Questions tagged «openssl»

OpenSSL:用于SSL和TLS的开源工具包


5
无法编译具有SSL支持的Nginx,未找到OpenSSL
我正在尝试从启用SSL模块的源代码编译nginx。当我运行此命令时: ./configure --with-http_ssl_module 它会执行通常的检查,以检查所有内容是否正确安装,然后弹出: 正在检查OpenSSL库...未找到 ./configure:错误:SSL模块需要OpenSSL库。您可以不启用模块,也不能将OpenSSL库安装到系统中,或者使用--with-openssl =选项从源代码使用nginx静态构建OpenSSL库。 我知道是安装OpenSSL的事实,因为当我做openssl version我得到OpenSSL 1.0.1 14 Mar 2012 所以我很沮丧。我以为OpenSSL可能不在其默认位置,这就是为什么nginx找不到它的原因,但是我不知道这是在服务器的预装位置。我怎么知道这是哪里? 服务器正在运行Ubuntu 12.04 LTS。 谢谢。
19 ubuntu  nginx  openssl 

3
如何从httpd apache服务器的JKS文件生成.key和.crt文件
我只有mycert.jks文件。现在,我需要提取并生成.key和.crt文件,并在apache httpd服务器中使用它。 SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 任何人都可以列出完成此操作的所有步骤。我进行了搜索,但是没有具体示例可以理解,混合和匹配步骤。 请提出建议! [编辑] 从下面的答案中按照以下步骤操作后出现错误。 8/‎21/‎2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid 140151694997376] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start …

2
openssl不断给我“未知选项”错误
我正在尝试首次创建SSL证书。我不知道这是如何工作的,只是遵循提供给我的一些指示。 第一条命令工作正常: openssl genrsa -des3 -out privkey.key 2048 然后第二个命令给我错误: openssl req –new –nodes -key privkey.key –out server.csr 它说“未知选项-new”,然后列出所有选项,其中一个当然是“ -new” Google错误消息仅给我提供了一个有用的论坛帖子,其中说我需要使用-config选项指向我的openssl.cnf文件。因此,我在XAMPP安装中搜索了openssl.cnf的唯一实例。 这给了我额外的“未知选项”错误,具体取决于我在命令中将-config选项的位置。 openssl req -config /Applications/XAMPP/xamppfiles/share/openssl/openssl.cnf -key privkey.key –out server.csr -new -nodes 这给了我“ unknown option -out”,这很荒谬。 有人可以帮助我解决命令顺序问题,还是让我知道XAMPP openssl命令是否存在已知错误? 我正在运行OSX Lion和XAMPP 1.7.3

1
使用自签名证书的Chrome无法摆脱“ net :: ERR_CERT_COMMON_NAME_INVALID”错误
网络上存在许多问题,人们很难设置用于内部网络的自签名证书。 仅举几条: 让Chrome接受自签名的localhost证书 Chrome接受自签名的localhost 证书使用可在Chrome 58 StartCom证书中使用的openssl生成自签名的证书 错误:ERR_CERT_AUTHORITY_INVALID 我已经遍历了每一个,但仍然无法摆脱(net::ERR_CERT_COMMON_NAME_INVALID).错误。 遵循的步骤: 服务器上的密钥和证书生成 openssl req \ -newkey rsa:2048 \ -x509 \ -nodes \ -keyout file.key \ -new \ -out file.crt \ -subj /CN=Hostname \ -reqexts SAN \ -extensions SAN \ -config <(cat /etc/ssl/openssl.cnf \ <(printf '[SAN]\nsubjectAltName=DNS:192.168.0.1')) \ -sha256 \ -days 3650 设置服务器进程(Apache)以使用新生成的证书和密钥文件进行安全连接 …

1
我应该将哪些权限设置为dhparam.pem?
我在nginx的SSL配置中为ssl_dhparam指令生成了Diffie-Hellman参数。 该文件dhparam.pem是使用命令创建的openssl dhparam 2048 -check -out dhparam.pem。 我应该为此文件设置哪些权限?在git仓库中共享是否安全?还是应该将其设为私有?
18 nginx  ssl  openssl  chmod 


2
生成用于SSL认证的CSR和密钥文件是否重要?
我必须为通配符SSL证书创建CSR。SSL提供商的一些常见问题解答说我应该在要安装证书的计算机上生成CSR文件?我的理解是,只要稍后将文件移到正确的位置,我在哪里生成CSR或密钥文件都没有关系。 所以我的问题是:生成SSL认证的CSR和密钥文件是否重要?

