Chcę skonfigurować korporacyjny urząd certyfikacji dla mojej domeny. Mogę więc wystawiać certyfikaty do różnych celów. Chciałbym postępować zgodnie z najlepszą praktyką posiadania offline urzędu certyfikacji jako głównego i skonfigurować mój korporacyjny urząd certyfikacji jako podwładnego. Ale...
Czy istnieje sposób tworzenia żądań certyfikatów SSL poprzez określenie wszystkich wymaganych parametrów w poleceniu początkowym? Piszę panel sterowania serwera WWW oparty na interfejsie CLI i chciałbym uniknąć użycia funkcji expect podczas wykonywania, openssljeśli to możliwe. Jest to typowy...
Zwykle w ogóle nie używam Internet Explorera. Używam go tylko w czasie projektowania do testów interfejsu (maszyna programistyczna i z nieszyfrowanym http). Co tydzień uruchamiam test serwera SSL Labs, który mówi, że IE11 ma dostęp do moich stron. Dzisiaj odkryłem problem z jedną z moich...
Jak mogę zminimalizować podatność POODLE SSL, gdy stunnel jest odwrotnym proxy
Mam dziwny problem. Zaktualizowałem moją maszynę programistyczną LAMP (Debian) do PHP 7. Następnie nie mogę już połączyć się z konkretnym zaszyfrowanym API TLS przez Curl. Certyfikat SSL, o którym mowa, jest podpisany przez thawte. curl https://example.com daje mi curl: (60) SSL certificate...
Używam Debiana Jessie na moim serwerze, a ostatnio zaktualizowałem go do nowego serwera WWW Nginx z obsługą http / 2 (Nginx 1.10). Na dzień dzisiejszy działa świetnie, a serwer WWW dostarcza treści za pomocą protokołu http2. Czytałem, że Chrome upuszcza obsługę NPN i zezwala na ALPN dopiero po...
Mam skrypt, który używa polecenia s_client openssl do pobierania certyfikatów dla dużego zestawu hostów. Niektóre z tych hostów nieuchronnie będą niedostępne z powodu zapory ogniowej. Czy można ustawić limit czasu s_client na coś znacznie krótszego niż domyślny? Nie widzę go w stronie man / pliku...
Odkąd nasz dostawca poczty e-mail zmienił certyfikat SSL, klient POP3 oparty na mono odmawia połączenia z bezpiecznym serwerem POP w celu pobrania wiadomości e-mail. Inni klienci nie mają problemu; np. Thunderbird i Outlook; podobnie jak większość witryn sprawdzających SSL, które są w stanie...
Chciałbym skonfigurować ośrodek certyfikacji, który mogę następnie zaimportować do wszystkich przeglądarek i systemów firmy, aby pozbyć się wszystkich tych nieprzyjemnych ostrzeżeń klientów podczas korzystania z HTTPS lub
Kiedy uruchamiam „openssl”, pojawia się błąd jak poniżej: openssl: błąd podczas ładowania bibliotek współdzielonych: libcrypto.so.1.1: nie można otworzyć pliku obiektu współdzielonego: brak takiego pliku lub katalogu ” Stało się to po próbie aktualizacji OpenSSL zgodnie z tym artykułem Czy...
Próbuję skonfigurować procedury sprawdzania poprawności OCSP, dlatego najpierw chcę być wygodny w środowisku. Znalazłem doskonałe samouczki na przykład na OpenSSL: Ręcznie zweryfikuj certyfikat w stosunku do OCSP . Pojawia się wiele pytań, więc proszę o wyrozumiałość. Od tego samouczka...
Możesz zrobić certyfikat SSL, używając * .domain.com jako nazwy. Ale niestety nie obejmuje to https://domain.com Czy można to
Podczas sprawdzania adresu URL CDN Sparkfun za pomocą OpenSSL za pomocą następującego polecenia: openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443 Nazwa pospolita zwrócona w certyfikacie to ta *.sparkfun.com, której nie można zweryfikować, ale jeśli załadujesz hosta w Chrome,...
Mam serwer Ubuntu 12.04.2 LTS z Apache 2.2.22 z mod_ssl i OpenSSL v1.0.1. W mojej konfiguracji vhosts (wszystko inne, co zachowuje się tak, jakbym się spodziewał), mam SSLProtocollinię z -all +SSLv3. Przy tej konfiguracji TLS 1.1 i 1.2 są włączone i działają poprawnie - co jest dla mnie sprzeczne...
Zastanawiam się, jak ręcznie (za pomocą polecenia openssl zamiast komendy puppet ca) utworzyć CA, który byłby użyteczny przez Puppet? Celem byłoby tworzenie skryptów takich urzędów certyfikacji w celu wdrożenia ich na wielu puppetmastersach zamiast tworzenia certyfikatów na nich za pomocą polecenia...
Usiłuję wykonać żądanie curl przy użyciu certyfikatu klienta, takiego jak: curl -E my.pem https://some.site I pojawia się następujący komunikat o błędzie: curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca Co to znaczy? Czy ta skarga pochodzi od serwera, z którym...
Dlaczego OpenSSL zapewnia dwa narzędzia z tak dużym nakładaniem się genpkey: OpenSSL> genpkey - Usage: genpkey [options] where options may be -out file output file -outform X output format (DER or PEM) -pass arg output file pass phrase source -<cipher> use cipher <cipher> to...
Szukam głównej listy CRL. Najbliższe, co znalazłem, to CRLSets projektu Chromium . Użyłem crlset-tools, aby uzyskać crlset ( crlset fetch > crl-set), a następnie zrzuciłem numery seryjne ( crlset dump crl-set), więc widzę coś
# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath...
Utworzyłem samopodpisany główny urząd certyfikacji dla kilku wewnętrznych usług w naszej firmie, które sam skonfigurowałem (głównie przez HTTPS). Następnie utworzyłem certyfikaty dla tych usług, podpisane tym urzędem certyfikacji. Teraz chcę dodać rozszerzenie x509 (punkt dystrybucji CRL) do...