Questions tagged «ssl-certificate»

SSL证书用于加密和验证到网络服务器的连接,最流行的是Web服务器,但也用于电子邮件,文件传输和其他网络连接。

3
如何为多个子域创建SSL证书?
我正在运行服务器“ myserver.net”,该服务器具有子域“ a.myserver.net”和“ b.myserver.net”。 创建(自签名)SSL证书时,我必须为每个包含FQDN的子域创建一个证书,即使这些子域只是虚拟主机。 OpenSSL仅允许使用一个“公用名”,这是所讨论的域。是否有可能创建对域的所有子域均有效的证书?
3
如何从httpd apache服务器的JKS文件生成.key和.crt文件
我只有mycert.jks文件。现在,我需要提取并生成.key和.crt文件,并在apache httpd服务器中使用它。 SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 任何人都可以列出完成此操作的所有步骤。我进行了搜索,但是没有具体示例可以理解,混合和匹配步骤。 请提出建议! [编辑] 从下面的答案中按照以下步骤操作后出现错误。 8/‎21/‎2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid 140151694997376] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start …
2
openssl不断给我“未知选项”错误
我正在尝试首次创建SSL证书。我不知道这是如何工作的,只是遵循提供给我的一些指示。 第一条命令工作正常: openssl genrsa -des3 -out privkey.key 2048 然后第二个命令给我错误: openssl req –new –nodes -key privkey.key –out server.csr 它说“未知选项-new”,然后列出所有选项,其中一个当然是“ -new” Google错误消息仅给我提供了一个有用的论坛帖子,其中说我需要使用-config选项指向我的openssl.cnf文件。因此,我在XAMPP安装中搜索了openssl.cnf的唯一实例。 这给了我额外的“未知选项”错误,具体取决于我在命令中将-config选项的位置。 openssl req -config /Applications/XAMPP/xamppfiles/share/openssl/openssl.cnf -key privkey.key –out server.csr -new -nodes 这给了我“ unknown option -out”,这很荒谬。 有人可以帮助我解决命令顺序问题,还是让我知道XAMPP openssl命令是否存在已知错误? 我正在运行OSX Lion和XAMPP 1.7.3
1
使用自签名证书的Chrome无法摆脱“ net :: ERR_CERT_COMMON_NAME_INVALID”错误
网络上存在许多问题,人们很难设置用于内部网络的自签名证书。 仅举几条: 让Chrome接受自签名的localhost证书 Chrome接受自签名的localhost 证书使用可在Chrome 58 StartCom证书中使用的openssl生成自签名的证书 错误:ERR_CERT_AUTHORITY_INVALID 我已经遍历了每一个,但仍然无法摆脱(net::ERR_CERT_COMMON_NAME_INVALID).错误。 遵循的步骤: 服务器上的密钥和证书生成 openssl req \ -newkey rsa:2048 \ -x509 \ -nodes \ -keyout file.key \ -new \ -out file.crt \ -subj /CN=Hostname \ -reqexts SAN \ -extensions SAN \ -config <(cat /etc/ssl/openssl.cnf \ <(printf '[SAN]\nsubjectAltName=DNS:192.168.0.1')) \ -sha256 \ -days 3650 设置服务器进程(Apache)以使用新生成的证书和密钥文件进行安全连接 …
3
选择正确的SSL证书
我们正在寻求购买一些SSL证书来保护电子商务网站的登录页面。不需要保护实际的付款过程,因为这受第三方使用其自己的Verisign证书的保护。RapidSSL看起来是一个不错的选择(但价格便宜),但是销售人员告诉我说它们仅适用于“测试站点”,因此建议我们使用价格是其4倍的产品。任何人都可以对我们应该寻找的东西和应该考虑的东西提出任何建议吗? 谢谢。
2
生成用于SSL认证的CSR和密钥文件是否重要?
我必须为通配符SSL证书创建CSR。SSL提供商的一些常见问题解答说我应该在要安装证书的计算机上生成CSR文件?我的理解是,只要稍后将文件移到正确的位置,我在哪里生成CSR或密钥文件都没有关系。 所以我的问题是:生成SSL认证的CSR和密钥文件是否重要?
2
如何在CentOS上安装自定义CA证书?
我正在尝试在一系列CentOS系统上为我的内部证书服务器安装证书,并且我发现关于此的文档几乎不存在。 我的最终目标是能够使用git,curl以及其他针对内部安全的服务器上没有错误。 在Ubuntu上,它很简单,您将证书放在一个文件夹中,然后运行命令以生成一系列链接,以将CA证书添加到证书路径。 我一辈子都无法找到如何在CentOS上执行此操作的方法。(即:/etc/pki/tls/certs在PEM编码的证书文件中创建一个符号链接,以证书的哈希名称命名。不适用于我的CA,因为上述应用仍然无法验证由CA签名的证书)。 如何在CentOS系统上安装新的根CA?
