Questions tagged «openssl»

Heartbleed OpenSSL漏洞（http://heartbleed.com/）影响OpenSSL 1.0.1到1.0.1f（包括1.0.1f） 我使用Amazon Elastic Load Balancer终止我的SSL连接。ELB容易受到攻击吗？

19 amazon-web-services  openssl  amazon-elb  heartbleed 

我正在尝试从启用SSL模块的源代码编译nginx。当我运行此命令时： ./configure --with-http_ssl_module 它会执行通常的检查，以检查所有内容是否正确安装，然后弹出： 正在检查OpenSSL库...未找到 ./configure：错误：SSL模块需要OpenSSL库。您可以不启用模块，也不能将OpenSSL库安装到系统中，或者使用--with-openssl =选项从源代码使用nginx静态构建OpenSSL库。 我知道是安装OpenSSL的事实，因为当我做openssl version我得到OpenSSL 1.0.1 14 Mar 2012 所以我很沮丧。我以为OpenSSL可能不在其默认位置，这就是为什么nginx找不到它的原因，但是我不知道这是在服务器的预装位置。我怎么知道这是哪里？ 服务器正在运行Ubuntu 12.04 LTS。 谢谢。

19 ubuntu  nginx  openssl 

我只有mycert.jks文件。现在，我需要提取并生成.key和.crt文件，并在apache httpd服务器中使用它。 SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 任何人都可以列出完成此操作的所有步骤。我进行了搜索，但是没有具体示例可以理解，混合和匹配步骤。 请提出建议！ [编辑] 从下面的答案中按照以下步骤操作后出现错误。 8/‎21/‎2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid 140151694997376] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start …

19 ssl  ssl-certificate  apache-2.4  openssl  keytool 

我正在尝试首次创建SSL证书。我不知道这是如何工作的，只是遵循提供给我的一些指示。 第一条命令工作正常： openssl genrsa -des3 -out privkey.key 2048 然后第二个命令给我错误： openssl req –new –nodes -key privkey.key –out server.csr 它说“未知选项-new”，然后列出所有选项，其中一个当然是“ -new” Google错误消息仅给我提供了一个有用的论坛帖子，其中说我需要使用-config选项指向我的openssl.cnf文件。因此，我在XAMPP安装中搜索了openssl.cnf的唯一实例。 这给了我额外的“未知选项”错误，具体取决于我在命令中将-config选项的位置。 openssl req -config /Applications/XAMPP/xamppfiles/share/openssl/openssl.cnf -key privkey.key –out server.csr -new -nodes 这给了我“ unknown option -out”，这很荒谬。 有人可以帮助我解决命令顺序问题，还是让我知道XAMPP openssl命令是否存在已知错误？ 我正在运行OSX Lion和XAMPP 1.7.3

19 ssl-certificate  openssl 

网络上存在许多问题，人们很难设置用于内部网络的自签名证书。 仅举几条： 让Chrome接受自签名的localhost证书 Chrome接受自签名的localhost 证书使用可在Chrome 58 StartCom证书中使用的openssl生成自签名的证书 错误：ERR_CERT_AUTHORITY_INVALID 我已经遍历了每一个，但仍然无法摆脱(net::ERR_CERT_COMMON_NAME_INVALID).错误。 遵循的步骤： 服务器上的密钥和证书生成 openssl req \ -newkey rsa:2048 \ -x509 \ -nodes \ -keyout file.key \ -new \ -out file.crt \ -subj /CN=Hostname \ -reqexts SAN \ -extensions SAN \ -config <(cat /etc/ssl/openssl.cnf \ <(printf '[SAN]\nsubjectAltName=DNS:192.168.0.1')) \ -sha256 \ -days 3650 设置服务器进程（Apache）以使用新生成的证书和密钥文件进行安全连接 …

19 ssl  ssl-certificate  https  http  openssl 

我在nginx的SSL配置中为ssl_dhparam指令生成了Diffie-Hellman参数。 该文件dhparam.pem是使用命令创建的openssl dhparam 2048 -check -out dhparam.pem。 我应该为此文件设置哪些权限？在git仓库中共享是否安全？还是应该将其设为私有？

18 nginx  ssl  openssl  chmod 

在CentOS 6.5中，/etc/pki/tls/certs我具有： ca-bundle.crt 和 ca-bundle.trust.crt 具有不同的文件大小。我应该使用哪一个作为nginx 的信任路径proxy_ssl_trusted_certificate。

18 nginx  openssl  certificate-authority 

我必须为通配符SSL证书创建CSR。SSL提供商的一些常见问题解答说我应该在要安装证书的计算机上生成CSR文件？我的理解是，只要稍后将文件移到正确的位置，我在哪里生成CSR或密钥文件都没有关系。 所以我的问题是：生成SSL认证的CSR和密钥文件是否重要？

