タグ付けされた質問 「openssl」

PEM証明書を使用してSSLでプロキシサーバーを設定しました。現在、この証明書を自動的に信頼したい私のマシンがいくつかあります（Webブラウザーからの苦情はありません）。各マシンにPEM証明書をインストールするにはどうすればよいですか？ また、より推奨されるのは、自己署名証明書の生成またはsnakeoil証明書の連結ですか？

23 debian  ssl  openssl 

私はapache2 WebサーバーでSSLを設定しようとしていますが、まったく機能しないようです。 チュートリアルに従ってopensslで証明書ファイルを作成し、/etc/apache2/sites-available/default-ssl.conf適切に構成しました。 httpsを使用してWebサイトを開こうとするたびに、セキュリティ上の問題により、ブラウザーが接続を拒否します。ウェブサイトを正しく設定していないと表示されます。 私/var/log/apache2/error.logには、サーバー証明書にサーバー名と一致するIDが含まれていないという警告が表示されます。 [Mon Apr 10 11:03:24.041813 2017] [mpm_prefork:notice] [pid 1222] AH00169: caught SIGTERM, shutting down [Mon Apr 10 11:03:30.566578 2017] [ssl:warn] [pid 661] AH01909: 127.0.0.1:443:0 server certificate does NOT include an ID which matches the server name [Mon Apr 10 11:03:31.579088 2017] [ssl:warn] [pid 1194] AH01909: 127.0.0.1:443:0 …

21 apache-httpd  openssl  webserver  ssl  https 

bashスクリプトを書いているので、ユーザーにパスワードを要求してに渡す必要がありますopenssl。なくなりopensslパスワード自体を読むことができ、私はプログラムの2つの実行のために必要と二回ユーザーに依頼する必要はありません。スクリプトは次のとおりです。 cp file{,.old} read -sp 'Enter password. ' PASS; echo export PASS # decode | edit | encode openssl enc -d -aes-256-cbc -k "$PASS" -in file.old | \ sed ... | openssl enc -e -aes-256-cbc -k "$PASS" -out file unset PASS パスワードはコマンドラインを見ると簡単に入手できるため、これは安全ではありません。psたとえば、誰かがそれを使用して読むことができます。 openssl環境変数からパスワードを読み取ることができますので、私は置き換えることができ-k "$PASS"て-pass env:PASS、それはまだ安全ではありません。任意のプロセスの環境変数は自由に読み取ることができます（繰り返しpsます）。 それでは、どうすれば2つのopensslインスタンスにパスワードを安全に渡すことができますか？

21 bash  command-line  password  openssl 

このブログから。 中間CAは、ルートCAによって署名された証明書であり、任意のWebサイトの任意の証明書に署名できます。 ルートCAと同じくらい強力ですが、システムが信頼するものの完全なリストはありません。ルートCAは自由に新しいものを作成でき、システムはそれらを一目で信頼できるからです。CTに何千人もログインしています。 今月、興味深いものがポップアップし、明らかに2015年9月に生成されました。シマンテックが署名した「Blue Coat Public Services Intermediate CA」です。（このCAによって署名された証明書は、これまでにCTログまたはCensysに到達していません。） そうでなければ、OS Xで信頼される中間CAを明示的に信頼しない方法を書くのは良い機会だと思った。 Ubuntuのブログで手順を試したときに、この証明書https://crt.sh/?id=19538258をダウンロードします。.crtを開くとGnomeキーリングにインポートされますが、インポート後に証明書を「信頼しない」方法を見つけることができませんでした。

18 linux  openssl  ssl  certificates  nss 

JAVAサーバーとクライアントは、SSLを使用してネットワーク経由で通信します。サーバーとクライアントは、証明書を使用して相互に認証します。サーバーとクライアントで使用されるキーストアのタイプはJKSです。サーバーとクライアントは、キーストアファイルとトラストストアファイルをロードします。キーストアとトラストストアのファイル名は、server.keystore、server.truststore、client.keystore、およびclient.truststoreです。テスト用に自己署名証明書を使用しています。 質問： Q1。手順6で、サーバーとクライアントの独自の証明書をそれぞれのトラストストアに追加する必要がある理由を知りたいです。 Q2。同じことを達成するためにステップ数を減らすことはできますか？はいの場合、どのように？ サーバーのRSAキー、自己署名証明書、キーストア、トラストストアを作成する手順 秘密のRSAキーを生成する openssl genrsa -out diagserverCA.key 2048 x509証明書を作成する openssl req -x509 -new -nodes -key diagserverCA.key \ -sha256 -days 1024 -out diagserverCA.pem 秘密鍵と公開証明書からPKCS12キーストアを作成します。 openssl pkcs12 -export -name server-cert \ -in diagserverCA.pem -inkey diagserverCA.key \ -out serverkeystore.p12 PKCS12キーストアをJKSキーストアに変換します keytool -importkeystore -destkeystore server.keystore \ -srckeystore serverkeystore.p12 -srcstoretype pkcs12 -alias …

