Articles of openssl

在Debian 8上为curl / openssl连接安装中间证书。

我试图联系通过PHP的stream_socket_client()命令,这是失败,没有错误代码或信息的url。 这是否使用openssl,curl或其他? 该网站使用https并从网页浏览器正常工作。 当我直接调用openssl时,它连接,但似乎不愉快与我的证书链。 root@drupal7 drupal7/includes# openssl s_client -connect test.cgps.org:443 CONNECTED(00000003) Verify return code: 21 (unable to verify the first certificate) 和curl一样 curl https://test.cgps.org/?q=/admin/config/search/clean-urls/check curl: (60) SSL certificate problem: unable to get local issuer certificate 所以我想我需要将中级证书安装到Linux中,我将Apache使用的相同中间证书放入/ usr / local / share / ca-certificates并运行update-ca-certificates。 root@drupal7 drupal7/includes# update-ca-certificates Updating certificates in /etc/ssl/certs… 1 added, 0 removed; done. […]

在Apache Traffic Server上设置SSL终止(反向代理)

我们正在尝试将Apache Traffic Server设置为我们的Web服务器的反向代理。 这里是基本的: 从源代码(6.1.0)构build并安装到/ opt的Apache Traffic Server运行在CentOS 7(7.1.1503)服务器上。 Apache Traffic Server设置为将端口80和443通信(通过remap.config)redirect到我们的Web服务器,即在Windows Server 2012上运行的IIS 在我的本地机器上,正确修改了我的主机文件(我们没有在生产中运行反向代理),我可以正常访问我们的网站,并按照预期通过反向代理将其redirect到Web服务器。 当我尝试访问我们网站的HTTPS版本时,我在Firefox中获得了“安全连接失败”。 与错误代码“ssl_error_rx_record_too_long”。 在Chrome中,我得到“ERR_SSL_PROTOCOL_ERROR”。 我已经将records.config和remap.config的匿名版本上传到Pastebin(请参阅此处和此处 ),并且我们的ssl_multicert.configconfiguration如下: ip_dest=* ssl_cert_name=star_foo_com.pem 我并不是很了解networking方面的东西,但是我认为这一点很重要。 我确信我只是在configuration过程中错过了一些简单的东西。

openssl版本给出了多个结果

我已经将最新的openssl版本从源代码安装到/usr/local/stow/openssl-1.0.2d,并使用stow进行pipe理,使其可在/ usr / local中使用。 这工作正常 # /usr/local/bin/openssl version OpenSSL 1.0.2d 9 Jul 2015 但是,当我不给可执行文件的绝对path时,我得到一个不同的输出: # which openssl /usr/local/bin/openssl # openssl version openssl: /usr/local/lib/libssl.so.1.0.0: no version information available (required by openssl) openssl: /usr/local/lib/libssl.so.1.0.0: no version information available (required by openssl) openssl: /usr/local/lib/libcrypto.so.1.0.0: no version information available (required by openssl) openssl: /usr/local/lib/libcrypto.so.1.0.0: no version information available (required […]

用于Web服务器的SSLconfiguration与关于禁用CBC和TLSv1.0的PCI-DSS要求兼容

我正在寻找支持当前(2015年11月)关于SSL的PCI-DSS要求的Web服务器(nginx)configuration: 没有TLSv1.0(将来只有TLSv1.1和TLSv1.2和TLSv1.3)。 没有微弱的密码,这意味着没有CBC(密码块链接),没有DES,IDEA密码套件,没有RC4等。 使用Nexpose进行多次扫描后,我创build了Nginxconfiguration,最终满足了这个非常严格的要求。 我目前的testingconfiguration如下所示: server { #(..) ssl_certificate asdf.crt; ssl_certificate_key sadf.key; ssl_protocols TLSv1.1 TLSv1.2; #see about TLSv1.1 below ssl_ecdh_curve secp521r1; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_dhparam asdf-dh2048.pem; #sorry, no support for Java 6u45 ssl_ciphers #ssh_ciphers of course should be in one line ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384: DHE-RSA-AES128-GCM-SHA256: AESGCM: !aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK; } 不幸: 只有7个ssl_ciphers,通常使用的只有前6个。 […]

木偶撤销OpenSSL证书

我正在经历木偶大师的一些authentication复兴,这种行为似乎是随机的。 我刚刚检查了一个CA证书,我发现这个: # openssl crl -text -in /var/lib/puppet/ssl/ca/ca_crl.pem Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: /CN=Puppet CA: puppet.master Last Update: Dec 16 11:55:15 2015 GMT Next Update: Dec 14 11:55:16 2020 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:FF:9D:F6:0B:4A:17:27:A6:7D:DF:3A:8A:FC:D1:99:73:24:CA:87:08 X509v3 CRL Number: 83 Revoked Certificates: Serial Number: 02 Revocation Date: Nov […]

为什么这个错误:SSCEP.exe:错误validation签名发生?

