タグ付けされた質問 「openssl」

opensslのs_clientコマンドを使用して、ホストの大きなセットの証明書をプルするスクリプトがあります。これらのホストの一部は、ファイアウォールのために必然的に到達不能になります。s_clientタイムアウトをデフォルトよりもはるかに短いものに設定することは可能ですか？manページ/ヘルプファイルに表示されません。 X秒後にopenssl -s_clientを自動的に強制終了する、または何らかのラッパーコマンド。 可能であれば、ホスト/ポートの使いやすさを事前にテストしないことを希望します。

14 unix  openssl  shell-scripting 

認証局を設定して、会社のすべてのブラウザーとシステムにインポートして、HTTPSまたはSSLを使用している場合のこれらの厄介なクライアント警告をすべて削除することができます。

14 linux  security  ssl-certificate  openssl  rsa 

私は自分のサーバーでdebian jessieを実行していますが、最近http / 2をサポートする新しいnginx Webサーバー（nginx 1.10）にアップグレードしました。今日のように、うまく機能し、ウェブサーバーはhttp2プロトコルでコンテンツを配信しています。 私は、読んだことがあるクロムがNPNのサポートを落としているだけで2016年5月15日後にALPNすることができます。ALPNは拡張機能で、openssl 1.0.2がインストールされている必要がありますが、debian jessieではopenssl 1.0.1のみです（debianバックポートや他のリポジトリにも、このdebian用のopenssl 1.0.2バージョンはありません）。 そして問題があります-SPDYからhttp2にアップグレードしましたが、数日でhttp2をオフにする必要があり、このバージョンのnignxにはhttp2しかありませんのでSPDYを使用できません。また、debianのこのバージョンはopenssl 1.0.1でスタックし、debian stretchのみがopenssl 1.0.2を持つことを読みました。しかし、リリース日にはほぼ一年があり、クロムはすぐにサポートを廃止するので、http2プロトコルの利点を失いたくありません。 解決策はありますか？このシステムにopenssl 1.0.2をインストールする方法はありますか？独自のビルドを構築する（メンテナンスが悪い）か、バックポートリポジトリがそれを保持するのを待つことはありませんか？また、システムのopensslの2つのバージョンのいずれかを手動でリンクおよび保守する必要がある場合は、このバージョンは必要ありません。 助けてくれてありがとう。

14 nginx  debian  openssl  debian-jessie  http2 

奇妙な問題があります。LAMP開発マシン（Debian）をPHP 7に更新しました。その後、Curlを介して特定のTLS暗号化APIに接続できなくなりました。 問題のSSL証明書はthawteによって署名されています。 curl https://example.com 私にくれます curl: (60) SSL certificate problem: unable to get local issuer certificate 一方、 curl https://thawte.com もちろん、これもThawte Worksによって署名されています。 他のマシン上のHTTPSを介してAPIサイトにアクセスできます。たとえば、curlを介したデスクトップやブラウザーなどです。したがって、証明書は間違いなく有効です。SSL Labsの評価はAです。 私の開発マシンから他のSSL暗号化サイトへの他のCurl要求はすべて機能します。私のルート証明書は最新です。確認するために、実行しましたupdate-ca-certificates。http://curl.haxx.se/ca/cacert.pemを/ etc / ssl / certsにダウンロードして実行しましたc_rehash。 それでも同じエラー。 検証プロセスをデバッグして、どのローカル発行者証明書curl（またはopenssl）が探しているが見つからないか、つまりファイル名を確認する方法はありますか？ 更新 curl -vs https://example.com 教えてくれます（IP +ドメイン匿名化） * Hostname was NOT found in DNS cache * Trying 192.0.2.1... * …

