คำถามติดแท็ก openssl

OpenSSL: ชุดเครื่องมือโอเพนซอร์สสำหรับ SSL และ TLS

5
หลีกเลี่ยงการถามรหัสผ่านเพื่อขอกุญแจและแจ้งข้อมูล DN
ฉันใช้รหัสต่อไปนี้เพื่อสร้างกุญแจ: apt-get -qq -y install openssl; mkdir -p /etc/apache2/ssl; openssl genrsa -des3 -out server.key 1024; openssl req -new -key server.key -out server.csr; cp server.key server.key.org; openssl rsa -in server.key.org -out server.key; openssl x509 -req -days 12000 -in server.csr -signkey server.key -out server.crt; mv server.crt /etc/apache2/ssl/cert.pem; mv server.key /etc/apache2/ssl/cert.key; rm -f …

6
OpenSSL หายไประหว่าง. / config จะแก้ไขอย่างไร
ฉันพยายามติดตั้ง node.js และพบว่าขาดการสนับสนุน OpenSSL ในระหว่าง./configureนั้น ฉันจะแก้ไขได้อย่างไร มันเป็นขั้นตอนบังคับหรือไม่? จะ--without-sslมีตัวเลือกแก้ไขปัญหาได้หรือไม่ # ./configure Checking for gcc : ok Checking for library dl : not found Checking for openssl : not found Checking for function SSL_library_init : not found Checking for header openssl/crypto.h : not found /home/ec2-user/node-v0.6.6/wscript:374: error: Could not autodetect OpenSSL support. Make …
79 linux  openssl 

3
จะใช้คีย์สาธารณะ ssh-rsa เพื่อเข้ารหัสข้อความได้อย่างไร?
ดังนั้นสถานการณ์คือ: เนื่องจากฉันเป็นบ๊อบฉันต้องการเข้ารหัสข้อความบางส่วนสำหรับอลิซ กุญแจสาธารณะเดียวที่ฉันมีคือssh-rsaid_rsa.pub ของเธอเช่นนี้: SSH-RSA AAAAB3NzaC1yc2EAAAABIwAAAQEAyb + qaZLwgC7KAQJzYikf3XtOWuhlMXVv2mbTKa5dp0sHPRd2RaYnH8ZRkt7V8bjqct1IHGCuxI8xyoEp4at3FHe6j9RfWiarc1ldLUCmTtryI0GGpRs6Zpvqdtpcq / 1NCIYtUQAvsImyEFCtqmB2suDo1ZSllZQ0x9TCKHdCANYIOeaniuFzR57POgE3vxk / r6PO24oy8BIWqxvi29r0n1LUigVBJ7CmMHuzb4 / + i1v6PxV1Lqnj6osPP9GpXpsh8kLUCby / KcmcryWNdSP0esyCdDxkA5hlIuk8qL1vzsyPluUQuc0BEHu6nuw8WQlCF1mFFxcpJL + MhWEr01WIIw == sikachu@Sikachus-Notebook.local ดังนั้นมีวิธีการเข้ารหัสสตริงโดยใช้กุญแจสาธารณะนี้เพื่อให้เธอสามารถใช้กุญแจส่วนตัวของเธอจากid_rsa(สร้างขึ้นจากssh-keygen) เพื่อถอดรหัสข้อความหรือไม่ (ฉันรู้ว่ามันเป็นไปได้ทันทีหากคุณกำลังใช้.pemไฟล์คู่คีย์หากคุณสามารถแสดงวิธีแปลงให้เป็นรูปแบบที่opensslรองรับนั่นก็ยอดเยี่ยมเช่นกัน!) ขอบคุณ!

