คำถามติดแท็ก ssl-certificate

ฉันมีใบรับรองที่ออกโดยบุคคลที่สามที่ฉันต้องการเพื่อให้แน่ใจว่าทำงานบนเป้าหมายทั้งหมดในโดเมนที่กำหนด มีวิธีที่จะทำให้แน่ใจว่าใบรับรองนี้ได้รับการติดตั้งโดยวิธี DSC หรือไม่

12 powershell  ssl-certificate  dsc 

บริษัท ของฉันมีหน่วยงานออกใบรับรองภายในองค์กรที่ขณะนี้ลงชื่อด้วยตนเอง เนื่องจากเราต้องการเริ่มใช้มันสำหรับ SSL ภายนอกและอีเมลที่ปลอดภัยให้กับลูกค้าของเราเราจึงต้องได้รับความเชื่อถือ ใครบ้างที่มีสนามเบสบอลว่ามีค่าใช้จ่ายอะไรบ้างในการได้รับใบรับรองหลักที่เชื่อถือได้สำหรับ PKI ภายในองค์กร ตัวเลข 4 ตัว? 5 ตัวเลข? 6 ตัวเลข? เราจ้างงานระหว่าง 2,000-3,000

12 email  ssl  ssl-certificate  certificate  certificate-authority 

ฉันสร้างผู้ออกใบรับรองที่ลงนามเองด้วยตนเองสำหรับบริการภายในไม่กี่แห่งใน บริษัท ของเราซึ่งฉันกำหนดค่าตัวเอง (ส่วนใหญ่ทำหน้าที่ผ่าน HTTPS) จากนั้นฉันสร้างใบรับรองสำหรับบริการเหล่านั้นลงนามด้วย CA นี้ ตอนนี้ฉันต้องการเพิ่มส่วนขยาย x509 (จุดแจกจ่าย CRL) ให้กับรูท CA โดยไม่ทำให้ใบรับรองเซิร์ฟเวอร์ที่มีอยู่ซึ่งออกจาก CA นี้ไม่ถูกต้อง เป็นไปได้ไหม ความรู้สึกของฉันคือ "ใช่" เพราะอย่างที่ฉันเข้าใจการเข้าถึงกุญแจส่วนตัวที่เกี่ยวข้องนั้นเป็นสิ่งที่จำเป็นและเพียงพอสำหรับ "สิทธิ์เต็ม" ในการระบุตัวตนของใบรับรอง นั่นคือยกเว้นว่ามีการจัดเรียงของ nonce รวมกับคีย์สาธารณะในใบรับรองเมื่อมีการสร้าง (น่าจะ) ฉันยังค่อนข้างใหม่ต่อการจัดการใบรับรอง SSL แต่ฉัน (คิดว่าฉัน) เข้าใจพื้นฐานของเครือข่ายความน่าเชื่อถือมาตรฐาน ฉันยังพอใจกับการใช้งานพื้นฐานของ crypto PKI อื่น ๆ : ฉันจัดการคีย์ SSH และใช้ GPG สำหรับการเซ็นชื่อและการเข้ารหัส ฉันเรียนวิชาวิทยาการคอมพิวเตอร์ถึงแม้ว่าฉันจะเป็นแค่คนทำเสียงเขียนด้วยตนเองในการเข้ารหัส ฉันไม่เคยทำ CSR สำหรับ IIRC ดั้งเดิม (ฉันคิดว่ามันเป็นผลลัพธ์โดยตรงของopenssl …