14 ssl  ssl-certificate  openssl  tls  curl 

次のコマンドでOpenSSLを使用してSparkfunのCDN URLを照会する場合： openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443 証明書で返される共通名はであり、*.sparkfun.com検証に失敗しますが、ホストをChromeにロードすると、表示される共通名は*.cloudfront.net ここで何が起こっていますか？ これは、私の環境がSquid SSL_Bumpを介してSSLをプロキシするため、問題が発生します。このSSL_Bumpは、ドメインのローカルに信頼されたCAによって署名された証明書を生成します。これは、OpenSSLを使用して新しい証明書が生成されるためCNが一致しないため、上記以外のすべてのドメインで機能します。 編集 -プロキシやフィルタリングを伴わずにインターネットに直接接続しているリモートデータセンターのサーバー上のOpenSSLでも同じことが発生することを確認しました。 編集 -問題は受け入れられたSNIによるものですが、SquidとSSL_Bumpで問題を引き起こす理由に関する情報を記入することです： このプロジェクトは、SSLサーバー名表示（SNI）情報のオリジンサーバーへの転送をサポートせず、そのようなサポートを少し難しくします。ただし、SNIフォワーディングには、この文書の範囲を超えて、追加のフォワーディングの難しさをはるかに上回る重大な課題があります。 から取得：http : //wiki.squid-cache.org/Features/BumpSslServerFirst

13 openssl  google-chrome 

私は手動で（puppet caコマンドの代わりにopensslを使用して）Puppetで使用できるCAを作成する方法を疑問に思っていますか？目的は、puppet certコマンドを使用して証明書を作成するのではなく、複数のpuppetmasterに展開するために、そのようなCAの作成をスクリプト化することです。 方法についてのアイデアはありますか？私はそのようなものを見つけることができました：https : //wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster-それは動作しません-CAとクライアント証明書を作成してpuppetmasterに適用した後、それは文句を言います： Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both …

13 ssl  puppet  certificate  openssl 

* .domain.comを名前として使用して、SSL証明書を作成できます。 しかし、残念ながら、これはhttps://domain.comをカバーしていません これに対する修正はありますか？

13 ssl  certificate  openssl  wildcard 

OCSP検証ルーチンを設定しようとしているため、最初に環境に慣れる必要があります。たとえばOpenSSLで優れたチュートリアルが見つかりました：OCSPに対して証明書を手動で検証します。 複数の質問が出ますので、ご容赦ください。 そのチュートリアル以降、いくつかの変更がありましたが、要点は次のとおりです。 1）確認する証明書を取得します。例： openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2）証明書チェーンを構築します。 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem その後、適切に編集します。上記では、自己署名CA証明書であるGlobalSignRootCAが提供されていないことがわかったので、これを追加しました。 3）ocsp URIを決定します。 openssl x509 -noout -ocsp_uri -in wikipedia.pem 戻る http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4）openssl ocspクライアントを呼び出します。 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 戻る …

13 openssl  x509  ocsp 

「openssl」を実行すると、次のようなエラーが表示されます。 openssl：共有ライブラリのロード中にエラーが発生しました：libcrypto.so.1.1：共有オブジェクトファイルを開けません：そのようなファイルまたはディレクトリはありません " これは、この記事に従ってOpenSSLを更新しようとした後に発生しました とにかくこれを修正する方法はありますか？ OS：CentOS 6.8 Webサーバー：nginx / 1.10.2 アップデート＃1： [root@host ~]# yum info openssl Installed Packages Name : openssl Arch : x86_64 Version : 1.0.1e Release : 48.el6_8.3 Size : 4.0 M Repo : installed From repo : system-updates Summary : A general purpose cryptography library with TLS …

13 openssl 

Apache 2.2.22とmod_sslおよびOpenSSL v1.0.1を実行するUbuntu 12.04.2 LTSサーバーがあります。 私のvhosts構成（その中の他のすべてが期待どおりに動作する）には、のSSLProtocol行があり-all +SSLv3ます。 その構成では、TLS 1.1および1.2が有効になり、正しく機能します。これは、その構成では SSLv3 のみが有効になると予想されるため、直感に反します。 でTLSv1を有効/無効にできますが-/+TSLv1、期待どおりに機能します。しかし+/-TLSv1.1、+/-TLSv1.2有効な構成オプションではないため、そのように無効にすることはできません。 なぜこれをしたいのか-TLS対応サーバーでバグのある動作をしているサードパーティアプリケーション（私は制御できません）を扱っていますが、前進するには完全に無効にする必要があります。

