คำถามติดแท็ก ssl-certificate

ใบรับรอง SSL ใช้ในการเข้ารหัสและตรวจสอบการเชื่อมต่อไปยังเซิร์ฟเวอร์เครือข่ายซึ่งส่วนใหญ่เป็นที่นิยมสำหรับเว็บเซิร์ฟเวอร์ แต่ยังรวมถึงอีเมลการถ่ายโอนไฟล์และการเชื่อมต่อเครือข่ายอื่น ๆ

10
การแสดงรายละเอียดใบรับรอง SSL ระยะไกลโดยใช้เครื่องมือ CLI
ใน Chrome การคลิกที่ไอคอนล็อค HTTPS สีเขียวจะเปิดหน้าต่างที่มีรายละเอียดใบรับรอง: เมื่อฉันลองแบบเดียวกันกับ cURL ฉันได้รับข้อมูลบางอย่างเท่านั้น: $ curl -vvI https://gnupg.org * Rebuilt URL to: https://gnupg.org/ * Hostname was NOT found in DNS cache * Trying 217.69.76.60... * Connected to gnupg.org (217.69.76.60) port 443 (#0) * TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA * Server certificate: gnupg.org * Server certificate: Gandi …






4
ใบรับรองไวด์การ์ด SSL ควรปลอดภัยทั้งโดเมนรูทและโดเมนย่อยหรือไม่
ฉันถามคำถามนี้เพราะโคโมโดบอกฉันว่าใบรับรองไวด์การ์ดสำหรับ * .example.com จะปลอดภัยเช่นรูทโดเมน example.com ดังนั้นด้วยใบรับรองเดียวทั้ง my.example.com และ example.com จึงปลอดภัยโดยไม่มีคำเตือนจากเบราว์เซอร์ อย่างไรก็ตามนี่ไม่ใช่กรณีที่มีใบรับรองที่ฉันให้มา โดเมนย่อยของฉันมีความปลอดภัยดีและไม่ให้ข้อผิดพลาด แต่โดเมนรูทส่งข้อผิดพลาดในเบราว์เซอร์โดยระบุว่าตัวระบุไม่สามารถตรวจสอบได้ เมื่อฉันเปรียบเทียบใบรับรองนี้กับสถานการณ์ที่คล้ายกันอื่น ๆ ฉันเห็นว่าในสถานการณ์ที่ทำงานโดยไม่มีข้อผิดพลาด Subject Alternative Name (SAN) จะแสดงรายการทั้ง * .example.com และ example.com ในขณะที่ใบรับรองล่าสุดจาก Comodo แสดงเฉพาะรายการ * example.com เป็นชื่อสามัญและไม่ example.com เป็นชื่อสำรองของหัวเรื่อง ทุกคนสามารถยืนยัน / ชี้แจงว่าโดเมนหลักควรอยู่ในรายละเอียดของ SAN หรือไม่หากมีการรักษาความปลอดภัยอย่างถูกต้องด้วย เมื่อฉันอ่านสิ่งนี้: http://www.digicert.com/subject-alternative-name.htmดูเหมือนว่า SAN จะต้องแสดงรายการทั้งสองเพื่อที่จะทำงานตามที่ฉันต้องการ ประสบการณ์ของคุณคืออะไร ขอบคุณมาก ๆ.

3
ฉันจะแปลงใบรับรอง. cer เป็น. pem ได้อย่างไร
ฉันมี.cerใบรับรองและฉันต้องการแปลงเป็น.pemรูปแบบ ถ้าผมจำไม่ผิดผมใช้เพื่อให้สามารถแปลงพวกเขาโดยการส่งออก.cerใน Base64 .pemแล้วเปลี่ยนชื่อไฟล์ไปยัง ฉันจะแปลง.cerใบรับรองเป็น.pemอย่างไร

6
เหตุใด CA รูตใบรับรองทั้งหมดที่ลงชื่อ SHA-1 (เนื่องจาก SHA-1 เลิกใช้แล้ว)
ฉันเข้าใจว่าใบรับรอง SSL ไม่สามารถลงชื่อโดยใช้ SHA-1 ได้อีกต่อไป แต่ใบรับรองหลัก CA ทั้งหมดนั้นลงนามใน SHA-1 (ส่วนใหญ่) หมายความว่าอัลกอริทึมแบบเดียวกันที่ไม่น่าเชื่อถือสำหรับ "you grandma SSL shop" อีกต่อไปนั้นใช้ได้สำหรับใบรับรองที่ปลอดภัยที่สุดในโลกหรือไม่? ฉันพลาดอะไรไปรึเปล่า? (การใช้คีย์? ขนาดสำคัญ?)

