Questions tagged «certificates»

公共密钥证书指出特定的公共密钥属于特定的身份。使用此标记可解决有关证书和公钥认证(不是公钥认证,即_using_public-keys认证)的所有问题。如果证书不是您问题的中心问题,请不要使用此标签。


2
如果续订安全证书,是否需要重新启动Nginx?
所以我要设置一个启用SSL的Nginx服务器,并使用以下服务器定义: server { listen :80; listen [::]:80; server_name example.org; root /foo/bar; ssl on; ssl_certificate /path/to/public/certificate; ssl_certificate_key /path/to/private/key; ... } 您明白了(请原谅任何错别字)。 无论如何,我想知道的是;如果我续订证书,是否有办法安装它们而不必重新启动Nginx? 例如,如果我要使用来自/path/to/public/certificate和的符号链接,并/path/to/private/key指向我当前的证书,nginx如果我只是简单地将其更改为指向新的(更新的)证书,是否仍需要重新启动?有其他选择吗?

1
如何从PFX以PEM格式导出CA证书链而没有包属性
我有一个包含完整证书链和私钥的PKCS12文件。我需要将其分解为3个文件用于一个应用程序。我需要的3个文件如下(PEM格式): 未加密的密钥文件 客户端证书文件 CA证书文件(根目录和所有中间文件) 这是我必须执行的常见任务,因此我正在寻找一种无需手动编辑输出即可执行此操作的方法。 我尝试了以下方法: openssl pkcs12 -in <filename.pfx> -nocerts -nodes -out <clientcert.key> openssl pkcs12 -in <filename.pfx> -clcerts -nokeys -out <clientcert.cer> openssl pkcs12 -in <filename.pfx> -cacerts -nokeys -chain -out <cacerts.cer> 这很好用,但是输出包含bag属性,应用程序不知道该属性。 经过一番搜索,我找到了一种建议的解决方案,将结果通过x509传递以剥离bag属性。 openssl x509 -in <clientcert.cer> -out <clientcert.cer> 这可行,但是我在cacert文件上遇到了问题。输出文件仅包含链中3个证书之一。 有没有办法避免在pkcs12命令的输出中包含bag属性,还是有办法使x509命令的输出包含所有证书?另外,如果通过x509运行它是最简单的解决方案,是否有办法将pkcs12的输出通过管道传递到x509,而不是两次写入文件?

2
验证SSL证书的指纹?
我正在和一个Puppet代理和一个Puppet主玩,我注意到Puppet证书实用程序为我的代理的公钥提供了指纹,因为它已经要求签名: $ puppet cert list "dockerduck" (SHA256) 1D:72:C5:42:A5:F4:1C:46:35:DB:65:66:B8:B8:06:28:7A:D4:40:FA:D2:D5:05:1A:8F:43:60:6C:CA:D1:FF:79 如何验证这是正确的密钥? 在Puppet代理上,使用a sha256sum给我带来了截然不同的东西: $ sha256sum /var/lib/puppet/ssl/public_keys/dockerduck.pem f1f1d198073c420af466ec05d3204752aaa59ebe3a2f593114da711a8897efa3 如果我没记错的话,证书会在实际密钥文件本身中提供其公共密钥的校验和。如何获得钥匙指纹?

2
如何从Linux的证书链中提取根CA和从属CA?
我有一个具有中间证书和根证书的终端实体/服务器证书。当我cat使用最终实体证书时,只能看到一个BEGIN和END标签。这是唯一的最终实体证书。 有什么办法可以查看中间证书和根证书的内容。我只需要BEGIN和END标签的内容。 在Windows中,我可以从“证书路径”中看到完整的证书链。以下是Stack Exchange证书的示例。 从那里,我可以执行查看证书并将其导出。我可以在Windows中同时针对root用户和中级用户执行此操作。我正在Linux中寻找相同的方法。

3
创建截止日期为过去的自签名证书
我想即时创建带有任意开始日期和结束日期(包括过去的结束日期)的自签名证书。我更喜欢使用标准工具,例如OpenSSL,但是任何可以完成工作的工具都很棒。 堆栈溢出问题如何生成有效期少于一天的openssl证书?问类似的问题,但我希望我的证书可以自签名。 如果您想知道,证书是自动化测试所必需的。

2
如何为本地主机创建自签名证书?
我使用密码并将以下字段设置为root openssl req -x509 -days 365 -newkey rsa:2048 -keyout /etc/ssl/apache.key \ -out /etc/ssl/apache.crt 领域 Country: FI State: Pirkanmaa Locality: Tampere Organization: masi Organizational Unit Name: SSL Certificate Test CommonName: 192.168.1.107/owncloud EmailAddress: masi@gmail.com 输出:HTTPS中的SSL握手错误。预期输出:HTTPS连接。HTTP有效。 CommonName应该包括您想去的URL,这里是 owncloud的线程。我尝试使用通用名失败 192.168.1.107/owncloud 192.168.1.107/ 服务器测试操作系统:Debian 8.5。 服务器:Raspberry Pi 3b。Owncloud服务器:8.2.5。Owncloud客户端:2.1.1。系统客户端:Debian 8.5。