17 openssl  ssl 

複数のSSL証明書があり、証明書の有効期限が切れたときに通知を受け取りたいです。 私の考えは、毎日簡単なコマンドを実行するcronjobを作成することです。 opensslLinux のコマンドを使用して、リモートサーバーの証明書情報を表示できることを知っています。つまり： openssl s_client -connect www.google.com:443 ただし、この出力には有効期限が表示されません。また、このコマンドをCTRL+で終了する必要がありますc。 スクリプトからリモート証明書の有効期限を確認し（できればを使用openssl）、ユーザーの操作なしで自動的に実行されるように「バッチモード」で実行するにはどうすればよいですか？

14 bash  cron  openssl  ssl  certificates 

以下のコマンドを使用してRSA秘密鍵を生成しました。 openssl genrsa -out privkey.pem 2048 そして、以下のコマンドを使用して自己署名証明書を作成しました： openssl req -new -x509 -key privkey.pem -out cacert.pem -days 3650 今、私はcacert .pemファイルをcertificate .cerに変換しようとしています 何か案は？

13 osx  encryption  openssl  certificates 

公式SSLのドキュメントには、カールがかかるとは異なる形式で暗号をリストします。たとえば、curlでTLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA暗号を使用する場合は、それを渡す必要がありcurl --ciphers ecdhe_rsa_3des_shaます。一部のマッピングは知っていますが、すべてではありません-たとえば、暗号化TLS_DHE_RSA_WITH_AES_128_GCM_SHA256を使用するには、curlに何を渡さなければなりませんか？ ssl docsの暗号名がcurlが受け入れる暗号名にどのようにマッピングされるかを示すドキュメントを見つけることができる場所はありますか？ 編集：私は最終的に私のカールがOpenSSLではなくNSSによって裏付けられていることを発見しました、そして問題はOpenSSLが同じ暗号を使用するために別の引数を必要とする一方で、NSS裏付けされたカールの使用に関する適切なドキュメントがないためです。だから私の質問はNSSに固有です。

12 configuration  curl  openssl  ssl  nss 

4月に、コマンドを使用してファイルを暗号化しました openssl enc -aes-256-cbc -salt -pass file:<passwordfile> < infile > outfil 今私はそれを解読したい openssl enc -d -aes-256-cbc -salt -pass file:<passwordfile> -in outfil -out infile2 しかし、私は悪いマジックナンバーを取得します。 同じパラメータで昨日暗号化されたファイルは、復号化できます。 何が起こったのでしょうか？とにかく私はこのアーカイブされたファイルを取得できますか？

12 openssl 

このSSLチェックで報告されているように、SSLチェーンが壊れているサーバーがあります。 これはサーバー自体で解決すべき問題であることはわかっていますが、修正するのが難しい場合があります（私はサーバーの管理者ではありません）。 問題は、Windows上のChrome / Mozilla / Edgeがとにかくサイト証明書を信頼することです： ただし、Gnu / Linux展開（DockerのUbuntu 18.04）では、証明書は信頼されません。 curl: (60) SSL certificate problem: unable to get local issuer certificate update-ca-certificatesGlobalsign Root証明書を試してインポートしました。update-ca-certificatesその場合、重複した証明書が報告されました。とにかく、何も機能しません。 再現方法 Dockerの使用： docker run -it ubuntu:18.04 # within container: apt-get update apt-get -y install curl curl https://betriebsheft.vog.it # <---- "unable to get local issuer certificate" Gnu …

