タグ付けされた質問 「ssl-certificate」

Debian 6.0 32ビットサーバーでSSLを設定できません。SSLは比較的新しいので、ご容赦ください。できる限り多くの情報を掲載しています。 注：サーバーのIDと整合性を保護するために、実際のドメイン名が変更されました。 構成 サーバーはnginxを使用して実行されています。次のように構成されています。 ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt; ssl_certificate_key /usr/local/nginx/priv/mysite.ca.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_verify_depth 2; ここで説明する方法を使用して証明書をチェーンしました cat mysite.ca.crt bundle.crt > mysite.ca.chained.crt どこmysite.ca.crt署名機関によって私に与えられた証明書であり、bundle.crtまた私の署名機関によって私に送られたCA証明書です。問題は、SSL証明書をGlobalSignから直接購入したのではなく、私のホスティングプロバイダーであるSinglehopから購入したことです。 テスト中 証明書はSafariとChromeでは正しく検証されますが、Firefoxでは検証されません。最初の検索で、CAに問題がある可能性があることが判明しました。 私は同様の質問への回答を調査しましたが、各証明書がどのような目的を果たしているのか本当に理解していないため、解決策を見つけることができませんでした。 私は、接続をテストするためのopensslのs_clientを使用し、同じ問題を示しているように思わ出力受信同様の質問を。エラーは次のとおりです。 depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify error:num=27:certificate not …

95 security  ssl  https  openssl  ssl-certificate 

インターネットインフォメーションサービスマネージャーでは、証明書を作成またはインポートするときに、証明書ストアを個人用とWebホスティング用のどちらにするかを選択できます。 違いは何ですか？

93 windows  iis  ssl-certificate  windows-server  certificate-store 

Dockerプルから取得したイメージにSSL証明書を追加するエレガントな方法はありますか？ / etc / ssl / certsにファイルを追加し、update-ca-certificatesを実行する簡単で再現性のある方法を探しています。（これはubuntuとdebianの画像をカバーする必要があります）。 CoreOSでdockerを使用しており、coreosマシンは必要なssl証明書を信頼していますが、dockerコンテナーには明らかにデフォルトしかありません。 を使用docker run --entrypoint=/bin/bashして証明書を追加して実行しようとしましたupdate-ca-certificatesが、これはエントリポイントを永続的に上書きするようです。 私も今疑問に思っていますが/etc/ssl/certs、ホストマシンのコピーからコンテナにマウントする方がエレガントでしょうか？これを行うと、コンテナはホストと同じものを暗黙的に信頼できるようになります。 私はすべてを辞任する迷惑なプロキシを使用しています:(。これはSSLを壊し、コンテナを操作するのがちょっと奇妙になります。

87 ssl  ssl-certificate  docker 

閉まっている。この質問は、StackOverflowのガイドラインを満たしていません。現在、回答を受け付けていません。 この質問を改善したいですか？質問を更新して、StackOverflowのトピックになります。 4年前に閉鎖されました。 この質問を改善する AmazonAWSでセットアップしている新しいロードバランサーにGoDaddySSL証明書をインストールしようとしています。私はもともと、Glassfish 3.1サーバー（Amazon linux ami）に直接インストールするためのkeytoolプログラムを使用してGodaddyで証明書を作成しました。そのセットアップをサーバーに直接取得することに問題はありませんでした。次に、証明書をWebサーバーから新しいロードバランサーに移動する必要があります。Amazonでは秘密鍵と証明書がPEM形式である必要があるため、GoDaddyの「キーの再生成」ツールを使用して新しい証明書を作成しました。AWS Mgmt Consoleのロードバランサー設定画面でそれらをロードすると、「公開鍵証明書と秘密鍵が一致しません」というエラーメッセージが表示されます。 キーの作成方法は次のとおりです。 $ openssl genrsa -des3 -out private.key 2048 $ openssl req -new -key private.key -out apps.mydomain.com.csr 次に、「キーの再生成」プロセス中に.csrファイルをGoDaddyに送信します。キーの再生成が完了したら、新しく作成した2つの証明書（apps.mydomain.com.crt＆gd_bundle.crt）をダウンロードします。サーバーの種類として（Apache）を選択してダウンロードします（「other」と「Cpanel」も試しましたが、すべて同じように見えます）。 この時点で、次のコマンドを使用して、private.keyファイルから暗号化を削除します。 $ openssl rsa -in private.key -out private.pem この時点で、AWS Mgmtコンソールに戻り、ロードバランサーを作成し、セキュアサーバーリダイレクトを追加して、次のファイルの内容を、ssl証明書のセットアップを求める画面のそれぞれのフィールドに入力します。 private.pem --> Private Key apps.mydomain.com.crt --> Public Key Certificate gd_bundle.crt --> Certificate Chain …