我正在尝试使用sscep.exe ( NDES / SCEP Windowstesting工具 )。 为了获得良好的注册,zip文件中包含一个README文件,您可以在该网站上获得该文件。 所以,自述文件告诉你这样做: openssl.exe req -config scep.cnf -new -key priv.key -out test.csr sscep.exe getca -u http://172.16.1.20/certsrv/mscep/ -c ca.crt sscep.exe enroll -u http://172.16.1.20/certsrv/mscep/mscep.dll -k priv.key -r test.csr -l test.crt -c ca.crt-0 -e ca.crt-1 我用另一个URL也是可行的。 两个第一个操作完美地工作,但是当第三个被执行时,我总是得到这个错误: sscep.exe: sending certificate request sscep.exe: valid response from server sscep.exe: error verifying signature 6448:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block […]

在一个系统上的2个版本的libssl

我正在使用KVM运行VPS上运行Debian 8。 我想按照某些脚本的要求将libssl升级到更新的版本,所以我从testing中重新编译了libssl。 我希望新版本会replace旧版本,但是软件包名称不同, dpkg -i在现有的libssl1.0.0旁边安装了libssl1.0.2,而openssl和libssl-dev已经更新到1.0.2。 我之前安装的应用程序似乎与libssl1.0.0相关,如: $ ldd /usr/bin/mysql … libssl.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fe34702a000) libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007fe346c2f000) 但另一方面: $ openssl version OpenSSL 1.0.2e 3 Dec 2015 虽然目前为止没有任何内容可以被破解,但我只是想知道在一个系统上安装两个版本的libssl是否正常。 难道这不会让这个系统头疼吗?例如mariadb使用libssl1.0.0和nginx libssl1.0.2?

无法在Apache for POODLE中禁用SSLv3

我的一个客户想让我在他的服务器上升级openssl和Apache,因为他想从SSLLabs接收一个A. 我继续升级到Apache 2.4.18,并打开到1.0.2e版本。 然后我修改了Apache的SSLconfiguration以符合以下要求: # SSL Protocols/Ciphers SSLProtocol All -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256::kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK SSLCompression off 我从SSL实验室运行SSLtesting,但仍收到以下警告: 该服务器容易受到POODLE攻击。 如果可能的话,禁用SSL 3来缓解。 等级上限为C. 在协议列表中,即使上述语句声明应禁用SSL 3,也会显示YES。 我已经尝试了许多密码组合search在networking上,我总是得到相同的结果。 我也在任何* .conf文件中searchSSLconfiguration,但除了我上面的SSL文件没有。 该网站的url: https : //orders.expotools.biz SSL实验室: https : //www.ssllabs.com/ssltest/analyze.html? d = orders.expotools.biz

apache服务器需要很长时间才能与sslbuild立连接

我正在运行Ubuntu 14.04的apache-2.4.7,我的服务器上有2个内核,2GB内存。 我有我的网站上启用和激活ssl。 我通常会向用户推送通知,所以有时可能有20到200个用户在20秒内访问该网站。 问题是,当我推送通知给用户,或者当我有很大的stream量时,服务器响应非常缓慢build立一个连接,我检查了CPU和内存使用情况,他们都在低于20%高峰时段。 我从同一台服务器上的json文件中读取数据到我的网站,还有一些mysql查询。 htop命令,当我在网站上有200名在线用户时,Google Analytics声称

遇到SSLv3握手问题失败

我使用comodo的positiveSSL。 我有两台服务器 简单的node.js服务器 达尔文日历服务器(caldavd) 两台服务器都在同一台物理机器上运行 我在服务器上安装了以下文章。 我从comodo positiveSSL获得了3个中级证书 AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt 我创build了一个文件PositiveSSL.ca-bundle : cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > PositiveSSL.ca-bundle 我为node.js和caldavd安装了相同的文件。 但是,当我跑步 openssl s_client -host node.js.com -port 3443 -CAfile file 我得到: — Certificate chain 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=example.com i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation […]