนดังกล่าวยากขึ้นอีกเล็กน้อย …

13 openssl  google-chrome 

ฉันสงสัยว่าวิธีการด้วยตนเอง (ใช้ openssl แทนคำสั่ง puppet ca) สร้าง CA ที่ Puppet ใช้งานได้หรือไม่ เป้าหมายคือการสร้างสคริปต์ของ CA ดังกล่าวเพื่อปรับใช้กับ puppetmasters หลาย ๆ ตัวแทนที่จะเป็นใบรับรองที่สร้างขึ้นโดยใช้คำสั่ง puppet cert ความคิดใด ๆ เกี่ยวกับวิธีที่จะทำ? ฉันสามารถค้นพบบางสิ่งเช่นนั้นเท่านั้น: https://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmasterแต่มันล้มเหลวในการทำงาน - หลังจากสร้าง CA และใบรับรองลูกค้าและใช้กับ puppetmaster Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the …

13 ssl  puppet  certificate  openssl 

คุณสามารถสร้างใบรับรอง SSL โดยใช้ * .domain.com เป็นชื่อ แต่น่าเสียดายที่นี่ไม่ครอบคลุมhttps://domain.com มีการแก้ไขใด ๆ สำหรับเรื่องนี้?

13 ssl  certificate  openssl  wildcard 

เมื่อฉันเรียกใช้ "openssl" ฉันได้รับข้อผิดพลาดดังนี้: openssl: ข้อผิดพลาดขณะโหลดไลบรารีที่แชร์: libcrypto.so.1.1: ไม่สามารถเปิดไฟล์วัตถุที่แชร์: ไม่มีไฟล์หรือไดเรกทอรีดังกล่าว " สิ่งนี้เกิดขึ้นหลังจากฉันพยายามอัพเดต OpenSSL ตามบทความนี้ มีวิธีแก้ไขไหม ระบบปฏิบัติการ: CentOS 6.8 เว็บเซิร์ฟเวอร์: nginx / 1.10.2 อัปเดต # 1: [root@host ~]# yum info openssl Installed Packages Name : openssl Arch : x86_64 Version : 1.0.1e Release : 48.el6_8.3 Size : 4.0 M Repo : installed From …

13 openssl 

ฉันมีเซิร์ฟเวอร์ Ubuntu 12.04.2 LTS ที่ใช้ Apache 2.2.22 พร้อม mod_ssl และ OpenSSL v1.0.1 ใน vhosts การตั้งค่าของฉัน (ทุกสิ่งทุกอย่างภายในซึ่งทำงานเป็นผมจะคาดหวัง) ผมมีความสอดคล้องกับSSLProtocol-all +SSLv3 ด้วยการกำหนดค่านั้น TLS 1.1 & 1.2 เปิดใช้งานและทำงานอย่างถูกต้องซึ่งเป็นสิ่งที่ขัดกับฉันอย่างที่ฉันคาดหวังว่าจะเปิดใช้งาน SSLv3 เท่านั้นเนื่องจากการกำหนดค่านั้น ฉันสามารถเปิด / ปิดใช้งาน TLSv1 ได้ดี-/+TSLv1และทำงานได้ตามที่คาดไว้ แต่+/-TLSv1.1และ+/-TLSv1.2ไม่ใช่ตัวเลือกการกำหนดค่าที่ถูกต้อง - ดังนั้นฉันจึงไม่สามารถปิดใช้งานวิธีนั้นได้ สำหรับสาเหตุที่ฉันต้องการทำเช่นนี้ - ฉันกำลังจัดการกับแอปพลิเคชันของบุคคลที่สาม (ซึ่งฉันไม่สามารถควบคุมได้) ที่มีพฤติกรรมบั๊กกี้กับเซิร์ฟเวอร์ที่เปิดใช้งาน TLS และฉันต้องปิดการใช้งานโดยสมบูรณ์

13 apache-2.2  ssl  openssl  tls  mod-ssl 

ฉันพยายามที่จะทำคำขอขดโดยใช้ใบรับรองลูกค้าเช่น: curl -E my.pem https://some.site และฉันได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้: curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca สิ่งนี้หมายความว่า? การร้องเรียนนี้มาจากเซิร์ฟเวอร์ที่ฉันกำลังเชื่อมต่อหรือไคลเอนต์ curl ของฉันหรือไม่ (ฉันจะทราบได้อย่างไร) ca ในบริบทนี้คืออะไร ฉันจะทำให้เป็นที่รู้จัก ca ได้อย่างไร

