Questions tagged «openssl»

OpenSSL:用于SSL和TLS的开源工具包

9
伤心欲绝:它是什么,有什么缓解方法?
这是有关了解和修复Heartbleed安全问题的规范问题。 CVE-2014-0160又称为“ Heartbleed”是什么?原因是什么,哪些操作系统和OpenSSL版本容易受到攻击,症状是什么,是否有任何方法可以检测到成功的利用? 如何检查我的系统是否受到影响?如何缓解此漏洞?我是否应该担心自己的密钥或其他私人数据遭到破坏?我还要关注其他哪些副作用?





6
证书颁发机构根证书的有效期和续订
2004年,我在Linux上使用OpenSSL以及OpenVPN随附的简单管理脚本建立了一个小型证书颁发机构。根据我当时发现的指南,我将根CA证书的有效期设置为10年。从那时起,我已经为OpenVPN隧道,网站和电子邮件服务器签署了许多证书,所有这些证书的有效期也为10年(这可能是错误的,但是我当时并不了解)。 我找到了许多有关建立CA的指南,但是关于其管理的信息很少,尤其是有关根CA证书到期时必须执行的操作的信息,这将在2014年的某个时候发生。因此,我有以下内容问题: 根CA证书到期后具有有效期的证书会在根证书到期后立即失效,还是会继续有效(因为它们是在CA证书的有效期内签名的)? 需要什么操作来更新根CA证书并确保在其有效期内顺利过渡? 是否可以以不同的有效期以某种方式重新签名当前的根CA证书,并将新签名的证书上传到客户端,以便客户端证书保持有效? 还是我需要用新的根CA证书签名的新客户端证书替换所有客户端证书? 根CA证书应何时更新?即将到期或在到期前的合理时间? 如果根CA证书的更新成为一项主要工作,那么我现在可以做些什么更好的措施,以确保在下一次更新时进行更平滑的过渡(当然,将有效期设置为100年)? 由于我对某些客户端的唯一访问是通过使用当前CA证书签名的证书的OpenVPN隧道,因此情况变得有些复杂,因此,如果我必须替换所有客户端证书,则需要复制将新文件发送给客户端,重新启动隧道,交叉我的手指,希望以后再出现。

8
Heartbleed:如何可靠且可移植地检查OpenSSL版本?
我一直在寻找一种可靠且可移植的方法来检查GNU / Linux和其他系统上的OpenSSL版本,因此用户可以轻松地发现由于Heartbleed错误而应该升级自己的SSL。 我以为这很容易,但是我很快在Ubuntu 12.04 LTS上遇到了最新的OpenSSL 1.0.1g问题: openssl版本-a 我原本希望看到完整版本,但我得到了: OpenSSL 1.0.1 2012年3月14日 建立于:2013年6月4日星期二07:26:06 平台:[...] 令我不愉快的是,没有显示版本字母。没有f,没有g,只有“ 1.0.1”就这样。列出的日期也无助于发现(非)漏洞版本。 1.0.1(af)和1.0.1g之间的差异至关重要。 问题: 检查版本(最好是跨发行版)的可靠方法是什么? 为什么没有显示版本号?除了Ubuntu 12.04 LTS之外,我无法在其他任何产品上进行测试。 其他人也报告了此行为。一些例子: https://twitter.com/orblivion/status/453323034955223040 https://twitter.com/axiomsofchoice/status/453309436816535554 一些(特定于发行版的)建议在其中推出: Ubuntu和Debian:apt-cache policy openssl和apt-cache policy libssl1.0.0。在此处将版本号与软件包进行比较:http : //www.ubuntu.com/usn/usn-2165-1/ Fedora 20 :(yum info openssl感谢@znmeb在Twitter上)和yum info openssl-libs 检查旧版本的OpenSSL是否仍然存在: 它并不完全可靠,但是您可以尝试lsof -n | grep ssl | grep DEL。请参阅Heartbleed:如何可靠且可移植地检查OpenSSL版本?为什么这可能对您不起作用。 事实证明,在Ubuntu和Debian上更新OpenSSL软件包并不总是足够的。您还应该更新libssl1.0.0软件包,然后-then-检查是否openssl …