2
警报“ SSL3_READ_BYTES:sslv3警报不良证书”是否表示SSL失败
运行以下命令openssl s_client -host example.xyz -port 9093 我收到以下错误: 139810559764296:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1259:SSL alert number 42 39810559764296:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184: 但是最后我得到"Verify return code: 0 (ok)"消息。 我的问题是上述警报表示什么,以及SSL是否实际成功。非常感谢您的事先帮助。 SSL handshake has read 6648 bytes and written 354 bytes New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported …

4
如何将RSA SSH密钥作为_primary_私钥导入GPG?
我目前有一个已经使用了一段时间的SSH密钥,我想开始使用带有新密钥环的GnuPG。但是,考虑到我已经使用了多年的密钥,我仍然希望在GPG中将该密钥用作主/主密钥。我尝试通过这些说明导入密钥。 但是,我最终得到了所谓的“子键”。此外,如果我尝试在不创建标准GPG密钥的情况下导入它,则GPG甚至看不到该子密钥。(我假设子键首先需要由主键签名。) 如何在secring.gpg中将此键用作主键?

2
MS证书服务可以从属于使用OpenSSL创建的CA吗
我想为我的域设置企业证书颁发机构。因此,我可以出于各种目的颁发证书。我想遵循以脱机CA为根的最佳实践,并将企业CA设置为从属。但是,为此任务授权Windows的完整副本似乎很愚蠢。 我希望能够做的是将一些实时分发安装到USB闪存盘上,然后安装openssl,并在闪存驱动器上设置我的CA。当我准备构建根密钥/证书时,我将断开计算机与网络的连接,然后再也不要在连接网络的计算机上使用该USB磁盘。 我将能够为Windows企业CA正确签名并创建从属CA证书,该证书将可用。我需要与OpenSSL一起使用哪些选项来构建CA并正确签署从属CA证书。 我试图在网上搜索,这是我唯一可以找到的主题。但这要早于2008年,我不确定这个人是否成功。

3
启用TLS 1.2后,为什么Internet Explorer 11无法连接到HTTPS站点?
通常我根本不使用Internet Explorer。我仅在设计时进行接口测试(开发机器和未加密的http)使用它。每周我都会运行SSL Labs服务器测试,其中说IE11能够访问我的网站。 今天,我发现我的第三方服务之一存在问题。某些特殊功能不适用于Chrome或Firefox,因此我在Windows 7计算机上启动了IE11。IE11告诉我一个内置的错误页面,女巫基本上只说“页面无法显示”。与典型的虚拟bla bla一样,例如检查DNS等。在整个错误页面上绝对没有迹象表明存在与加密相关的问题(就像普通浏览器一样)。 几个月前就出现了这个schannel问题,该问题阻止了启用TLS1.2的IE访问HTTPS站点。从那时起,我的“ IE的WTF检查表”包含“禁用TLS1.2”作为检查点。我该怎么说... 在IE中禁用TLS1.2可以正常工作,并且我的站点可以再次使用。但是我无法在访问者浏览器上执行此操作。 现在是真正的问题:为什么在IE中启用TLS 1.2时,为什么Internet Explorer 11无法连接到我的HTTPS站点?以及如何在服务器端修复它?SSL Labs告诉我,我的网站上一切正常。 重要编辑:启用TLS1.2后,似乎IE11只能处理非前缀域,而不能处理前缀域。不带前缀(www)的域有效,而带前缀(www)的域不起作用。 在服务器端,我正在使用debian / 7 nginx / 1.7.8 openssl / 1.0.1e 可用的密码有: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

3
非交互式创建SSL证书请求
是否可以通过在初始命令上指定所有必需的参数来创建SSL证书请求的方法?我写一个基于CLI的Web服务器的控制面板和我想避免使用预期执行时,openssl如果可能的话。 这是创建证书请求的典型方法: $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout foobar.com.key -out foobar.com.csr Generating a 2048 bit RSA private key .................................................+++ ........................................+++ writing new private key to 'foobar.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are …


3
了解openssl s_client的输出
自从我们的电子邮件提供商更改其SSL证书以来,基于mono的POP3客户端就拒绝连接到其安全的POP服务器以下载电子邮件。其他客户没有问题;例如Thunderbird和Outlook;无论这是否是能够检查单端口,除了大多数SSL检查点这一个。我一直在与两家提供商合作,试图找出问题所在,但最终两家都陷入了僵局,因为我对SSL证书的了解不足,无法指导任何一家提供商了解问题所在。 在调查过程中,我注意到了以下两个命令的输出差异(出于可读性考虑,我从输出中删除了证书): echo "" | openssl s_client -showcerts -connect pop.gmail.com:995 已连接(00000003) depth = 2 / C = US / O = GeoTrust Inc./CN=GeoTrust全球CA 验证错误:num = 20:无法获取本地颁发者证书 验证返回:0 --- 证书链 0 s:/ C = US / ST = California / L = Mountain View / O = Google Inc / CN …

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.