86 ssl  amazon-ec2  openssl  ssl-certificate 

HTTPS経由で企業イントラネット上の多数のサイトに接続し、それらのSSL証明書が有効であることを確認するスクリプトを作成する必要があります。有効期限が切れていないこと、正しいアドレスに対して発行されていることなど。これらのサイトには独自の社内認証局を使用しているため、CAの公開鍵を使用して証明書を検証します。 Pythonは、デフォルトではHTTPSを使用するときにSSL証明書を受け入れて使用するだけなので、証明書が無効な場合でも、urllib2やTwistedなどのPythonライブラリは証明書を問題なく使用します。 HTTPS経由でサイトに接続し、この方法で証明書を検証できる優れたライブラリはどこかにありますか？ Pythonで証明書を確認するにはどうすればよいですか？

85 python  https  ssl-certificate  verification 

メソッドを使用すると問題が発生します X509Store.Certificates.Find public static X509Certificate2 FromStore(StoreName storeName, StoreLocation storeLocation, X509FindType findType, string findValue) { X509Store store = new X509Store(storeName, storeLocation); store.Open(OpenFlags.ReadOnly); try { //findValue = "7a6fa503ab57b81d6318a51ca265e739a51ce660" var results = store.Certificates.Find(findType, findValue, true); return results[0]; } finally { store.Close(); } } この場合、Findメソッドは0の結果（results.Count == 0）を返しますが、findValueを定数として指定すると、メソッドは証明書を検索します。 public static X509Certificate2 FromStore(StoreName storeName, StoreLocation storeLocation, …

84 c#  wcf  certificate  ssl-certificate  x509certificate 

ABCC_client.storeという名前のjksキーストアが提供されています。このキーストアをcacertsにインポートして接続しようとすると、「そのようなアルゴリズムエラーはありません」と表示されます。PFAスタックトレース Caused by: java.security.NoSuchAlgorithmException: Error constructing implementation (algorithm: Default, provider: SunJSSE, class: com.sun.net.ssl.internal.ssl.DefaultSSLContextImpl) at java.security.Provider$Service.newInstance(Provider.java:1245) at sun.security.jca.GetInstance.getInstance(GetInstance.java:220) at sun.security.jca.GetInstance.getInstance(GetInstance.java:147) at javax.net.ssl.SSLContext.getInstance(SSLContext.java:125) at javax.net.ssl.SSLContext.getDefault(SSLContext.java:68) at javax.net.ssl.SSLSocketFactory.getDefault(SSLSocketFactory.java:102) at org.apache.axis.components.net.JSSESocketFactory.initFactory(JSSESocketFactory.java:61) at org.apache.axis.components.net.JSSESocketFactory.create(JSSESocketFactory.java:79) ... 32 more Caused by: java.security.UnrecoverableKeyException: Cannot recover key at sun.security.provider.KeyProtector.recover(KeyProtector.java:311) at sun.security.provider.JavaKeyStore.engineGetKey(JavaKeyStore.java:121) at sun.security.provider.JavaKeyStore$JKS.engineGetKey(JavaKeyStore.java:38) at java.security.KeyStore.getKey(KeyStore.java:763) at com.sun.net.ssl.internal.ssl.SunX509KeyManagerImpl.<init>(SunX509KeyManagerImpl.java:113) at com.sun.net.ssl.internal.ssl.KeyManagerFactoryImpl$SunX509.engineInit(KeyManagerFactoryImpl.java:48) …

84 java  ssl  ssl-certificate  jks 

今朝以降、Androidで証明書が信頼されなくなり、アプリケーションが接続できなくなります。 Catch exception while startHandshake: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. return an invalid session with invalid cipher suite of SSL_NULL_WITH_NULL_NULL javax.net.ssl.SSLPeerUnverifiedException: No peer certificate at org.apache.harmony.xnet.provider.jsse.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:137) at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:93) at org.apache.http.conn.ssl.SSLSocketFactory.createSocket(SSLSocketFactory.java:381) at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:165) at org.apache.http.impl.conn.AbstractPoolEntry.open(AbstractPoolEntry.java:164) at org.apache.http.impl.conn.AbstractPooledConnAdapter.open(AbstractPooledConnAdapter.java:119) at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:360) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:591) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:807) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:781) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:770) …