6
无法在本地验证发行人的权限
我无法使用wget或curl打开任何https URL: $ wget https://www.python.org --2015-04-27 17:17:33-- https://www.python.org/ Resolving www.python.org (www.python.org)... 103.245.222.223 Connecting to www.python.org (www.python.org)|103.245.222.223|:443... connected. ERROR: cannot verify www.python.org's certificate, issued by "/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA": Unable to locally verify the issuer's authority. To connect to www.python.org insecurely, use '--no-check-certificate'. $ curl https://www.python.org curl: (60) …

2
不信任Linux中的中间CA?
从这个博客。 中间CA是由根CA签名的证书,可以为任何网站签署任意证书。 它们与根CA一样强大,但是没有系统信任的完整列表,因为根CA可以随意创建新的CA,而您的系统将一见钟情。CT中记录了数千。 本月突然出现了一个有趣的消息,显然是在2015年9月生成的:“蓝色外套公共服务中间CA”,由Symantec签署。(到目前为止,此CA签署的证书尚未到达CT日志或Censys。) 我认为这是写一个如何明确不信任中间件CA的好时机,否则该中间件CA在OS X中将是可信的。这不会阻止根CA将新的中间件交给同一组织,但总比没有好。 当我在Ubuntu中尝试博客中的步骤时,我下载了此证书https://crt.sh/?id=19538258。当我打开.crt时,它会导入到Gnome密钥环中,但是导入后我找不到找到“取消信任”证书的方法。

6
在Linux中打开签名的PDF
我们有一些由.pfx证书保护的PDF文件。在Windows上,我们可以使用Adobe Reader读取这些PDF文件(带有先前导入的证书)。 我已经搜索了很长时间,但是找不到可以打开它的PDF阅读器。 注意:很明显。如果我要打开一个应用了此数字签名的PDF文件,并且以打开的形式打开,那么Evince将会显示如下: 尽管Acrobat Reader(acroread)像这样: 上面的PDF文件在这里:http : //adobetrainer.co.uk/Resources/sign-a-pdf-with-reader-enabled.pdf
14 pdf  certificates 

3
检查SSL证书是否有效的脚本
我有几个SSL证书,并且证书过期后想通知我。 我的想法是创建一个cronjob,每天执行一个简单的命令。 我知道opensslLinux 中的命令可用于显示远程服务器的证书信息,即: openssl s_client -connect www.google.com:443 但我在此输出中看不到到期日期。另外,我必须用CTRL+ 终止此命令c。 如何从脚本(最好使用openssl)中检查远程证书的到期时间,并在“批处理模式”下进行操作,以使其自动运行而无需用户干预?

3
从.pem文件获取.cer文件
我已经使用以下命令生成了RSA私钥: openssl genrsa -out privkey.pem 2048 并使用以下命令创建了自签名证书: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 3650 现在,我正在尝试将cacert .pem文件转换为ce​​rtificate .cer 有任何想法吗?

2
仅为Github添加SSL证书(并非ca-certificates软件包中的所有证书)
通过HTTPS访问Github时出现以下错误: error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none 这是因为我在中没有任何证书/etc/ssl/certs/。我知道如何解决这个问题。我可以ca-certificates从Debian仓库安装软件包。但是问题是,这将安装我不一定要接受/信任的所有证书(数千个)。 如何仅为Github安装证书? 子问题/子问题 在ca-certificates已经安装了软件包且git可以工作的另一台计算机上,我注意到其中的某些证书/etc/ssl/certs/是每个文件一个证书,而其他证书是一个文件中的多个证书。包含Github证书的特定文件包含/etc/ssl/certs/ca-certificates.crt150多个其他证书: $ grep 'BEGIN CERTIFICATE' /etc/ssl/certs/ca-certificates.crt | wc -l 159 如何找到这159张证书中的哪一张是我需要的?(除了蛮力外-将文件切成两半,然后检查两半,然后重复while n > 1)。
13 git  ssl  certificates  github 

3
如何使用证书使ldapsearch在TLS上的SLES上工作?
我们需要使用证书将php脚本通过tls连接到LDAP。无需tls,LDAP连接就可以很好地工作。此处有更多详细信息/programming/15260252/how-to-use-multiple-tls-certificates-for-ldap-from-php-zend 我们设法使用Softerra LDAP浏览器通过Windows的tls连接。它要求我们安装证书以及我们是否信任它。 我的最终结果是能够使用php中的TLS与LDAP进行身份验证。我已获得.cer类型的证书。它来自Windows Exchange计算机。从我可以看到,SLES支持.pem证书。所以我的问题是... Q1:我需要先从.cer转换为.pem,然后才能在客户端(SLES服务器)上安装证书,最后Q2:在服务器上安装此证书的最佳方法是什么,以便我的php应用程序可以访问并完成其工作。请注意,在SLES服务器上,我们需要连接到不同的LDAP服务器。 目前如果我们运行 ldapsearch -H ldaps://localhost:9215 -W 我们得到 Enter LDAP Password: ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate) 我在这里http://www.php.net/manual/de/function.ldap-connect.php#36156找到了很多很好的信息,尤其是这句话在我眼中很重要Once you've gotten the ldapsearch tool working correctly PHP should work also. SUSE Linux Enterprise Server 11(x86_64) …
12 ldap  sles  certificates  tls 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.