タグ付けされた質問 「certificates」

公開鍵証明書は、特定の公開鍵が特定のIDに属していることを示しています。証明書および公開鍵の認証に関するすべての質問にこのタグを使用します(公開鍵認証、つまり認証_using_公開鍵)。証明書が質問の中心的な問題ではない場合は、このタグを使用しないでください。


2
セキュリティ証明書を更新する場合、Nginxを再起動する必要がありますか?
だから私は、次のようなサーバー定義でSSLを有効にしてnginxサーバーを設定しています: server { listen :80; listen [::]:80; server_name example.org; root /foo/bar; ssl on; ssl_certificate /path/to/public/certificate; ssl_certificate_key /path/to/private/key; ... } あなたはアイデアを得る(タイプミスは許してください)。 とにかく、私が思っているのは 証明書を更新する場合、nginxを再起動せずに証明書をインストールする方法はありますか? たとえば、/path/to/public/certificateおよびからのシンボリックリンクを使用/path/to/private/keyして現在の証明書を指しているnginx場合、これらを変更して新しい(更新された)証明書を指すようにする場合は、再起動する必要がありますか?代替手段はありますか?

1
バッグ属性なしでPEM形式でPFXからCA証明書チェーンをエクスポートする方法
完全な証明書チェーンと秘密キーを含むPKCS12ファイルがあります。アプリケーション用に3つのファイルに分割する必要があります。必要な3つのファイルは次のとおりです(PEM形式)。 暗号化されていないキーファイル クライアント証明書ファイル CA証明書ファイル(ルートおよびすべての中間) これは私が実行しなければならない一般的なタスクなので、出力を手動で編集せずにこれを実行する方法を探しています。 私は次を試しました: openssl pkcs12 -in <filename.pfx> -nocerts -nodes -out <clientcert.key> openssl pkcs12 -in <filename.pfx> -clcerts -nokeys -out <clientcert.cer> openssl pkcs12 -in <filename.pfx> -cacerts -nokeys -chain -out <cacerts.cer> これは正常に機能しますが、出力にはバッグ属性が含まれており、アプリケーションはそれを処理する方法を知りません。 いくつかの検索の後、バッグの属性を取り除くために結果をx509に渡す提案された解決策を見つけました。 openssl x509 -in <clientcert.cer> -out <clientcert.cer> これは機能しますが、cacertファイルで問題が発生します。出力ファイルには、チェーン内の3つの証明書のうちの1つのみが含まれます。 pkcs12コマンドの出力にbag属性を含めることを避ける方法、またはx509コマンド出力にすべての証明書を含める方法はありますか?さらに、x509で実行するのが最も簡単な解決策である場合、ファイルを2回書き込むのではなく、pkcs12からの出力をx509にパイプする方法はありますか?

2
SSL証明書の指紋を検証しますか?
私はPuppetエージェントとPuppetマスターをいじっていますが、Puppet certユーティリティが署名を要求したときにエージェントの公開キーのフィンガープリントを提供していることに気付きました。 $ puppet cert list "dockerduck" (SHA256) 1D:72:C5:42:A5:F4:1C:46:35:DB:65:66:B8:B8:06:28:7A:D4:40:FA:D2:D5:05:1A:8F:43:60:6C:CA:D1:FF:79 これが正しいキーであることを確認するにはどうすればよいですか? Puppetエージェントで、 sha256sumと劇的に異なるものが得られます。 $ sha256sum /var/lib/puppet/ssl/public_keys/dockerduck.pem f1f1d198073c420af466ec05d3204752aaa59ebe3a2f593114da711a8897efa3 正しく思い出せば、証明書は実際のキーファイル自体の公開キーのチェックサムを提供します。キーの指紋にアクセスするにはどうすればよいですか?

