คำถามติดแท็ก x509

หมายเหตุ:นี่ไม่ใช่คำถามจริง ๆ เพราะฉันพบคำตอบแล้ว แต่เนื่องจากฉันไม่พบมันได้อย่างง่ายดายที่นี่ฉันจะโพสต์มันเพื่อให้เป็นประโยชน์ต่อผู้อื่น คำถาม:วิธีการอ่านไฟล์ PEM ที่ต่อกันเป็นไฟล์ที่ใช้โดย apache / mod_ssl directive SSLCACertificateFile ? คำตอบ (ต้นฉบับ) ( แหล่งที่มา ): cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".pem"}' openssl pkcs7 -outform PEM -in my-chain-file -print_certsนี้สามารถออกจากไฟล์ที่ว่างเปล่าถ้ามีบรรทัดว่างที่สิ้นสุดเช่นกับ หากต้องการป้องกันให้ตรวจสอบความยาวของเส้นก่อนพิมพ์: cat $file|awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {if(length($0) > 0) print > "cert" n …

37 shell  openssl  awk  x509 

(โพสต์ไปที่ ServerFault แทน StackOverflow เพราะฉันรู้สึกว่ามันเกี่ยวข้องกับการกำหนดค่าระบบปฏิบัติการมากกว่าโค้ดโปรแกรม) ขณะนี้ฉันรับผิดชอบการบำรุงรักษาระบบที่เชื่อมต่อกับบริการเว็บของบุคคลที่สาม เว็บเซอร์นี้ต้องการใบรับรองการรับรองความถูกต้องของลูกค้าซึ่งมีความยุติธรรม แต่เว็บเซอร์นั้นปลอดภัยด้วยใบรับรองที่ลงนามด้วยตนเองซึ่งสร้างขึ้นโดยใบรับรองสิทธิ์การรับรองรูทที่สร้างขึ้นด้วยตนเอง - รูทเดียวกันที่สร้างใบรับรองรับรองความถูกต้องของลูกค้า จะเพียงพอที่จะเพิ่มใบรับรองบริการปัจจุบันลงในรายการที่เชื่อถือได้เท่านั้นและไม่สนใจใบรับรองสิทธิ์ที่สร้างขึ้นเอง แต่น่าเสียดายที่ใบรับรองบริการเปลี่ยนเป็นประจำดังนั้นใบรับรองสิทธิ์จะต้องเชื่อถือได้เพื่อรับรองว่าแอปพลิเคชันจะไม่หยุดทำงานเมื่อ มีการต่ออายุใบรับรองบริการ อย่างไรก็ตามฉันไม่เชื่อ (โดยส่วนตัว) เชื่อถือใบรับรอง CA จากประสบการณ์ของฉันกับ บริษัท ที่ใช้บริการเว็บ - มันจะไม่ทำให้ฉันประหลาดใจถ้ามันจะรั่วไหลไปที่เว็บ - และกังวลว่าใบรับรอง CA ไม่มีข้อ จำกัด การใช้งานที่สำคัญ มัน (ในขณะที่การโจมตี MITM ภายนอกนั้นมีความเป็นไปได้แม้ว่าจะอยู่ในระยะไกล เป็นไปได้หรือไม่ที่ฉันจะบอกคอมพิวเตอร์ของฉัน (ปัจจุบันคือกล่องเซิร์ฟเวอร์ แต่ในกล่องไคลเอนต์เดสก์ทอปธรรมดาในอนาคต) เพื่อไว้วางใจ CA แต่สำหรับชุดคีย์การใช้งานที่กำหนดและชุดชื่อเรื่องที่เป็นไปได้เล็ก ๆ )? เซิร์ฟเวอร์ในปัจจุบันคือ Windows Server 2012 R2 แต่อาจทำงานบนกล่อง Linux ได้แม้ว่าเครื่องเดสก์ท็อปจะเป็นกล่อง Windows ทั้งหมด

32 ssl-certificate  certificate-authority  x509 

ใบรับรอง SSL ที่ลงชื่อด้วยตนเองเป็นความปลอดภัยที่ผิดพลาดหรือไม่ หากคุณถูกดักฟังผู้ใช้จะยอมรับใบรับรองแบบที่เขา / เธอทำอยู่เสมอ

30 networking  security  ssl  ssl-certificate  x509 

มีแหล่งข้อมูลมากมายเกี่ยวกับหัวข้อนี้ แต่ไม่มีฉันพบซึ่งครอบคลุมกรณีพิเศษเล็กน้อยนี้ ฉันมี 4 ไฟล์; privatekey.pem certificate.pem intermediate_rapidssl.pem ca_geotrust_global.pem และฉันต้องการที่จะนำเข้ามันเข้าไปในที่เก็บคีย์ใหม่ บางไซต์แนะนำให้ใช้รูปแบบ DER และนำเข้าทีละรูปแบบ แต่สิ่งนี้ล้มเหลวเนื่องจากไม่รู้จักรหัส ไซต์อื่นแนะนำพิเศษ "ImportKey" -class เพื่อเรียกใช้การนำเข้าและสิ่งนี้ใช้ได้จนกว่าฉันจะเห็นว่าสายโซ่ขาด คือความยาวสายโซ่ของใบรับรองคือ 1 โดยไม่ต้องคำนึงถึงสื่อกลางและ ca บางเว็บไซต์แนะนำ PKCS7 แต่ฉันไม่สามารถรับสายได้ อื่น ๆ แนะนำให้ใช้รูปแบบ PKCS12 แต่เท่าที่การทดสอบของฉันไปนั้นก็ล้มเหลวเช่นกันในการรับโซ่ทั้งหมด คำแนะนำหรือคำแนะนำใด ๆ ยินดีต้อนรับมาก