12 ssl-certificate  openssl  certificate-authority 

ฉันต้องการตั้งค่า certbot สำหรับเว็บเซิร์ฟเวอร์ในพอร์ตอื่นที่ไม่ใช่ 443 ฉันได้รับข้อผิดพลาดต่อไปนี้เมื่อทำงาน certbot --apache -d <sub>.<domain>.<ext> ขั้นตอนการอนุมัติที่ล้มเหลว sub.domain.ext (tls-sni-01): โกศ: acme: ข้อผิดพลาด: การเชื่อมต่อ: เซิร์ฟเวอร์ไม่สามารถเชื่อมต่อกับลูกค้าเพื่อตรวจสอบโดเมน :: ไม่สามารถเชื่อมต่อกับ external_ip: 443 สำหรับความท้าทาย TLS-SNI-01 หลังจากข้อผิดพลาดนี้ฉันได้อ่าน man man ที่ฉันพบสิ่งนี้: --tls-sni-01-port TLS_SNI_01_PORT หมายเลขพอร์ตเพื่อดำเนินการท้าทาย tls-sni-01 โบลเดอร์ในโหมดทดสอบเริ่มต้นที่ 5001 (ค่าเริ่มต้น: 443) จากนั้นฉันลองต่อไปนี้เพื่อแก้ไขข้อผิดพลาดนี้: certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext> หลังจากเพิ่ม tls-sni-01-port ฉันได้รับข้อผิดพลาดเดียวกัน เป็นไปได้หรือไม่ที่จะติดตั้งใบรับรองที่มีพอร์ตอื่นหรือฉันทำอะไรผิดพลาด?

12 apache-2.4  ssl-certificate  lets-encrypt  certbot 

ฉันต้องการโฮสต์เว็บไซต์ที่ควรฟังโดเมนย่อย (เช่น sub.domain.com) พร้อมกับเว็บไซต์หลายเว็บไซต์ที่อยู่ภายใต้โดเมนระดับที่สอง (เช่น domain2.com, domain3.com) กับ IIS และ SSL สำหรับเว็บไซต์ที่มีโดเมนย่อยฉันมีใบรับรองตัวแทน (* .domain.com) และฉันยังมีใบรับรองเฉพาะสำหรับไซต์อื่น ๆ (domain2.com และ domain3.com) การตั้งค่าดังกล่าวสามารถโฮสต์บน IIS เดียวกันได้หรือไม่ (หากมีความสำคัญในบทบาทบนเว็บ Azure Cloud Service) ปัญหาคือสิ่งที่ titobf อธิบายไว้ที่นี่ : ในทางทฤษฎีสำหรับสิ่งนี้เราจำเป็นต้องทำการเชื่อมโยงโดยใช้ SNI โดยมีโฮสต์ที่ระบุสำหรับ domain2 / 3.com แล้วเว็บไซต์ catch-all ที่มี * host สำหรับ * .domain.com แต่ในทางปฏิบัติไม่ว่าจะมีการตั้งค่าการเชื่อมโยงอย่างไรหากเว็บไซต์ catch-all นั้นอยู่ในนั้นจะได้รับการร้องขอทั้งหมดไปยัง domain2 / 3.com …