3
วิธีการใช้อาร์กิวเมนต์รหัสผ่านในผ่านบรรทัดคำสั่งเพื่อ openssl สำหรับการถอดรหัส
ดังนั้นจึงไม่ใช่วิธีที่ปลอดภัยที่สุดในการส่งรหัสผ่านเข้าในอาร์กิวเมนต์บรรทัดคำสั่ง ที่กล่าวว่าเอกสารประกอบสำหรับ openssl ทำให้ฉันสับสนในการส่งผ่านอาร์กิวเมนต์รหัสผ่านไปยังคำสั่ง openssl นี่คือสิ่งที่ฉันพยายามทำ openssl aes-256-cbc -in some_file.enc -out some_file.unenc -d จากนั้นระบบจะถามรหัสผ่านสำหรับการถอดรหัส ฉันค้นหาเอกสาร openssl และ interwebs เพื่อลองค้นหาคำตอบถ้าฉันเพียงต้องการให้รหัสผ่านกับคำสั่งโดยไม่พยายามสะท้อนรหัสผ่านกับไฟล์ ฉันพยายามเพิ่ม-pass:somepasswordและ-pass somepasswordทั้งที่มีและไม่มีเครื่องหมายคำพูดไม่มีประโยชน์ ในที่สุดฉันก็หาคำตอบและเห็นในฟอรัมอื่น ๆ ที่คนมีคำถามคล้าย ๆ กันดังนั้นฉันคิดว่าฉันจะโพสต์คำถามและตอบคำถามที่นี่เพื่อชุมชน หมายเหตุ: ฉันใช้ openssl เวอร์ชัน 0.9.8y

2
Heartbleed ส่งผลกระทบต่อปุ่ม ssh หรือไม่?
Heartbleed bug ล่าสุดส่งผลกระทบต่อปุ่ม ssh ที่ฉันสร้างขึ้นและใช้ในการผลัก / ดึงโค้ดด้วย Github, Heroku และไซต์อื่น ๆ ที่คล้ายกันหรือไม่ ฉันต้องเปลี่ยนกุญแจที่ฉันใช้หรือไม่

5
openssl“ ไม่พบ 'distinguished_name' ในการตั้งค่า "
ฉันได้รับข้อผิดพลาดจากopenssl req: unable to find 'distinguished_name' in config problems making Certificate Request 41035:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/SourceCache/OpenSSL098/OpenSSL098-52.30.1/src/crypto/conf/conf_lib.c:329:group=req name=distinguished_name ความเข้าใจของฉันคือว่านี่คือ "หัวเรื่อง" ที่หาไม่ได้…อย่างไรก็ตามฉันกำลังระบุว่า: openssl req -new \ -key "$PRIVATE_KEY" \ -sha256 \ -config "$OPTIONS_FILE" \ -subj "/C=US/ST=California/L=San Francisco/O=ACME, Inc./CN=*.*.$DOMAIN/" \ -out "$CSR_FILENAME" คำแนะนำเพียงอย่างเดียวของคู่มือนี้คือไม่มีไฟล์กำหนดค่า ฉันสามารถทำได้cat "$OPTIONS_FILE"ดังนั้นจึงมีแน่นอนและข้อผิดพลาดไม่ได้นำหน้าด้วยข้อผิดพลาดคู่มือบันทึกมันจะนำหน้าด้วยหากเป็นกรณีนี้ดังนั้นฉันค่อนข้างแน่ใจว่าopensslเห็นไฟล์ config ไฟล์ปรับแต่งของฉันมีดังต่อไปนี้: [req] req_extensions = v3_req [ v3_req …
40 openssl 

4
สร้างใบรับรองที่ลงชื่อด้วยตนเองด้วย subjectAltName เพื่อแก้ไข [missing_subjectAltName] ใน Chrome 58+
ฉันพยายามที่จะสร้างตัวเองใบรับรองเซ็นสัญญาlocalhostที่มีsubjectAltNameเพื่อตอบสนองความ Chrome 58+: createcertificate.sh: #!/usr/bin/env bash filename="$1server" openssl req -new -sha256 -nodes -out ./../nginx/ssl/${filename}.csr -newkey rsa:2048 -keyout ./../nginx/ssl/${filename}.key -config <( cat ${filename}_csr.txt ) openssl x509 -req -in ./../nginx/ssl/${filename}.csr -CA ~/ssl/rootCA.pem -CAkey ~/ssl/rootCA.key -CAcreateserial -out ./../nginx/ssl/${filename}.crt -days 500 -sha256 server_csr.txt: [req] default_bits = 2048 prompt = no default_md = sha256 req_extensions …