2
Linuxの証明書チェーンからルートCAと下位CAを抽出する方法は?
中間証明書とルート証明書を持つエンドエンティティ/サーバー証明書があります。とき私は、catエンドエンティティ証明書に、私は、単一の参照BEGINとENDタグを。これは唯一のエンドエンティティ証明書です。 中間証明書とルート証明書のコンテンツを表示する方法はありますか?私だけの内容必要BEGINとENDタグを。 Windowsでは、「認証パス」から完全な証明書チェーンを見ることができます。以下は、Stack Exchangeの証明書の例です。 そこから、View Certificateを実行してエクスポートできます。Windowsでルートと中間の両方に対してこれを行うことができます。Linuxでも同じ方法を探しています。

3
過去の終了日で自己署名証明書を作成する
過去の終了日を含む任意の開始日と終了日で、自己署名証明書をその場で作成したいと思います。OpenSSLなどの標準ツールを使用したいと思いますが、仕事を成し遂げるものなら何でも素晴らしいでしょう。 Stack Overflowの質問有効期限が1日未満のopenssl証明書を生成する方法は?同様の質問をしますが、証明書に自己署名してもらいたいです。 あなたが疑問に思っている場合、自動テストには証明書が必要です。

2
ローカルホストの自己署名証明書を作成する方法は?
パスワードと次のフィールドをルートとして使用しました openssl req -x509 -days 365 -newkey rsa:2048 -keyout /etc/ssl/apache.key \ -out /etc/ssl/apache.crt フィールド Country: FI State: Pirkanmaa Locality: Tampere Organization: masi Organizational Unit Name: SSL Certificate Test CommonName: 192.168.1.107/owncloud EmailAddress: masi@gmail.com 出力:HTTPSでのSSLハンドシェイクエラー。期待される出力:HTTPS接続。HTTPは機能します。 CommonNameには、行きたいURL、owncloudのスレッドをここに含める必要があります。コモンネームで失敗しました 192.168.1.107/owncloud 192.168.1.107/ サーバーのテストOS:Debian 8.5。 サーバー:Raspberry Pi 3b。Owncloud-server:8.2.5。Owncloud-client:2.1.1。システムクライアント:Debian 8.5。


6
発行者の権限をローカルで検証できません
wgetまたはcurlを使用してhttps URLを開くことができません。 $ wget https://www.python.org --2015-04-27 17:17:33-- https://www.python.org/ Resolving www.python.org (www.python.org)... 103.245.222.223 Connecting to www.python.org (www.python.org)|103.245.222.223|:443... connected. ERROR: cannot verify www.python.org's certificate, issued by "/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA": Unable to locally verify the issuer's authority. To connect to www.python.org insecurely, use '--no-check-certificate'. $ curl https://www.python.org curl: (60) …

2
Linuxの中間CAを信頼しない?
このブログから。 中間CAは、ルートCAによって署名された証明書であり、任意のWebサイトの任意の証明書に署名できます。 ルートCAと同じくらい強力ですが、システムが信頼するものの完全なリストはありません。ルートCAは自由に新しいものを作成でき、システムはそれらを一目で信頼できるからです。CTに何千人もログインしています。 今月、興味深いものがポップアップし、明らかに2015年9月に生成されました。シマンテックが署名した「Blue Coat Public Services Intermediate CA」です。(このCAによって署名された証明書は、これまでにCTログまたはCensysに到達していません。) そうでなければ、OS Xで信頼される中間CAを明示的に信頼しない方法を書くのは良い機会だと思った。 Ubuntuのブログで手順を試したときに、この証明書https://crt.sh/?id=19538258をダウンロードします。.crtを開くとGnomeキーリングにインポートされますが、インポート後に証明書を「信頼しない」方法を見つけることができませんでした。

6
Linuxで署名済みPDFを開く
.pfx証明書で保護されたPDFファイルがいくつかあります。Windowsでは、Adobe Readerを使用して、これらのPDFファイルを(以前にインポートした証明書とともに)読み取ることができます。 私は長い間グーグルで検索しましたが、これを開くことができるPDFリーダーが見つかりません。 注:それは明らかです。このデジタル署名が適用されたPDFファイルを開き、それを開いた場合、Evinceは次のように表示されます。 Acrobat Reader(acroread)は次のようになります: 上記のPDFファイルはこちら:http : //adobetrainer.co.uk/Resources/sign-a-pdf-with-reader-enabled.pdf
14 pdf  certificates 

