Questions tagged «openssl»

这是有关了解和修复Heartbleed安全问题的规范问题。 CVE-2014-0160又称为“ Heartbleed”是什么？原因是什么，哪些操作系统和OpenSSL版本容易受到攻击，症状是什么，是否有任何方法可以检测到成功的利用？ 如何检查我的系统是否受到影响？如何缓解此漏洞？我是否应该担心自己的密钥或其他私人数据遭到破坏？我还要关注其他哪些副作用？

204 security  openssl  heartbleed 

我想使用wget或任何其他命令从https://www.google.com下载ssl证书。任何UNIX命令行吗？wget或openssl？

182 ssl  ssl-certificate  openssl  wget 

我正在使用Windows，并且已获得.cer文件。如何查看详细信息？

112 ssl-certificate  openssl  certificate 

我使用的是CentOS 5.9。 我想从linux shell中确定远程Web服务器是否专门支持TLS 1.2（而不是TLS 1.0）。有没有简单的方法来检查？ 我没有看到相关的选项，openssl但也许我忽略了一些东西。

102 linux  centos  openssl  tls 

我有一个证书捆绑包.crt文件。 这样做openssl x509 -in bundle.crt -text -noout只能说明根证书。 我如何查看所有其他证书？

101 ubuntu  security  ssl  ssl-certificate  openssl 

2004年，我在Linux上使用OpenSSL以及OpenVPN随附的简单管理脚本建立了一个小型证书颁发机构。根据我当时发现的指南，我将根CA证书的有效期设置为10年。从那时起，我已经为OpenVPN隧道，网站和电子邮件服务器签署了许多证书，所有这些证书的有效期也为10年（这可能是错误的，但是我当时并不了解）。 我找到了许多有关建立CA的指南，但是关于其管理的信息很少，尤其是有关根CA证书到期时必须执行的操作的信息，这将在2014年的某个时候发生。因此，我有以下内容问题： 根CA证书到期后具有有效期的证书会在根证书到期后立即失效，还是会继续有效（因为它们是在CA证书的有效期内签名的）？ 需要什么操作来更新根CA证书并确保在其有效期内顺利过渡？ 是否可以以不同的有效期以某种方式重新签名当前的根CA证书，并将新签名的证书上传到客户端，以便客户端证书保持有效？ 还是我需要用新的根CA证书签名的新客户端证书替换所有客户端证书？ 根CA证书应何时更新？即将到期或在到期前的合理时间？ 如果根CA证书的更新成为一项主要工作，那么我现在可以做些什么更好的措施，以确保在下一次更新时进行更平滑的过渡（当然，将有效期设置为100年）？ 由于我对某些客户端的唯一访问是通过使用当前CA证书签名的证书的OpenVPN隧道，因此情况变得有些复杂，因此，如果我必须替换所有客户端证书，则需要复制将新文件发送给客户端，重新启动隧道，交叉我的手指，希望以后再出现。

96 openssl  certificate-authority 

我一直在寻找一种可靠且可移植的方法来检查GNU / Linux和其他系统上的OpenSSL版本，因此用户可以轻松地发现由于Heartbleed错误而应该升级自己的SSL。 我以为这很容易，但是我很快在Ubuntu 12.04 LTS上遇到了最新的OpenSSL 1.0.1g问题： openssl版本-a 我原本希望看到完整版本，但我得到了： OpenSSL 1.0.1 2012年3月14日 建立于：2013年6月4日星期二07:26:06 平台：[...] 令我不愉快的是，没有显示版本字母。没有f，没有g，只有“ 1.0.1”就这样。列出的日期也无助于发现（非）漏洞版本。 1.0.1（af）和1.0.1g之间的差异至关重要。 问题： 检查版本（最好是跨发行版）的可靠方法是什么？ 为什么没有显示版本号？除了Ubuntu 12.04 LTS之外，我无法在其他任何产品上进行测试。 其他人也报告了此行为。一些例子： https://twitter.com/orblivion/status/453323034955223040 https://twitter.com/axiomsofchoice/status/453309436816535554 一些（特定于发行版的）建议在其中推出： Ubuntu和Debian：apt-cache policy openssl和apt-cache policy libssl1.0.0。在此处将版本号与软件包进行比较：http : //www.ubuntu.com/usn/usn-2165-1/ Fedora 20 ：（yum info openssl感谢@znmeb在Twitter上）和yum info openssl-libs 检查旧版本的OpenSSL是否仍然存在： 它并不完全可靠，但是您可以尝试lsof -n | grep ssl | grep DEL。请参阅Heartbleed：如何可靠且可移植地检查OpenSSL版本？为什么这可能对您不起作用。 事实证明，在Ubuntu和Debian上更新OpenSSL软件包并不总是足够的。您还应该更新libssl1.0.0软件包，然后-then-检查是否openssl …