3
ไม่สามารถนำเข้ากุญแจสาธารณะใน OSX Keychain
ฉันสร้างใบรับรอง S / MIME ที่ลงชื่อเองสองสามตัว (โดยใช้ OSX Keychain & OpenSSL) แล้วส่งออกเป็น 3 ไฟล์: ใบรับรอง (.cer) รหัสส่วนตัว (.p12) รหัสสาธารณะ (.pem) เมื่อพยายามนำเข้าเหล่านี้กลับไปที่ Mac เครื่องอื่นใบรับรองและรหัสส่วนตัวที่นำเข้าโดยไม่มีปัญหาใด ๆ แต่ไม่สามารถนำเข้าคีย์สาธารณะได้ ฉันได้รับข้อความแสดงข้อผิดพลาดแทน: เกิดข้อผิดพลาด. ไม่สามารถนำเข้ารายการ เนื้อหาของเวลานี้ไม่สามารถเรียกคืนได้ ฉันจะนำเข้ากุญแจสาธารณะได้อย่างไร ควรแปลงเป็นรูปแบบอื่นเพื่อนำเข้าหรือไม่

3
สามารถต่ออายุใบรับรอง SSL ที่ลงชื่อด้วยตนเองได้หรือไม่ อย่างไร?
ฉันค่อนข้างใหม่สำหรับใบรับรอง SSL และต้องการทราบว่าใบรับรองแบบลงนามด้วยตนเองที่ฉันใช้สำหรับ HTTPS สามารถต่ออายุได้เพื่อขยายวันหมดอายุโดยไม่มีลูกค้าทั้งหมดของไซต์ที่ต้องผ่านกระบวนการ "อนุญาตข้อยกเว้น" ที่พวกเขามี ทำเมื่อพวกเขาเข้าเยี่ยมชมเว็บไซต์เป็นครั้งแรกหรือเมื่อออกใบรับรองแบบลงนามด้วยตนเองใหม่ที่สร้างขึ้นตั้งแต่ต้น ฉันพบบทช่วยสอนต่อไปนี้ซึ่งแสดงวิธีการต่ออายุใบรับรองที่ลงชื่อด้วยตนเองโดยใช้opensslแต่ฉันไม่สามารถใช้งานได้เช่นที่เบราว์เซอร์ของฉันยอมรับอย่างเงียบ ๆ โดยไม่แสดงหน้าจอเตือน "ไซต์ที่ไม่น่าเชื่อถือ": # cd /etc/apache2/ssl # openssl genrsa -out togaware.com.key 1024 # chmod 600 togaware.com.key # openssl req -new -key togaware.com.key -out togaware.com.csr AU ACT Canberra Togaware Data Mining Kayon Toga Kayon.Toga@togaware.com (no challenge password) # openssl x509 -req -days …

6
ตรวจสอบวันหมดอายุของใบรับรอง SSL สำหรับเซิร์ฟเวอร์ระยะไกลหลายเครื่อง
ฉันสามารถหาวันหมดอายุของใบรับรอง SSL โดยใช้คำสั่ง OpenSSL นี้: openssl x509 -noout -in <filename> -enddate แต่ถ้าใบรับรองกระจัดกระจายบนเว็บเซิร์ฟเวอร์ที่แตกต่างกันคุณจะค้นหาวันหมดอายุของใบรับรองเหล่านี้ทั้งหมดในเซิร์ฟเวอร์ทั้งหมดได้อย่างไร ดูเหมือนจะมีวิธีการเชื่อมต่อกับโฮสต์อื่น ๆ แต่ฉันไม่แน่ใจว่าจะได้รับวันหมดอายุโดยใช้สิ่งนี้: openssl s_client -connect host:port