6
是否可以生成没有密码短语的RSA密钥?
我正在与Apache2和Passenger合作进行Rails项目。我想创建一个用于测试目的的自签名SSL证书。 sudo openssl rsa -des3 -in server.key -out server.key.new 当我输入以上命令时,它说 writing RSA key Enter PEM pass phrase: 如果我不输入密码,我将收到以下错误 unable to write key 3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo u must type in 4 to 1024 characters 3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor d:pem_lib.c:111: 3079317228:error:0906906F:PEM routines:PEM_ASN1_write_bio:read key:pem_lib.c:382 是否可以不提供而生成RSA密钥pass phrase,因为我不确定/etc/init.d/httpd脚本如何在没有人工干预的情况下启动HTTP服务器(即,如果我给出一个4个字符的密码,它希望我在启动Apache HTTP服务器时提供此密码) )。


2
ssh-keygen不创建RSA私钥
我正在尝试创建私钥并遇到问题。 使用时ssh-keygen -t rsa -b 4096 -C "your_email@example.com",我会获得以下格式的私钥。 -----BEGIN OPENSSH PRIVATE KEY----- uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END OPENSSH PRIVATE KEY----- 我尝试使用的应用程序不接受此操作。 我期望使用以下RSA格式的密钥。 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-128-CBC,25737CC2C70BFABADB1B4598BD8AB9E9 uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END RSA PRIVATE KEY----- 如何创建正确的格式?这很奇怪,因为我遇到的所有其他Mac都会创建正确的格式,但我遇到的问题除外。 我在全新安装的Mac OS Mojave上
70 ssh  openssl  mac 

6
伤心欲绝:HTTPS以外的服务是否受到影响?
OpenSSL的“心脏出血”漏洞(CVE-2014-0160)影响服务HTTPS的Web服务器。其他服务也使用OpenSSL。这些服务是否还容易遭受类似流血的数据泄漏? 我特别在想 sshd 安全SMTP,IMAP等-dovecot,exim和postfix VPN服务器-OpenVPN和朋友 至少在我的系统上,所有这些都链接到OpenSSL库。

5
Ubuntu上SSL证书和私钥的最佳位置
在Ubuntu上,看起来似乎是用于签名证书(供nginx使用)的私钥的最佳位置。 /etc/ssl/private/ 这个答案补充说证书应该放进去,/etc/ssl/certs/但这似乎是不安全的地方。是否.crt需要保护文件安全或将其视为公开文件?

6
使用可在Chrome 58中运行的openssl生成自签名证书
从Chrome 58开始,它不再接受依赖于Common Name以下各项的自签名证书:https : //productforums.google.com/forum/#! topic/chrome/zVo3M8CgKzQ;context-place = topicsearchin/chrome/category $ 3ACanary%7Csort:相关性%7Cspell:假 相反,它需要使用Subject Alt Name。之前,我一直在遵循有关如何生成自签名证书的指南:https : //devcenter.heroku.com/articles/ssl-certificate-self,该方法非常有效,因为我需要在执行操作时使用server.crt和server.key文件。现在,我需要生成新的证书,其中包括SAN我所做的所有尝试都不适用于Chrome 58。 这是我所做的: 我按照上述Heroku文章中的步骤生成了密钥。然后,我编写了一个新的OpenSSL配置文件: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] countryName = US stateOrProvinceName = Massachusetts localityName = Boston organizationName = MyCompany [ san …

3
在Ubuntu服务器上安装openssl-dev
为了编译NGinx需要安装openssl和openssl-dev(我正在按照书指南进行操作)。 所以我正在这样做: sudo apt-get install openssl openssl-dev 但是我告诉我找不到错误openssl-dev。同样在谷歌搜索之后,似乎libssl-dev等于openssl-dev,是真的吗?(在我的服务器上apt-get找到libssl-dev) 这是我的服务器版本:2.6.32-22-server 任何帮助欢迎!
44 ubuntu  openssl 

4
使用netcat(nc)连接到HTTPS [关闭]
我正在为我的大学做作业。任务是使用nc(netcat)在HTTPS上获取网页。 要通过HTTP获取页面,请执行以下操作: cat request.txt | nc -w 5 <someserver> 80 在request.txt中,我有HTTP 1.1请求 GET / HTTP/1.1 Host: <someserver> 现在...这很好。如何获取使用HTTPS的网页? 我得到这样的页面证书。这就是我被困住的地方 openssl s_client -connect <someserver>:443
41 http  https  openssl  netcat 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.