13 ssl  ssl-certificate  openssl  certificate-authority  curl 

ฉันกำลังมองหารายการ CRL หลัก สิ่งที่ใกล้เคียงที่ฉันได้พบเป็นโครงการโครเมี่ยมของCRLSets ฉันใช้เครื่องมือ crlsetเพื่อรับ crlset ( crlset fetch > crl-set) จากนั้นทิ้งหมายเลขซีเรียล ( crlset dump crl-set) ดังนั้นฉันจึงเห็นสิ่งนี้: f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc 03fb3b4d35074e 03fbf94a0e6c39 04097214d6c97c 0442c6b3face55 .... ฉันต้องการผ่านไปยัง openssl หรือ curl (ซึ่งใช้ openssl) ไฟล์ CRL ที่มีรายการหลักของ serials ที่ไม่ดีทั้งหมด ตัวอย่างเช่นแทนที่จะส่งผ่าน crl ของ verisign ฉันต้องการทุกอย่างที่ผ่านมาฉันคิดว่าฉันสามารถทำได้ด้วย crlset แต่ฉันไม่คิดว่ารูปแบบเข้ากันได้ ฉันพยายามopenssl crl -inform DER -text -in crl-setแต่มันพูดว่า: unable …

12 openssl  curl  google-chrome  crl 

# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <... successful tls negotiation stuff ...> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout …

12 centos  openldap  openssl  tls 

ฉันสร้างผู้ออกใบรับรองที่ลงนามเองด้วยตนเองสำหรับบริการภายในไม่กี่แห่งใน บริษัท ของเราซึ่งฉันกำหนดค่าตัวเอง (ส่วนใหญ่ทำหน้าที่ผ่าน HTTPS) จากนั้นฉันสร้างใบรับรองสำหรับบริการเหล่านั้นลงนามด้วย CA นี้ ตอนนี้ฉันต้องการเพิ่มส่วนขยาย x509 (จุดแจกจ่าย CRL) ให้กับรูท CA โดยไม่ทำให้ใบรับรองเซิร์ฟเวอร์ที่มีอยู่ซึ่งออกจาก CA นี้ไม่ถูกต้อง เป็นไปได้ไหม ความรู้สึกของฉันคือ "ใช่" เพราะอย่างที่ฉันเข้าใจการเข้าถึงกุญแจส่วนตัวที่เกี่ยวข้องนั้นเป็นสิ่งที่จำเป็นและเพียงพอสำหรับ "สิทธิ์เต็ม" ในการระบุตัวตนของใบรับรอง นั่นคือยกเว้นว่ามีการจัดเรียงของ nonce รวมกับคีย์สาธารณะในใบรับรองเมื่อมีการสร้าง (น่าจะ) ฉันยังค่อนข้างใหม่ต่อการจัดการใบรับรอง SSL แต่ฉัน (คิดว่าฉัน) เข้าใจพื้นฐานของเครือข่ายความน่าเชื่อถือมาตรฐาน ฉันยังพอใจกับการใช้งานพื้นฐานของ crypto PKI อื่น ๆ : ฉันจัดการคีย์ SSH และใช้ GPG สำหรับการเซ็นชื่อและการเข้ารหัส ฉันเรียนวิชาวิทยาการคอมพิวเตอร์ถึงแม้ว่าฉันจะเป็นแค่คนทำเสียงเขียนด้วยตนเองในการเข้ารหัส ฉันไม่เคยทำ CSR สำหรับ IIRC ดั้งเดิม (ฉันคิดว่ามันเป็นผลลัพธ์โดยตรงของopenssl …

12 ssl-certificate  openssl  certificate-authority 

เหตุใด OpenSSL จึงมีสองยูทิลิตี้ที่มีการทับซ้อนกันมาก genpkey: OpenSSL> genpkey - Usage: genpkey [options] where options may be -out file output file -outform X output format (DER or PEM) -pass arg output file pass phrase source -<cipher> use cipher <cipher> to encrypt the key -engine e use engine e, possibly a hardware device. -paramfile …

12 openssl