13 apache-2.2  ssl  openssl  tls  mod-ssl 

マスターCRLリストを探しています。私が見つけた最も近いものは、ChromiumプロジェクトのCRLSetsです。crlset-toolsを使用してcrlset（crlset fetch > crl-set）を取得し、シリアル番号をダンプ（crlset dump crl-set）したため、次のように表示されます。 f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc 03fb3b4d35074e 03fbf94a0e6c39 04097214d6c97c 0442c6b3face55 .... すべての不正なシリアルのマスターリストを含むCRLファイルをopensslまたはcurl（opensslを使用）に渡すことができます。たとえば、verisignのcrlを渡すだけでなく、すべてを渡す必要があります。これをcrlsetで実行できると考えましたが、この形式には互換性がないと思います。試しましたopenssl crl -inform DER -text -in crl-setが、それは言います： unable to load CRL 5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c: 1319: 5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta sn_dec.c:381:Type=X509_CRL 誰かが私が話していることを行う方法や、これを行う創造的な方法についてのアイデアをお持ちの場合は、お知らせください。ありがとう

12 openssl  curl  google-chrome  crl 

# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <... successful tls negotiation stuff ...> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout …

12 centos  openldap  openssl  tls 

私はそのようなクライアント証明書を使用してカールリクエストをしようとしています： curl -E my.pem https://some.site そして、私は次のエラーメッセージを受け取ります： curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca これは何を意味するのでしょうか？ この苦情は、私が接続しているサーバー、または私のcurlクライアントからのものですか？ （どのように判断しますか）このコンテキストのCAは何ですか？ caがわかるようにするにはどうすればよいですか？

12 ssl  ssl-certificate  openssl  certificate-authority  curl 

なぜOpenSSLは2つのユーティリティを提供し、重複が多いのですか genpkey： OpenSSL> genpkey - Usage: genpkey [options] where options may be -out file output file -outform X output format (DER or PEM) -pass arg output file pass phrase source -<cipher> use cipher <cipher> to encrypt the key -engine e use engine e, possibly a hardware device. -paramfile file parameters …

12 openssl 

社内のいくつかの内部サービス用に自己署名ルート認証局を作成し、それを自分で構成しました（ほとんどがHTTPS経由で提供されます）。次に、これらのサービスの証明書を作成し、このCAで署名しました。 ここで、このCAから発行された既存のサーバー証明書を無効にすることなく、x509拡張（CRL配布ポイント）をルートCAに追加します。これは可能ですか？ 私が理解しているように、対応する秘密鍵へのアクセスは証明書IDに対する「完全な権限」のために必要かつ十分であるため、私の直感は「はい」です。つまり、証明書の生成時に（おそらく）証明書に公開キーと共に組み込まれた何らかのナンスがない限りです。 私はまだSSL証明書管理にかなり慣れていませんが、標準のトラストチェーンの基本を理解しています。また、他のPKI暗号化の基本的な使用にも慣れています。SSHキーを管理し、署名と暗号化にGPGを使用します。私はコンピューターサイエンスを勉強しましたが、私は暗号学の独学者です。 オリジナルのIIRCのCSRを作成したことはありません（それはの直接出力だったと思いますopenssl req -new -x509）。もちろん、元のCAの秘密キーはまだ持っています。それを使用して、元の証明書を証明書署名要求に「逆変換」することができました。 openssl x509 -x509toreq -in MyCA.pem -out MyCA.csr -signkey private/MyCA.key これが上記のナンスを効果的に「抽出」し、証明書を再作成できるようになることを望んでいましたが、今回はcrlDistributionPointsフィールドで、したがって元のCAで署名されたすべての証明書は、この新しいCAに対して検証しますが、例外がありますそのクライアントは、フィールドで指定されたHTTP URLから（現在は空の）CRLファイルを取得します。 だから私は拡張設定ファイルを作りましたext.conf： [ cert_ext ] subjectKeyIdentifier=hash crlDistributionPoints=URI:http://security.mycompany.co.za/root.crl そして、CSRからルートCAの新しいバージョンを生成しました。 openssl x509 -extfile ./ext.conf -extensions cert_ext -req -signkey private/MyCA.key -in MyCA.csr -out MyNewCA.pem これで証明書を表示すると openssl x509 -text -in MyNewCA.pem | less 私はCRL拡張部分を見ることができます： X509v3 extensions: …

11 ssl-certificate  openssl  certificate-authority