7
默认CA Cert捆绑包位置
我需要将.pem证书文件添加到默认的CA证书捆绑包中,但我不知道默认的CA Cert捆绑包保存在哪里。 我需要将新的.pem文件附加到此默认捆绑包中。我宁愿这样做,也不愿使用--capath指定自己的位置 cURL清楚地知道在哪里寻找,但是我看不到任何显示该位置的cURL命令。是否有将显示此位置的命令?我如何找到它? 根据cURL: 将服务器的CA证书添加到现有的默认CA证书包中。可以通过运行带有--with-ca-bundle选项的configure指出您选择的路径来更改所使用的CA捆绑包的默认路径。 谢谢
2
警报“ SSL3_READ_BYTES:sslv3警报不良证书”是否表示SSL失败
运行以下命令openssl s_client -host example.xyz -port 9093 我收到以下错误: 139810559764296:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1259:SSL alert number 42 39810559764296:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184: 但是最后我得到"Verify return code: 0 (ok)"消息。 我的问题是上述警报表示什么,以及SSL是否实际成功。非常感谢您的事先帮助。 SSL handshake has read 6648 bytes and written 354 bytes New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported …
2
OCSP验证-无法获得本地发行者证书
我是从头开始设置SSL的新手,并做了我的第一步。我从RapidSSL购买了我的域的SSL证书,然后按照步骤安装了该证书。通常,该证书有效并且可以在我的Web服务器上运行(nginx v1.4.6-Ubuntu 14.04.1 LTS),但是如果我尝试激活OCSP OCSP,我的nginx error.log中会出现以下错误: OCSP_basic_verify()失败(SSL:错误:27069065:OCSP例程:OCSP_basic_verify:证书验证错误:验证错误:无法获得本地发行者证书),同时请求证书状态,响应者:gv.symcd.com 我也从命令行使用此命令尝试了它: openssl s_client -connect mydomain.tld:443 2>&1 </ dev / null 并在我的error.log中得到了“相同”错误: [...] SSL会话:协议:TLSv1.2密码:ECDHE-RSA-AES256-GCM-SHA384 [...]开始时间:1411583991超时:300(秒)验证返回码:20(无法获取本地代码)发行人证书) 但是,如果下载GeoTrust根证书并尝试使用以下命令: openssl s_client -connect mydomain.tld:443 -CAfile GeoTrust_Global_CA.pem 2>&1 </ dev / null 验证可以: [...] SSL会话:协议:TLSv1.2密码:ECDHE-RSA-AES256-GCM-SHA384 [...]开始时间:1411583262超时:300(秒)验证返回码:0(确定) 因此,找不到或未提供GeoTrust根证书。 我的nginx网站配置: server { listen 443; server_name mydomain.tld; ssl on; ssl_certificate /etc/ssl/certs/ssl.crt; ssl_certificate_key …
4
基于主机头的SSL证书选择:可以吗?
Web服务器是否有可能根据传入连接的主机头选择要使用的SSL证书,或者仅在建立SSL连接后才可用的信息? 也就是说,如果请求https://foo.com,我的网络服务器是否可以在端口443上列出并使用foo.com证书,如果请求https://bar.com还是我正在尝试使用bar.com证书?不可能的事情是因为服务器必须在知道客户端需要什么之前建立SSL连接?
3
DNS重定向需要单独的SSL证书吗?
我正在实现一个多租户应用程序,其中我的应用程序托管并提供了租户产品的技术文档。 现在,我正在考虑的方法是-我是主持人的文件docs.<tenant>.mycompany.com,并要求我的房客设置一个CNAME DNS记录指向docs.tenantcompany.com到docs.<tenant>.mycompany.com。 我希望该站点使用我的租户的证书启用SSL。我想了解我的租户公司是否具有通配符SSL证书,该证书是否可以在此设置下使用,还是需要购买新的SSL证书docs.tenantcompany.com?
1
将.pem导入IIS 7
给了我两个要导入的.pem文件。我没有生成这些文件。我可以将它们导入IIS 7还是必须将其转换为另一种格式?我知道IIS喜欢.pfx-如果需要,可以将.pem转换吗? 任何帮助是极大的赞赏!
5
是否有任何著名的CA颁发椭圆曲线证书?
背景 我已经看到Comodo具有椭圆曲线的根(“ COMODO ECC证书颁发机构”),但是我在其网站上看不到EC证书。 Certicom是否具有阻止其他发行人提供EC证书的知识产权?广泛使用的浏览器是否不支持ECC?ECC是否适合Web服务器身份验证等传统PKI使用?还是没有需求? 由于NSA Suite B的建议,我对切换到椭圆曲线感兴趣。但这对于许多应用程序似乎并不实际。 赏金标准 要申请赏金,答案必须提供指向知名CA网站上一个页面或多个页面的链接,该链接描述了他们提供的ECC证书选项,价格以及购买方式。在这种情况下,“知名”表示默认情况下,Firefox 3.5和IE 8中必须包含适当的根证书。如果提供了多个合格答案(一个可以希望!),则该证书具有来自无处不在的CA的最便宜的证书将赢得赏金。如果那不能消除任何联系(仍然希望!),我将不得不自行决定选择一个答案。 请记住,有人总是要求至少一半的赏金,因此即使您没有所有答案,也请尝试一下。
2
MS证书服务可以从属于使用OpenSSL创建的CA吗
我想为我的域设置企业证书颁发机构。因此,我可以出于各种目的颁发证书。我想遵循以脱机CA为根的最佳实践,并将企业CA设置为从属。但是,为此任务授权Windows的完整副本似乎很愚蠢。 我希望能够做的是将一些实时分发安装到USB闪存盘上,然后安装openssl,并在闪存驱动器上设置我的CA。当我准备构建根密钥/证书时,我将断开计算机与网络的连接,然后再也不要在连接网络的计算机上使用该USB磁盘。 我将能够为Windows企业CA正确签名并创建从属CA证书,该证书将可用。我需要与OpenSSL一起使用哪些选项来构建CA并正确签署从属CA证书。 我试图在网上搜索,这是我唯一可以找到的主题。但这要早于2008年,我不确定这个人是否成功。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.