12 iis  ssl  azure  ssl-certificate  sni 

ฉันเพิ่งตระหนักว่าการโจมตี SSL แบบคนกลางนั้นเป็นเรื่องปกติมากกว่าที่ฉันคิดโดยเฉพาะในสภาพแวดล้อมขององค์กร ฉันได้ยินและเห็นตัวเองหลายองค์กรที่มีพร็อกซีเซิร์ฟเวอร์ SSL ที่โปร่งใส ไคลเอนต์ทั้งหมดได้รับการกำหนดค่าให้เชื่อถือใบรับรองพร็อกซีนี้ สิ่งนี้หมายความว่าผู้ว่าจ้างในทางทฤษฎีสามารถดักจับการรับส่งข้อมูล SSL ที่เข้ารหัสโดยไม่มีคำเตือนใด ๆ ในเบราว์เซอร์ที่โผล่ขึ้นมา ดังกล่าวข้างต้นลูกค้ามาพร้อมกับใบรับรองที่เชื่อถือได้ สิ่งนี้สามารถเปิดเผยได้โดยการตรวจสอบความถูกต้องของใบรับรองที่ใช้อยู่เท่านั้น สำหรับฉันดูเหมือนว่านายจ้างใช้ตำแหน่งที่เหนือกว่าของเขาเพื่อสอดแนมการรับส่งข้อมูล SSL ของพนักงาน สำหรับฉันนี่ทำให้แนวคิดทั้งหมดของ SSL ที่ไม่น่าเชื่อถือ ฉันได้ทดสอบการตั้งค่าที่คล้ายกันสำเร็จแล้วโดยใช้ mitmproxy และสามารถอ่านการสื่อสารระหว่างลูกค้ากับเซิร์ฟเวอร์ธนาคารทางอิเล็กทรอนิกส์ของฉันได้ นี่คือข้อมูลที่ไม่ควรเปิดเผยต่อใคร ดังนั้นคำถามของฉันค่อนข้างง่าย: ฉันจะตรวจสอบ chain of trust บนฝั่งเซิร์ฟเวอร์ได้อย่างไร ฉันต้องการตรวจสอบให้แน่ใจว่าลูกค้าใช้ใบรับรองของเซิร์ฟเวอร์ของฉันและเชื่อถือได้เพียงหนึ่งเชน ฉันสงสัยว่าการตั้งค่า SSL ของ Apache สามารถทำได้หรือไม่ สิ่งนี้จะสะดวกเนื่องจากสามารถนำไปใช้กับแอปพลิเคชันมากมายได้อย่างง่ายดาย หากเป็นไปไม่ได้มีใครรู้วิธีการทำเช่นนี้ใน PHP หรือไม่? หรือคุณมีข้อเสนอแนะอื่น ๆ

11 apache-2.2  ssl  ssl-certificate  mitmproxy 

ฉันเพิ่งเยี่ยมชมการทดสอบเซิร์ฟเวอร์ SSL ของ Qualysเพื่อยืนยันว่ามีการติดตั้งใบรับรอง Namecheap อย่างถูกต้อง ทุกอย่างดูดียกเว้นปัญหาห่วงโซ่เดียว ("มีสมอ"): ดูเหมือนว่าฉันควรจะสามารถแก้ไขปัญหานี้ได้โดยการลบ AddTrust External CA Root ซึ่งมีอยู่แล้วในร้านค้าที่เชื่อถือได้ (ส่วนใหญ่?) อย่างไรก็ตามคำแนะนำการติดตั้งของ Namecheap ระบุอย่างชัดเจนว่านี่เป็นหนึ่งในสามใบรับรองในชุด CA: ComodoRSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt จะปลอดภัยหรือไม่ที่จะเพิกเฉยคำแนะนำของ Namecheap และลบใบรับรองรูท AddTrust External CA ออกจากสายโซ่ ถ้าเป็นเช่นนั้นเหตุใด Namecheap จึงรวมไว้ในที่แรก?

11 ssl-certificate  certificate-authority 

ผู้ให้บริการโฮสต์ของฉันเพิ่งออกใหม่และติดตั้งใบรับรอง SSL อีกครั้งสำหรับโดเมนของฉันหลังจากที่พวกเขาปล่อยให้ใบรับรองเก่าหมดอายุโดยไม่ได้ตั้งใจ ตอนนี้ฉันสามารถเรียกดูเว็บไซต์ผ่าน HTTPS อีกครั้งและโฮสต์ของฉันก็เป็นเช่นนั้นและมีผู้ใช้อื่นจำนวนมาก อย่างไรก็ตามผู้ใช้บางคน (อย่างน้อยหนึ่งโหลจากร้อย) ยังคงได้รับYour connection is not secureข้อความแสดงข้อผิดพลาดในเบราว์เซอร์และแพลตฟอร์มที่แตกต่างกัน (เป็นการยากที่จะวินิจฉัยปัญหาที่ฉันไม่สามารถทำซ้ำได้) ฉันเข้าใจว่าเบราว์เซอร์ที่แตกต่างกันใช้รายการผู้ออกใบรับรอง (CA) ที่แตกต่างกัน ทำไมผู้ใช้ที่ใช้ Firefox รุ่นเดียวกันกับฉัน (45.0.1 ใน OS X) ได้รับSEC_ERROR_UNKNOWN_ISSUERข้อผิดพลาด (สำหรับเว็บไซต์ของฉันเท่านั้น) ในขณะที่ฉันไม่อยู่? อะไรทำให้เป็นไปได้ ผู้ใช้กล่าวว่าล้างแคชและรีบูตแล็ปท็อปของเขา ฉันวิ่งตรวจสอบ SSL บน digicert.com ผลลัพธ์คือ: ใบรับรอง SSL ไม่น่าเชื่อถือ ใบรับรองไม่ได้ลงนามโดยหน่วยงานที่เชื่อถือได้ (ตรวจสอบกับที่เก็บรูทของ Mozilla) หากคุณซื้อใบรับรองจากหน่วยงานที่เชื่อถือได้คุณอาจต้องติดตั้งใบรับรองระดับกลางหนึ่งใบขึ้นไป ติดต่อผู้ให้บริการออกใบรับรองของคุณสำหรับความช่วยเหลือในการทำสิ่งนี้กับแพลตฟอร์มเซิร์ฟเวอร์ของคุณ ทำไมฉันถึงสามารถเชื่อมต่อกับเว็บไซต์โดยไม่มีข้อผิดพลาด SSL ได้ในกรณีนี้

