我正在尝试使用来自s_clientXP 上OpenSSL 的 SSL 连接到 AWS 上的 PostgreSQL 服务器。我可以使用这个连接到第三方s_client。在服务器和 XP 上,我都使用 openssl 版本 0.9.8.k。
当我尝试连接到我的服务器时,我得到了结果:
CONNECTED(00000003)
2036:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188
:
在 Postgres 日志中,我看到了以下条目:
2009-10-30 13:58:08 UTC LOG: invalid length of startup packet
我很感激任何关于在哪里寻找让这个工作的建议。也许有一个公共 AWS 映像我可以查看已知可以在哪个 PostgreSQL 上工作?
我正在尝试使用 openssl 生成我自己的自签名 ssl 证书,以便我可以在购买之前在 nginx 上的开发服务器上测试它们。我已经创建了 server.key 但是当我运行命令时openssl req -key server.key -out server.csr它只是在输入密码后挂起
有任何想法吗 ?
我在 Debian Squeeze 6.0.4 上运行 Puppet 的默认配置。
服务器的 FQDN 是 master.example.com。客户端的 FQDN 是 client.example.com。
我可以联系傀儡大师并发送 CSR。我使用 puppetca -sa 对其进行签名,但客户端仍无法连接。
两台机器都有准确的日期和时间。
这是出现在 /var/log/syslog 中的内容:
Apr 3 17:03:52 localhost puppet-agent[18653]: Reopening log files
Apr 3 17:03:52 localhost puppet-agent[18653]: Starting Puppet client version 2.6.2
Apr 3 17:03:53 localhost puppet-agent[18653]: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
Apr 3 17:03:53 localhost puppet-agent[18653]: Using cached catalog
Apr 3 17:03:53 localhost puppet-agent[18653]: Could not retrieve …我们有我们网站的内部测试版本,可(通过内部 DNS 区域)作为 www.mysite.com.test
我想为 www.mysite.com.test 创建 SSL 证书,以便我们的测试人员不会收到无效证书警告(“真实”证书绑定到 www.mysite.com)
我知道如何使用 OpenSSL 创建自签名证书,但我想知道是否有某种方式将证书颁发机构与我们的 Active Directory 域相关联,以便作为域成员的 PC 上的任何用户都将接受自签名证书。签名证书而无需显式安装它(或显式安装自签名证书颁发机构作为受信任的机构)
有任何想法吗?
我正在使用 PKI 基础设施设置服务器到服务器 OpenVPN,但无法使其工作。我怀疑它是证书链中的东西,但我不知道如何解释。我有一个离线根 CA 和一个证书层次结构。CA 由称为 EJBCA 的产品在外部进行管理。从图片上看,链条看起来像这样(名称已更改):
RootCA -> OnlineSubCA -> SubCA1 -> VPNCA
我使用 CA VPNCA 签署了服务器和客户端证书,并在这些系统上拥有证书链。在调试 OpenVPN 时,我尝试使用“openssl s_server”和 s_client”,这让我相信这是 CA 链。特别是在服务器上:
openssl s_server -cert server.cert -key server.key -CAfile chained.pem -verify 5
并在客户端
openssl s_client -cert client.cert -key client.key -CAfile chained.pem -verify 5
服务器回吐,除其他外:
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=24:invalid CA certificate
verify return:1
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=26:unsupported certificate purpose …我目前正在使用 Apache 运行 Debian Squeeze 服务器。我的 OpenSSL 版本是 0.9.8,我想升级到能够运行 TLS v 1.2 的版本。到目前为止,我的研究表明这是不可能的,但我觉得我错过了一些东西。是否有允许我这样做的升级路径,或者我是否需要使用较新版本的 Debian 重建我的服务器?
OpenSSL 刚刚宣布了其内存例程中的另一个新漏洞。您可以在此处阅读所有相关信息:https : //www.openssl.org/news/secadv_20141015.txt
解决方法是禁用 SSLv3。
假设我从证书开始。
使用 openssl 我可以像这样打印出来:
openssl x509 -in cert.pem -text -noout
我会得到一些输出,例如Validity,Issuer和Subject沿Authority Key Identifier和Subject Key Identifier。
我如何使用这些字段来计算链中的下一个证书?
然后一旦我获得下一个证书,计算下一个证书应该是什么等等。
基本上,我想制定完整的链,并按照 EC2 负载均衡器的正确顺序进行处理。由于网络解决方案似乎不只是给你一个有效的包。他们给你单独的证书,我已经尝试并尝试了很多不同的 EC2 排序,但仍然没有让它工作。我最后的赌注是尝试 openssl 并手动解决这个问题,而不是猜测。
nginx.conf 文件中的以下行是什么意思?
ssl_ciphers HIGH:!aNULL:!MD5;
我知道 ssl 密码指定使用哪种算法来保护服务器通信,我假设 !aNULL 和 !MD5 指定不允许使用这些密码进行通信,但我不知道 HIGH: 指定什么。
我正在尝试按照此处的说明来缓解 logjam 漏洞,但是我不断从 appache 收到以下错误:
Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.
当我将以下行添加到配置中时:
SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem
我的应用程序详细信息是:
Server version: Apache/2.2.16 (Debian)
Server built: Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture: 32-bit
Server MPM: Prefork
threaded: no
forked: yes (variable process count)
Server compiled with.... …openssl ×10
ssl ×3
apache-2.2 ×2
certificate ×2
iis ×1
nginx ×1
openvpn ×1
postgresql ×1
puppet ×1
puppetmaster ×1
tls ×1