82 android  ssl-certificate 

クローズ。この質問はもっと焦点を合わせる必要があります。現在、回答を受け付けていません。 この質問を改善したいですか？質問を更新して、この投稿を編集するだけで1つの問題に焦点を当てるようにします。 2年前に閉鎖されました。 この質問を改善する 私はSSL証明書に非常に慣れていないので、SSL証明書の作成と使用法は、StackOverflowメンバーが私を助けることができると思いました。 私はオランダ出身です。オンライン決済の一般的な方法は、iDEALを実装することです。大手銀行がサポートするオンライン決済プロトコル。「プロフェッショナル」バージョンを実装する必要があります。これには、RSA秘密鍵の作成が含まれます。そのキーに基づいて、証明書を作成し、それをWebサーバーにアップロードする必要があります。 私はWindowsマシンを使用していて、何をすべきか完全に混乱しています。マニュアルがSSLToolkitを入手するためにそのWebサイトに転送してくれたので、OpenSSLWebサイトを調べました。 このマニュアルには、RSAキーと証明書を作成するために実行する必要のある2つのコマンドが記載されています。 コマンドは次のとおりです。 openssl genrsa -des3 –out priv.pem -passout pass:myPassword 1024 そして openssl req -x509 -new -key priv.pem -passin pass:myPassword -days 3650 -out cert.cer Windowsマシンのユーティリティでこれを行う方法はありますか？PuTTyKeyGeneratorをダウンロードしました。しかし、どうすればよいかわかりません。キー（SSH-2 RSA、それが何であれ）を作成しましたが、そのキーを使用して証明書を作成するにはどうすればよいですか？

82 windows  ssl  certificate  ssl-certificate 

CAキーと証明書の違いがわかりません。CAキーは単なる証明書ではありませんか？例を挙げて明確にしてみましょう。 クライアントとサーバーがあります。私は自分のサーバーへの接続を検証しようとしているだけで、他の人への信頼を確立しようとはしていないので、実際のCAで署名する必要はありません。 オプション1：自己署名CA（ssCA）を生成し、それを使用して証明書（C）に署名します。次に、ssCAをクライアントのルートキーストアにインストールし、証明書Cを使用するようにサーバーをセットアップします。 オプション2：自己署名証明書（SSC）を生成します。SSCをクライアントのルートキーストアにインストールします。証明書SSCを使用するようにサーバーをセットアップします。 2番目のオプションは、はるかに単純なプロセスのようです。それでも機能するはずですか？

81 ssl  ssl-certificate 

自己署名SSL証明書を使用するAPIに接続しようとしています。私は.NETのHttpWebRequestオブジェクトとHttpWebResponseオブジェクトを使用してこれを行っています。そして、私は次のような例外を取得しています： 基になる接続が閉じられました：SSL / TLSのセキュリティで保護されたチャネルの信頼関係を確立できませんでした。 これが何を意味するのか理解しています。そして、 .NETが警告を発して接続を閉じる必要があると感じる理由を理解しています。しかし、この場合は、とにかくAPIに接続したいので、man-in-the-middle攻撃は気にしないでください。 では、この自己署名証明書の例外を追加するにはどうすればよいですか？または、HttpWebRequest / Responseに証明書をまったく検証しないように指示するアプローチですか？どうすればいいですか？

80 c#  ssl  httpwebrequest  ssl-certificate 

AWSは最近、次の必要性を発表しました。 2019年10月31日までにAmazon RDS SSL / TLS証明書を更新してください RDSを使用してPostgres DBに接続する従来のElastic BeanstalkロードバランサーでホストされているRailsアプリケーションがあります。 Amazonによる必要な手順は次のとおりです。 SSL / TLSを使用したDBインスタンスへの接続の暗号化から新しいSSL / TLS証明書をダウンロードします。 新しいSSL / TLS証明書を使用するようにデータベースアプリケーションを更新します。 DBインスタンスを変更して、CAをrds-ca-2015からrds-ca-2019に変更します。 （https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html） ロードバランサーをこのように設定しているため（SSLではなくHTTPポート80を介してEC2インスタンスに接続しています）、これはステップ1と2を実行する必要がなく、ステップ3のみを実行する必要があることを意味しますか？ または、更新された証明書をダウンロードして、手動でロードバランサーまたはECインスタンスにインストール/追加する必要がありますか？それを行う方法がわかりません。

14 ruby-on-rails  amazon-web-services  ssl-certificate  amazon-elastic-beanstalk  rds 

Ubuntu 14.04にGitlabをインストールしました。Let's Encrypt証明書を更新できませんでした。Ubuntuを16.04にアップグレードしてからapt-get update && apt-get upgradeを実行しましたが、証明書を更新できるACMEクライアントをv2にアップグレードしなかったようです。証明書を更新するにはどうすればよいですか？ gitlab-cli renew-le-certs 結果は： letsencrypt_certificate[elenx.net] (letsencrypt::http_authorization line 3) had an error: Acme::Client::Error::Unauthorized: acme_certificate[staging] (/opt/gitlab/embedded/cookbooks/cache/cookbooks/letsencrypt/resources/certificate.rb line 20) had an error: Acme::Client::Error::Unauthorized: Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.

8 gitlab  ssl-certificate