11 ssl  ssl-certificate 

ฉันใช้งานสองบริการหลังเซิร์ฟเวอร์ Apache: Jenkins (พอร์ต 8080) และ SonarQube (พอร์ต 9000) config apache ของฉันดูเหมือนว่า: <VirtualHost *:80> ServerName server Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:80> ServerName server.domain.com Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:443> ServerName server.domain.com SSLEngine on SSLCertificateFile /etc/ssl/certs/server.crt SSLCertificateKeyFile /etc/ssl/private/server.key ProxyPass /jenkins http://localhost:8080/jenkins nocanon ProxyPassReverse /jenkins http://localhost:8080/jenkins ProxyPassReverse /jenkins http://server.domain.com/jenkins …

11 apache-2.2  ssl  ssl-certificate  apache-2.4  jenkins 

ข้อมูลพื้นหลังเล็กน้อยก่อน ฉันมีแพ็คเกจ SSIS ที่ทำงานในสภาพแวดล้อม Windows Server 2003 SP2 32 บิต แพคเกจเมื่อเร็ว ๆ นี้เริ่มล้มเหลวด้วยข้อผิดพลาดต่อไปนี้ระหว่างงานสคริปต์ที่ดาวน์โหลดหน้าเว็บโดยใช้การเชื่อมต่อ SSL: "The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. มีการขุดพบบางสิ่ง: ฉันยังไม่สามารถเข้าถึงเว็บไซต์ที่เป็นปัญหาโดยใช้ IE8 จากเซิร์ฟเวอร์ (ฉันสามารถใช้ Firefox) และเว็บไซต์เพิ่งได้รับใบรับรอง SHA256 ใหม่ หลังจากทำการวิจัยบางอย่างข้อสันนิษฐานปัจจุบันของฉันคือปัญหาคือฉันไม่ได้รับการสนับสนุนสำหรับใบรับรอง SHA2 บนเซิร์ฟเวอร์นี้ ฉันคว้าใบรับรองจากเว็บไซต์และเรียกใช้CertUtil -verify [cert file]ซึ่งให้ผลลัพธ์ต่อไปนี้: The signature of the certificate …

11 windows-server-2003  ssl-certificate  hash 

ฉันต้องการทราบว่าเบราว์เซอร์ปฏิเสธใบรับรอง SSL ของเราจำนวนเท่าใดเมื่อส่งคำขอ HTTP ไปยังเว็บเซิร์ฟเวอร์ของเรา เรากำลังใช้ CA ฟรีซึ่งตอนนี้ดูเหมือนว่าจะได้รับการยอมรับจากเบราว์เซอร์ที่ทันสมัยที่สุด แต่ฉันต้องการได้รับตัวเลขโดยไม่ต้องทดสอบเบราว์เซอร์และระบบปฏิบัติการร่วมกัน ฉันเข้าใจว่าเบราว์เซอร์ยุติการเชื่อมต่อเมื่อการตรวจสอบใบรับรองล้มเหลวดังนั้นจึงมีวิธีใดที่ Apache จะตรวจพบสิ่งนี้ ฉันไม่ได้คาดหวังว่าจะได้รับข้อมูลการวินิจฉัยเฉพาะ - ข้อเท็จจริงที่ว่ามีปัญหาใบรับรอง / SSL ก็เพียงพอแล้ว