88 linux  ubuntu  security  openssl  heartbleed 

我正在与Apache2和Passenger合作进行Rails项目。我想创建一个用于测试目的的自签名SSL证书。 sudo openssl rsa -des3 -in server.key -out server.key.new 当我输入以上命令时，它说 writing RSA key Enter PEM pass phrase: 如果我不输入密码，我将收到以下错误 unable to write key 3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo u must type in 4 to 1024 characters 3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor d:pem_lib.c:111: 3079317228:error:0906906F:PEM routines:PEM_ASN1_write_bio:read key:pem_lib.c:382 是否可以不提供而生成RSA密钥pass phrase，因为我不确定/etc/init.d/httpd脚本如何在没有人工干预的情况下启动HTTP服务器（即，如果我给出一个4个字符的密码，它希望我在启动Apache HTTP服务器时提供此密码） ）。

83 apache-2.2  https  openssl  passphrase 

在Linux的命令行中使用OpenSSL，是否可以通过某种方法检查密钥（公共密钥或私有密钥）以确定密钥大小？

72 linux  encryption  openssl 

我正在尝试创建私钥并遇到问题。 使用时ssh-keygen -t rsa -b 4096 -C "your_email@example.com"，我会获得以下格式的私钥。 -----BEGIN OPENSSH PRIVATE KEY----- uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END OPENSSH PRIVATE KEY----- 我尝试使用的应用程序不接受此操作。 我期望使用以下RSA格式的密钥。 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-128-CBC,25737CC2C70BFABADB1B4598BD8AB9E9 uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END RSA PRIVATE KEY----- 如何创建正确的格式？这很奇怪，因为我遇到的所有其他Mac都会创建正确的格式，但我遇到的问题除外。 我在全新安装的Mac OS Mojave上

70 ssh  openssl  mac 

OpenSSL的“心脏出血”漏洞（CVE-2014-0160）影响服务HTTPS的Web服务器。其他服务也使用OpenSSL。这些服务是否还容易遭受类似流血的数据泄漏？ 我特别在想 sshd 安全SMTP，IMAP等-dovecot，exim和postfix VPN服务器-OpenVPN和朋友 至少在我的系统上，所有这些都链接到OpenSSL库。

65 security  openssl  heartbleed 

在Ubuntu上，看起来似乎是用于签名证书（供nginx使用）的私钥的最佳位置。 /etc/ssl/private/ 这个答案补充说证书应该放进去，/etc/ssl/certs/但这似乎是不安全的地方。是否.crt需要保护文件安全或将其视为公开文件？

62 ssl  ssl-certificate  openssl 

从Chrome 58开始，它不再接受依赖于Common Name以下各项的自签名证书：https : //productforums.google.com/forum/#! topic/chrome/zVo3M8CgKzQ;context-place = topicsearchin/chrome/category $ 3ACanary％7Csort：相关性％7Cspell：假 相反，它需要使用Subject Alt Name。之前，我一直在遵循有关如何生成自签名证书的指南：https : //devcenter.heroku.com/articles/ssl-certificate-self，该方法非常有效，因为我需要在执行操作时使用server.crt和server.key文件。现在，我需要生成新的证书，其中包括SAN我所做的所有尝试都不适用于Chrome 58。 这是我所做的： 我按照上述Heroku文章中的步骤生成了密钥。然后，我编写了一个新的OpenSSL配置文件： [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] countryName = US stateOrProvinceName = Massachusetts localityName = Boston organizationName = MyCompany [ san …

52 ssl  ssl-certificate  openssl  chrome 

为了编译NGinx需要安装openssl和openssl-dev（我正在按照书指南进行操作）。 所以我正在这样做： sudo apt-get install openssl openssl-dev 但是我告诉我找不到错误openssl-dev。同样在谷歌搜索之后，似乎libssl-dev等于openssl-dev，是真的吗？（在我的服务器上apt-get找到libssl-dev） 这是我的服务器版本：2.6.32-22-server 任何帮助欢迎！

44 ubuntu  openssl 

我正在为我的大学做作业。任务是使用nc（netcat）在HTTPS上获取网页。 要通过HTTP获取页面，请执行以下操作： cat request.txt | nc -w 5 <someserver> 80 在request.txt中，我有HTTP 1.1请求 GET / HTTP/1.1 Host: <someserver> 现在...这很好。如何获取使用HTTPS的网页？ 我得到这样的页面证书。这就是我被困住的地方 openssl s_client -connect <someserver>:443

41 http  https  openssl  netcat