5
ปิดใช้งาน RC4 ในชุดรหัส SSL ของเซิร์ฟเวอร์ Apache
โปรดดูหัวข้อแก้ไขในคำตอบของฉันเอง พวกเขามีคำอธิบายถึงปริศนานี้ ฉันพยายามปิดการใช้งาน RC4 สำหรับเซิร์ฟเวอร์ Apache 2.2.9 ที่ทำงานบน CentOS 6.5 VPS และดูเหมือนว่าฉันจะไม่ประสบความสำเร็จ มีการติดตั้งใบรับรองที่ตรวจสอบโดยธุรกิจที่ซื้อมาล่าสุดและการเชื่อมต่อ SSL ทำงานได้ดี แต่ฉันต้องการกำหนดค่าสิ่งต่างๆให้มากที่สุดเท่าที่จะทำได้เพื่อ "เพิ่มความปลอดภัย" เนื่องจากบทเรียนบางอย่างใช้ การตรวจสอบการกำหนดค่าด้วย Qualys SSL Labs หน้าผลลัพธ์จะแสดง "เซิร์ฟเวอร์นี้ยอมรับรหัส RC4 ซึ่งอ่อนตัวเกรดต่อยอดเป็น B" อย่างไรก็ตามฉันได้ใส่ไว้ใน ssl.conf: SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3 ฉันบันทึกสคริปต์ที่ให้ไว้ในคำตอบสำหรับคำถามนี้ในไฟล์ชื่อ test-ssl-ciphers.sh และเปลี่ยนที่อยู่ IP เป็นที่อยู่ลูปแบ็ค นี่คือผลลัพธ์ของ./test-ssl-ciphers.sh | grep -i "RC4": Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure) Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 …

2
รับใบรับรอง SSL / TLS ของเซิร์ฟเวอร์โดยใช้“ openssl s_client”
ฉันกำลังพยายามรับใบรับรอง SSL / TLS สำหรับหนึ่งใน load balancer (Netscaler) ของเราโดยใช้: openssl s_client -showcerts -connect lb.example.com:443 แต่จะไม่แสดงใบรับรองให้ฉัน: CONNECTED(00000003) write:errno=54 การใช้-servername lb.example.comไม่ได้ช่วยอะไรและดูแลระบบของเราบอกฉันว่า load balancer ของเราไม่ใช้ SNI แก้ไข : เซิร์ฟเวอร์อยู่บนอินทราเน็ตของเราและไม่ยอมรับการเชื่อมต่อจากอินเทอร์เน็ตสาธารณะ นี่คือผลลัพธ์ของ openssl ด้วย-debug: CONNECTED(00000003) write to 0x7fec7af0abf0 [0x7fec7b803a00] (130 bytes => 130 (0x82)) 0000 - 80 80 01 03 01 00 57 00-00 00 …

2
ทำไมฉันไม่สามารถตรวจสอบห่วงโซ่ใบรับรองนี้ได้
ฉันมีใบรับรองสามใบในสายโซ่: root.pem intermediate.pem john.pem เมื่อฉันตรวจสอบพวกเขาโดยใช้openssl x509 -in [filename] -text -nooutพวกเขาดูดี root.pem ดูเหมือนว่ามันจะลงนามด้วยตนเอง (ผู้ออก == เรื่อง) และหัวเรื่องของแต่ละใบรับรองคือผู้ออกของคนต่อไปตามที่คาดไว้ และแน่นอนฉันสามารถตรวจสอบห่วงโซ่ถึงใบรับรองกลาง: $ openssl verify -CAfile root.pem root.pem root.pem: OK $ openssl verify -CAfile root.pem intermediate.pem intermediate.pem: OK อย่างไรก็ตาม john.pem ล้มเหลว: $ openssl verify -CAfile root.pem -CAfile intermediate.pem john.pem john.pem: C = CL, [...redacted data...] …

2
สิทธิ์สำหรับรหัส SSL หรือไม่
ฉันกำลังพยายามตั้งค่าการเชื่อมต่อที่ปลอดภัย (https) ใน nginx แต่ฉันกังวลเกี่ยวกับการอนุญาตของรหัสส่วนตัวซึ่งไม่ได้กล่าวถึงในบทช่วยสอน ฉันควรเปลี่ยนพวกเขาหรือไม่ คืออะไร?

2
OpenSSL: แสดงพารามิเตอร์ DH
เมื่อใช้ SSL Ciphers โดยอาศัยการแลกเปลี่ยนคีย์ที่แตกต่างกันขนาดของคีย์ส่วนตัวที่ใช้นั้นมีความสำคัญอย่างยิ่งต่อความปลอดภัยของการแลกเปลี่ยนคีย์นั้น เมื่อฉันเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้เครื่องมือ "openssl s_client" ฉันจะค้นหาพารามิเตอร์ DH ที่ใช้ได้อย่างไร
15 openssl 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.