29 certificate  openssl  x509  keystore 

คุณนึกถึงวิธีบรรทัดคำสั่ง linux สำหรับการบันทึกใบรับรองที่แสดงโดยเซิร์ฟเวอร์ HTTPS ได้หรือไม่? มีบางอย่างตามสายของการมี curl / wget / openssl ทำการเชื่อมต่อ SSL และบันทึกใบรับรองแทนเนื้อหาการตอบกลับ HTTP Gui เทียบเท่ากับสิ่งที่ฉันกำลังมองหาคือการเรียกดูไปยังไซต์ HTTPS ดับเบิลคลิกที่ไอคอน "ไซต์ที่ปลอดภัย" ของเบราว์เซอร์และส่งออกใบรับรอง ยกเว้นเป้าหมายที่นี่คือการทำแบบไม่โต้ตอบ ขอบคุณจิม

28 linux  ssl  ssl-certificate  https  x509 

ฉันสามารถรับใบรับรองจากรูต CA ที่ฉันสามารถใช้เพื่อเซ็นชื่อในใบรับรองเว็บเซิร์ฟเวอร์ของตัวเองได้หรือไม่? ถ้าเป็นไปได้ฉันจะใช้ใบรับรองที่ลงนามเป็นสื่อกลางในการเซ็นรับรองอื่น ๆ ฉันรู้ว่าฉันจะต้องกำหนดค่าระบบของฉันในบางวิธีด้วยใบรับรองระดับกลางของฉัน "" เพื่อที่จะให้ข้อมูลเกี่ยวกับห่วงโซ่ความเชื่อมั่นที่มีต่อลูกค้าของฉัน เป็นไปได้ไหม CA รูตเต็มใจลงชื่อใบรับรองเช่นนี้หรือไม่ มันแพง? พื้นหลัง ฉันคุ้นเคยกับพื้นฐานของ SSL เนื่องจากเกี่ยวข้องกับการรักษาความปลอดภัยของการรับส่งข้อมูลทางเว็บผ่าน HTTP ฉันยังมีความเข้าใจพื้นฐานเกี่ยวกับวิธีการทำงานของ chain of trust ในการรับส่งข้อมูลเว็บนั้นปลอดภัย "โดยค่าเริ่มต้น" ถ้าคุณเข้ารหัสด้วยใบรับรองที่มีเชนที่ถูกต้องตลอดทางจนถึงรูต CA ตามที่กำหนดโดยเบราว์เซอร์ / ผู้ขายระบบปฏิบัติการ ฉันยังทราบด้วยว่า CA รูตจำนวนมากเริ่มลงนามใบรับรองสำหรับผู้ใช้ปลายทาง (เช่นฉัน) ด้วยใบรับรองระดับกลาง นั่นอาจต้องใช้การตั้งค่าอีกเล็กน้อยในตอนท้ายของฉัน แต่ไม่เช่นนั้นใบรับรองเหล่านั้นจะใช้ได้ดี ฉันเดาว่าสิ่งนี้เกี่ยวข้องกับการปกป้องคีย์ส่วนตัวที่มีค่าสำหรับ CA และความหายนะที่จะเกิดขึ้นหากฉันถูกบุกรุก ตัวอย่าง https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs ตอนนี้เราไม่ได้มีขนาดขององค์กรเหล่านั้นอย่างแน่นอน แต่พวกเขาดูเหมือนจะทำอะไรแบบนี้ แน่นอนว่ามันจะทำให้การจัดการใบรับรองเหล่านี้น่าพึงพอใจมากขึ้นโดยเฉพาะอย่างยิ่งการพิจารณาทางเดียวที่เราจะขยายการเข้าถึงแพลตฟอร์มอีคอมเมิร์ซของเรา

23 ssl  certificate  x509 

กำลังพยายามตั้งค่ารูทีนการตรวจสอบ OCSP และต้องการให้คุ้นเคยกับสภาพแวดล้อมเป็นอันดับแรก พบบทเรียนที่ดีเยี่ยมเช่นOpenSSL: ด้วยตนเองตรวจสอบใบรับรองกับ OCSP มีคำถามหลายข้อเกิดขึ้นดังนั้นโปรดอดทนกับฉัน มีการเปลี่ยนแปลงบางอย่างตั้งแต่กวดวิชานั้น แต่ฉันคิดว่าส่วนสำคัญคือ: 1) ขัดขวางใบรับรองที่คุณต้องการตรวจสอบเช่น openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2) สร้างห่วงโซ่ใบรับรองเช่น openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem จากนั้นแก้ไขอย่างเหมาะสม ฉันพบว่าข้างต้นไม่ได้จัดเตรียมใบรับรอง CA ที่ลงนามเองด้วยตนเอง GlobalSignRootCA ดังนั้นจึงเพิ่มเข้ามา 3) กำหนด ocsp URI เช่น openssl x509 -noout …

13 openssl  x509  ocsp