11 apache-2.2  security  ssl  ssl-certificate 

ฉันต้องการกำหนดค่า OpenSSL เช่นนั้นเมื่อทำงานopenssl req -newเพื่อสร้างคำขอลงนามใบรับรองใหม่ฉันได้รับแจ้งให้ระบุชื่อเรื่องอื่นที่จะรวมไว้ใน CSR ฉันได้เพิ่มบรรทัดนี้ใน[req_attributes]ส่วนของฉันopenssl.cnf: subjectAltName = Alternative subject names นี่เป็นเอฟเฟกต์ที่ต้องการซึ่งตอนนี้ฉันได้รับพร้อมท์สำหรับ SAN เมื่อสร้าง CSR: $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what …

11 ssl  ssl-certificate  openssl  certificate 

ฉันเคยได้ยินว่าเมื่อชื่อจำนวนมากถูกเพิ่มลงในประสิทธิภาพ SAN Cert (ชื่อสำรองของชื่อ) จะเริ่มลดลง บางคนสามารถอธิบายวิธีการประมวลผล SAN certs เพื่อให้ฉันเข้าใจว่าอะไรทำให้ต้นทุนประสิทธิภาพเพิ่มขึ้นเมื่อชื่อใน SAN เพิ่มขึ้น

11 ssl  ssl-certificate  certificate 

ฉันกำลังพัฒนาเว็บแอปพลิเคชันบนlocalhostพร้อมโดเมนและโดเมนย่อยและฉันต้องการใช้การเชื่อมต่อHTTPS ใน Mac OS ของฉันเพื่อที่จะเปิดใช้งาน SSL ฉันต้องตั้งค่า Apache อย่างถูกต้องดังนั้นฉันจึงทำตามคำแนะนำบางอย่างเพื่อให้ได้ส่วนนั้น ตอนนี้ได้เวลาเลือกใบรับรองเพื่อทดสอบคำขอ HTTPS ฉันเห็นcacert.pemแต่ฉันไม่รู้วิธีใช้และสิ่งที่ใช้ ( คุณสามารถอธิบายให้ฉันฟังเกี่ยวกับการใช้งานได้หรือไม่ ) ... ดังนั้นเป็นไปได้หรือไม่ที่จะใช้cacert.pem ( ดูลิงก์ ) สำหรับโดเมนและโดเมนย่อยทั้งหมดของฉัน (อาจเป็นใบรับรองตัวแทน ) ใน localhost ถ้าเป็นเช่นนั้นจะทำอย่างไร? ฉันต้องใช้ใบรับรองอะไรและใช้งานอย่างไร ถ้าไม่ฉันต้องทำอะไรจึงจะสามารถใช้ใบรับรองตัวแทนสำหรับโดเมนและโดเมนย่อยทั้งหมดของฉันบน localhost แน่นอนว่าเบราว์เซอร์ต้องยอมรับใบรับรองเหล่านั้นและทำงานกับการเชื่อมต่อ HTTPS ระหว่างโดเมนของฉัน

11 apache-2.2  ssl  domain  ssl-certificate  localhost 

เราจำเป็นต้องใช้ SSL บนเครือข่ายภายในของเราสำหรับแอปพลิเคชันที่มีความละเอียดอ่อนและฉันต้องรู้ว่ามีความแตกต่างระหว่างใบรับรองที่ลงนามด้วยตนเองและใบรับรองที่ลงชื่อโดย Windows Server CA ที่เราติดตั้งหรือไม่ เราจำเป็นต้องติดตั้ง CA หรือไม่?

11 security  ssl-certificate