3
SSL証明書が有効かどうかを確認するスクリプト
複数のSSL証明書があり、証明書の有効期限が切れたときに通知を受け取りたいです。 私の考えは、毎日簡単なコマンドを実行するcronjobを作成することです。 opensslLinux のコマンドを使用して、リモートサーバーの証明書情報を表示できることを知っています。つまり: openssl s_client -connect www.google.com:443 ただし、この出力には有効期限が表示されません。また、このコマンドをCTRL+で終了する必要がありますc。 スクリプトからリモート証明書の有効期限を確認し(できればを使用openssl)、ユーザーの操作なしで自動的に実行されるように「バッチモード」で実行するにはどうすればよいですか?

3
.pemファイルから.cerファイルを取得する
以下のコマンドを使用してRSA秘密鍵を生成しました。 openssl genrsa -out privkey.pem 2048 そして、以下のコマンドを使用して自己署名証明書を作成しました: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 3650 今、私はcacert .pemファイルをcertificate .cerに変換しようとしています 何か案は?

2
GithubのみにSSL証明書を追加(ca-certificatesパッケージのすべての証明書ではありません)
HTTPS経由でGithubにアクセスすると、次のエラーが表示されます。 error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none これは、に証明書がないため/etc/ssl/certs/です。この問題を修正する方法を知っています。ca-certificatesDebianリポジトリからパッケージをインストールできます。ただし、問題は、これによりすべての証明書(数千)がインストールされるため、必ずしも受け入れたり信頼したりする必要がないことです。 Githubのみの証明書をインストールするにはどうすればよいですか? サブ問題/サブ質問 パッケージca-certificatesが既にインストールされていてgitが動作している別のマシンでは、一部の証明書/etc/ssl/certs/がファイルごとに1つの証明書であり、その他の証明書が1つのファイル内に複数の証明書があることに気付きました。Github証明書を含む特定のファイルに/etc/ssl/certs/ca-certificates.crtは、150を超える他の証明書が含まれています。 $ grep 'BEGIN CERTIFICATE' /etc/ssl/certs/ca-certificates.crt | wc -l 159 これらの159証明書のうち、どれが必要な証明書であるかを見つけるにはどうすればよいですか?(ブルートフォース以外-ファイルを半分にスライスし、両方の半分をチェックし、繰り返しますwhile n > 1)。
13 git  ssl  certificates  github 

3
証明書を使用してTLS経由でSLESでldapsearchを動作させる方法は?
証明書を使用して、TLSを介してphpスクリプトをLDAPに接続する必要があります。LDAP接続は、tlsなしでうまく機能します。詳細はこちら/programming/15260252/how-to-use-multiple-tls-certificates-for-ldap-from-php-zend Softerra LDAP Browserを使用して、Windowsからtls経由で接続することができました。証明書をインストールし、それを信頼するかどうかを尋ねました。 私の最終結果は、PHPからのTLSを使用してLDAPで認証できるようにすることです。タイプ.cerの証明書が与えられました。Windows Exchangeマシンからのものです。私が見ることができることから、SLESは.pem証明書をサポートしています。だから私の質問は... Q1:クライアント(SLESサーバー)に証明書をインストールする前に、まず.cerから.pemに変換する必要がありますか?最後にQ2:この証明書をサーバーにインストールしてPHPアプリケーションができるようにする最良の方法は何ですか?それにアクセスして、その仕事をしてください。SLESサーバーでは、異なるLDAPサーバーに接続する必要があることに注意してください。 現時点で実行したら ldapsearch -H ldaps://localhost:9215 -W 我々が得る Enter LDAP Password: ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate) ここでたくさんの良い情報を見つけましたhttp://www.php.net/manual/de/function.ldap-connect.php#36156特にこの文章は私の目に重要ですOnce you've gotten the ldapsearch tool working correctly PHP should work also. SUSE Linux Enterprise Server …
12 ldap  sles  certificates  tls 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.