18 ssl  ssl-certificate  openssl  csr 

运行以下命令openssl s_client -host example.xyz -port 9093 我收到以下错误： 139810559764296:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1259:SSL alert number 42 39810559764296:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184: 但是最后我得到"Verify return code: 0 (ok)"消息。 我的问题是上述警报表示什么，以及SSL是否实际成功。非常感谢您的事先帮助。 SSL handshake has read 6648 bytes and written 354 bytes New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported …

17 ssl  ssl-certificate  openssl  ssl-certificate-errors 

我目前有一个已经使用了一段时间的SSH密钥，我想开始使用带有新密钥环的GnuPG。但是，考虑到我已经使用了多年的密钥，我仍然希望在GPG中将该密钥用作主/主密钥。我尝试通过这些说明导入密钥。 但是，我最终得到了所谓的“子键”。此外，如果我尝试在不创建标准GPG密钥的情况下导入它，则GPG甚至看不到该子密钥。（我假设子键首先需要由主键签名。） 如何在secring.gpg中将此键用作主键？

16 openssl  ssh-keys  rsa  gpg  private-key 

我想为我的域设置企业证书颁发机构。因此，我可以出于各种目的颁发证书。我想遵循以脱机CA为根的最佳实践，并将企业CA设置为从属。但是，为此任务授权Windows的完整副本似乎很愚蠢。 我希望能够做的是将一些实时分发安装到USB闪存盘上，然后安装openssl，并在闪存驱动器上设置我的CA。当我准备构建根密钥/证书时，我将断开计算机与网络的连接，然后再也不要在连接网络的计算机上使用该USB磁盘。 我将能够为Windows企业CA正确签名并创建从属CA证书，该证书将可用。我需要与OpenSSL一起使用哪些选项来构建CA并正确签署从属CA证书。 我试图在网上搜索，这是我唯一可以找到的主题。但这要早于2008年，我不确定这个人是否成功。

16 ssl-certificate  windows  openssl  certificate-authority 

通常我根本不使用Internet Explorer。我仅在设计时进行接口测试（开发机器和未加密的http）使用它。每周我都会运行SSL Labs服务器测试，其中说IE11能够访问我的网站。 今天，我发现我的第三方服务之一存在问题。某些特殊功能不适用于Chrome或Firefox，因此我在Windows 7计算机上启动了IE11。IE11告诉我一个内置的错误页面，女巫基本上只说“页面无法显示”。与典型的虚拟bla bla一样，例如检查DNS等。在整个错误页面上绝对没有迹象表明存在与加密相关的问题（就像普通浏览器一样）。 几个月前就出现了这个schannel问题，该问题阻止了启用TLS1.2的IE访问HTTPS站点。从那时起，我的“ IE的WTF检查表”包含“禁用TLS1.2”作为检查点。我该怎么说... 在IE中禁用TLS1.2可以正常工作，并且我的站点可以再次使用。但是我无法在访问者浏览器上执行此操作。 现在是真正的问题：为什么在IE中启用TLS 1.2时，为什么Internet Explorer 11无法连接到我的HTTPS站点？以及如何在服务器端修复它？SSL Labs告诉我，我的网站上一切正常。 重要编辑：启用TLS1.2后，似乎IE11只能处理非前缀域，而不能处理前缀域。不带前缀（www）的域有效，而带前缀（www）的域不起作用。 在服务器端，我正在使用debian / 7 nginx / 1.7.8 openssl / 1.0.1e 可用的密码有： ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

15 nginx  ssl  openssl  internet-explorer  tls 

是否可以通过在初始命令上指定所有必需的参数来创建SSL证书请求的方法？我写一个基于CLI的Web服务器的控制面板和我想避免使用预期执行时，openssl如果可能的话。 这是创建证书请求的典型方法： $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout foobar.com.key -out foobar.com.csr Generating a 2048 bit RSA private key .................................................+++ ........................................+++ writing new private key to 'foobar.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are …

15 linux  apache-2.2  command-line-interface  openssl 

使用通道作为HTTPS反向代理时，如何缓解POODLE SSL漏洞？

15 ssl  openssl  stunnel 

自从我们的电子邮件提供商更改其SSL证书以来，基于mono的POP3客户端就拒绝连接到其安全的POP服务器以下载电子邮件。其他客户没有问题；例如Thunderbird和Outlook；无论这是否是能够检查单端口，除了大多数SSL检查点这一个。我一直在与两家提供商合作，试图找出问题所在，但最终两家都陷入了僵局，因为我对SSL证书的了解不足，无法指导任何一家提供商了解问题所在。 在调查过程中，我注意到了以下两个命令的输出差异（出于可读性考虑，我从输出中删除了证书）： echo "" | openssl s_client -showcerts -connect pop.gmail.com:995 已连接（00000003） depth = 2 / C = US / O = GeoTrust Inc./CN=GeoTrust全球CA 验证错误：num = 20：无法获取本地颁发者证书 验证返回：0 --- 证书链 0 s：/ C = US / ST = California / L = Mountain View / O = Google Inc / CN …

14 ssl-certificate  openssl