标签: openssl

我想使用 wget 或任何其他命令从https://www.google.com下载 ssl 证书。任何unix命令行？wget 还是 openssl？

这是一个关于理解和修复 Heartbleed 安全问题的规范问题。

CVE-2014-0160 又名“心血”究竟是什么？原因是什么，OpenSSL 的哪些操作系统和版本容易受到攻击，症状是什么，有什么方法可以检测成功的漏洞利用吗？

如何检查我的系统是否受到影响？如何缓解此漏洞？我是否应该担心我的密钥或其他私人数据已被泄露？我应该担心哪些其他副作用？

我正在使用 Windows 并获得了一个 .cer 文件。我如何查看它的详细信息？

我有一个证书包 .crt 文件。

做openssl x509 -in bundle.crt -text -noout只显示根证书。

我如何查看所有其他证书？

我正在与 Apache2 和Passenger 合作进行Rails 项目。我想创建一个用于测试目的的自签名SSL 证书。

sudo openssl rsa -des3 -in server.key -out server.key.new

当我输入上述命令时，它说

writing RSA key
Enter PEM pass phrase:

如果我不输入密码，我会收到以下错误

unable to write key
3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo
u must type in 4 to 1024 characters
3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor
d:pem_lib.c:111:
3079317228:error:0906906F:PEM routines:PEM_ASN1_write_bio:read key:pem_lib.c:382

是否可以在不提供 RSA 密钥的情况下生成 RSA 密钥pass phrase，因为我不确定/etc/init.d/httpd脚本将如何在没有人工干预的情况下启动 HTTP 服务器（即，如果我提供 4 个字符的密码短语，它希望我在启动 Apache HTTP 服务器时提供它）。

我在 CentOS 5.9 上。

我想从 linux shell 确定远程 Web 服务器是否专门支持 TLS 1.2（而不是 TLS 1.0）。有没有简单的方法来检查？

我没有看到相关选项，openssl但也许我忽略了一些东西。

我正在尝试创建私钥并遇到问题。

当我使用 时ssh-keygen -t rsa -b 4096 -C "your_email@example.com"，我会获得以下格式的私钥。

-----BEGIN OPENSSH PRIVATE KEY-----
uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx
...
-----END OPENSSH PRIVATE KEY-----

我正在尝试使用的应用程序不接受这种情况。

我期待以下 RSA 格式的密钥。

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,25737CC2C70BFABADB1B4598BD8AB9E9

uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx
...
-----END RSA PRIVATE KEY-----

如何创建正确的格式？这很奇怪，因为我拥有的所有其他 mac 都创建了正确的格式，除了我遇到问题的那个。

我在全新安装的 Mac OS Mojave 上

2004 年，我在 Linux 上使用 OpenSSL 和 OpenVPN 提供的简单管理脚本建立了一个小型证书颁发机构。按照我当时找到的指南，我将根CA证书的有效期设置为10年。从那时起，我为OpenVPN隧道、网站和电子邮件服务器签署了许多证书，所有这些证书的有效期也都是10年（这可能是错误的，但当时我并不知道更好）。

我找到了很多关于设置 CA 的指南，但关于它的管理的信息很少，特别是关于根 CA 证书到期时必须做的事情，这将在 2014 年的某个时候发生。所以我有以下内容问题：

• 根CA证书到期后有效期延长的证书会在根CA证书到期后立即失效，还是继续有效（因为它们是在CA证书有效期内签署的）？
• 需要进行哪些操作来更新根 CA 证书并确保其在到期后平稳过渡？
  • 我能否以某种方式重新签署具有不同有效期的当前根 CA 证书，并将新签署的证书上传到客户端，以便客户端证书保持有效？
  • 或者我是否需要用新的根 CA 证书签名的新证书替换所有客户端证书？
• 什么时候应该更新根 CA 证书？即将到期，还是到期前的合理时间？
• 如果根CA证书的更新成为一项主要工作，我现在可以做些什么来确保在下一次更新时更平稳地过渡（当然，有效期不能设置为100年）？

由于我对某些客户端的唯一访问是通过使用当前 CA 证书签名的证书的 OpenVPN 隧道，因此情况稍微复杂一些，因此如果我必须替换所有客户端证书，我将需要复制将新文件发送到客户端，重新启动隧道，交叉我的手指并希望它随后出现。

在 Linux 中从命令行使用 OpenSSL，是否有某种方法可以检查密钥（公共或私有）以确定密钥大小？

我正在寻找一种可靠且可移植的方法来检查 GNU/Linux 和其他系统上的 OpenSSL 版本，以便用户可以轻松地发现他们是否应该因为 Heartbleed 错误而升级他们的 SSL。

我认为这很容易，但我很快在使用最新的 OpenSSL 1.0.1g 的 Ubuntu 12.04 LTS 上遇到了问题：

openssl 版本 -a

我期待看到一个完整的版本，但我得到了这个：

OpenSSL 1.0.1 2012 年 3 月 14 日
建立时间：2013 年 6 月 4 日星期二 07:26:06 UTC
平台： [...]

令我不快的是，版本字母没有显示。没有 f，没有 g，只有“1.0.1”，就是这样。列出的日期也无助于发现（非）易受攻击的版本。

1.0.1 (af) 和 1.0.1g 之间的差异至关重要。

问题：

• 检查版本的可靠方法是什么，最好是跨发行版？
• 为什么不首先显示版本号？除了 Ubuntu 12.04 LTS 之外，我无法在其他任何设备上进行测试。

其他人也报告了这种行为。几个例子：

• https://twitter.com/orblivion/status/453323034955223040
• https://twitter.com/axiomsofchoice/status/453309436816535554

一些（特定于发行版的）建议正在推出：

• Ubuntu 和 Debian：apt-cache policy openssl和apt-cache policy libssl1.0.0. 将版本号与此处的软件包进行比较：http : //www.ubuntu.com/usn/usn-2165-1/
• Fedora 20：（yum info openssl感谢 Twitter 上的 …