11 curl  openssl  ssl  certificates 

FreeBSDパッケージWebサイトでパッケージの署名を確認しようとしています wget http://pkg.freebsd.org/FreeBSD:11:amd64/latest/digests.txz tar xf digests.txz これは、3つのファイルを提供します：digests、digests.pub digests.sig 私はそれを取るdigests.sigファイルの署名であるdigestsとdigests.pub公開鍵として。しかし、私はそれを確認しようとしました： openssl dgst -verify digests.pub -signature digests.sig digests そしてメッセージを得た Verification Failure 私は何かが間違っていると思います-私が欠けているものを誰かに教えてもらえますか？ 編集：ソースコードの調査に基づいて、opensslライブラリから呼び出す重要な関数がここにあると思います。しかし、何が入力されているのか、またはコマンドラインツールを使用してその関数を呼び出すことができるかどうかはわかりません。rsa_verify_cert_cbRSA_verifyopenssl

11 security  package-management  freebsd  openssl  checksum 

OS: CentOS-6.5-x86_64-minimal OpenSSLの最新バージョンをダウンロードしました でそれを抽出しました tar -xvzf openssl-1.0.1e.tar.gz cd openssl-1.0.1e ./config --prefix=/usr/local make 次のエラーが表示されます。 making all in crypto... make[1]: Entering directory `/usr/local/src/openssl-1.0.1e/crypto' making all in crypto/objects... make[2]: Entering directory `/usr/local/src/openssl-1.0.1e/crypto/objects' make[2]: Nothing to be done for `all'. make[2]: Leaving directory `/usr/local/src/openssl-1.0.1e/crypto/objects' making all in crypto/md4... make[2]: Entering directory `/usr/local/src/openssl-1.0.1e/crypto/md4' make[2]: Nothing …

11 centos  yum  openssl 

if grep -q "�" out.txt then echo "working" else cat out.txt fi 基本的に、ファイル「out.txt」にファイル内のどこかに「 」が含まれている場合は、「機能」をエコーし​​たい場合、およびファイル「out.txt」にファイル内のどこにも「 」が含まれていない場合は、 cat out.txtに 編集：これが私がやっていることです。私はopenssl復号化をブルートフォースにしようとしています。 openssl encは、成功すると0を返し、それ以外の場合はゼロ以外を返します。注：AES / CBCはパディングを正しく行うことに基づいて「復号化が機能する」かどうかしか判断できないため、誤検知が発生します。したがって、ファイルは復号化されますが、正しいパスワードではないため、意味不明なものになります。意味不明な言葉の一般的な文字は「 」です。したがって、出力に「 」が含まれている場合は、doループを続行する必要があります。 Heres my git link https://github.com/Raphaeangelo/OpenSSLCracker Heres the script while read line do openssl aes-256-cbc -d -a -in $1 -pass pass:$line -out out.txt 2>out.txt >/dev/null && printf …

10 linux  grep  scripting  openssl 

私はアリスです。ボブから署名付きのメールを受け取りました。 Webメールクライアント（GMailなど）を使用していますが、添付ファイルの1つがであることがわかりましたsmime.p7s。 「元のメッセージを表示」というオプションが見つかり、内容をに保存しましたmessage.orig。 ボブが署名したメールを想定して、コマンドラインから確認するにはどうすればよいですか？ （ボブが尊敬された当局のいくつかによって署名された認証済みキーを使用すると仮定しましょう-私はどちらかはわかりませんが、私はそれを推測します） （アリスは、適切な機能を備えた電子メールクライアントをインストールしたくありません。メッセージは1つだけです）

10 openssl  cryptography  signature 

次のopenssl s_clientような証明書検証エラーを生成しようとしています： $ openssl s_client -crlf -verify 9 \ -CAfile /etc/ssl/certs/TURKTRUST_Certificate_Services_Provider_Root_1.pem \ -starttls smtp -host mx-ha03.web.de -port 25 web.deサーバーの証明書はTURKTRUSTではなくDeutsche Telekom CAによって認証されているため、上記のコマンドは失敗するはずです。 しかし、それは報告します： Verify return code: 0 (ok) どうして？ 私はアナログのgnutls-cliコマンドが期待通りに失敗することを意味します： $ { echo -e 'ehlo example.org\nstarttls' ; sleep 1 } | \ gnutls-cli --starttls --crlf \ --x509cafile /etc/ssl/certs/TURKTRUST_Certificate_Services_Provider_Root_1.pem \ --port 25 …

10 openssl  certificates  gnutls