4
จะตัดสินใจได้อย่างไรว่าจะซื้อใบรับรองไวด์การ์ด SSL ได้ที่ไหน
เมื่อเร็ว ๆ นี้ฉันต้องซื้อใบรับรอง SSL แบบ wildcard (เพราะฉันต้องการรักษาความปลอดภัยของโดเมนย่อยจำนวนหนึ่ง) และเมื่อฉันค้นหาตำแหน่งที่จะซื้อครั้งแรกฉันรู้สึกสับสนกับจำนวนของตัวเลือกการอ้างสิทธิ์ทางการตลาดและช่วงราคา ฉันสร้างรายการเพื่อช่วยให้ฉันเห็นว่าผ่านกลไกการตลาดซึ่งส่วนใหญ่ของ Certificate Authorities (CAs) ปลาสเตอร์ทั่วไซต์ของพวกเขา ในท้ายที่สุดข้อสรุปส่วนตัวของฉันคือสิ่งที่สำคัญเพียงอย่างเดียวคือราคาและความพึงพอใจของเว็บไซต์ของ CA คำถาม:นอกจากราคาและเว็บไซต์ที่ดีแล้วมีสิ่งใดที่ควรค่าแก่การพิจารณาในการตัดสินใจซื้อใบรับรองไวด์การ์ด SSL

5
ตำแหน่งที่ดีที่สุดสำหรับใบรับรอง SSL และกุญแจส่วนตัวบน Ubuntu
บน Ubuntu ดูเหมือนว่าจะเป็นสถานที่ที่ดีที่สุดสำหรับไพรเวตคีย์ที่ใช้ในการลงนามใบรับรอง (สำหรับใช้โดย nginx) /etc/ssl/private/ คำตอบนี้เสริมว่าใบรับรองควรเข้าไป/etc/ssl/certs/แต่ดูเหมือนจะเป็นสถานที่ที่ไม่ปลอดภัย ทำ.crtไฟล์จะต้องมีการเก็บไว้ที่ปลอดภัยหรือว่าพวกเขาถือว่าสาธารณะ?

2
ไฟล์. crt และ. key คืออะไรและจะสร้างได้อย่างไร
ฉันมีการกำหนดค่าต่อไปนี้: SSLEngine on SSLCertificateFile /etc/httpd/conf/login.domain.com.crt SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP แต่ฉันไม่รู้วิธีสร้าง.crtและ.keyไฟล์

11
เหตุใดฉันจึงต้องซื้อใบรับรอง SSL เมื่อฉันสามารถสร้างภายในเครื่อง
ฉันมีปัญหาในการทำความเข้าใจว่าทำไมเราต้องซื้อใบรับรอง SSL เมื่อเราสามารถสร้างพวกเขาในพื้นที่โดยใช้ openSSL อะไรคือความแตกต่างระหว่างใบรับรองที่ฉันซื้อและใบรับรองทดสอบที่ฉันสร้างขึ้นภายในเครื่อง มันเป็นเพียงการหลอกลวงครั้งใหญ่หรือไม่?

2
ต้องสร้าง CSRs บนเซิร์ฟเวอร์ที่จะโฮสต์ใบรับรอง SSL หรือไม่
จำเป็นต้องสร้าง CSR (คำขอลงนามใบรับรอง) บนเครื่องเดียวกับที่จะโฮสต์เว็บแอปพลิเคชันและใบรับรอง SSL ของฉันหรือไม่ หน้านี้ใน SSL Shopperกล่าวเช่นนั้น แต่ฉันไม่แน่ใจว่าเป็นเรื่องจริงหรือไม่เพราะนั่นหมายความว่าฉันต้องซื้อใบรับรอง SSL แยกต่างหากสำหรับแต่ละเซิร์ฟเวอร์ในคลัสเตอร์ของฉัน CSR คืออะไร คำร้องขอ CSR หรือการลงนามใบรับรองเป็นบล็อกของข้อความเข้ารหัสที่สร้างขึ้นบนเซิร์ฟเวอร์ที่จะใช้ใบรับรอง

6
การสร้างใบรับรองที่ลงชื่อด้วยตัวเองด้วย openssl ที่ทำงานใน Chrome 58
ตั้งแต่ Chrome 58 จะไม่ยอมรับ certs ที่ลงชื่อด้วยตนเองซึ่งพึ่งพาCommon Name: https://productforums.google.com/forum/#!topic/chrome/zVo3M8CgKzQ;context-place=topicsearchin/chrome/category $ 3ACanary% 7Csort อีกต่อไป: ความสัมพันธ์กัน% 7Cspell: เท็จ Subject Alt Nameแต่มันต้องใช้ ก่อนหน้านี้ฉันได้ปฏิบัติตามคำแนะนำเกี่ยวกับวิธีสร้างใบรับรองที่ลงชื่อด้วยตนเอง: https://devcenter.heroku.com/articles/ssl-certificate-selfซึ่งใช้งานได้ดีมากเพราะฉันต้องการserver.crtและserver.keyไฟล์สำหรับสิ่งที่ฉันทำ ตอนนี้ฉันต้องสร้าง certs ใหม่ที่รวมถึงSANความพยายามทั้งหมดของฉันที่ทำไม่ได้กับ Chrome 58 นี่คือสิ่งที่ฉันทำ: ฉันทำตามขั้นตอนในบทความ Heroku ที่กล่าวถึงข้างต้นเพื่อสร้างรหัส ฉันเขียนไฟล์กำหนดค่า OpenSSL ใหม่: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.