标签: openssl

为什么我的通配符自签名证书出现 URL 不匹配？

我正在尝试设置供 Apache 使用的自签名通配符证书，通常这非常简单，我只需使用根域设置主题备用名称，并在通用名称字段中指定 *.dcrdev.com。但是，这似乎不起作用 - 当我尝试在 chrome 中访问该站点或在 sslabs 中对其进行测试时，他们在访问任何子域（例如 www.dcrdev.com 或 subdomain1.dcrdev.com）时报告 URL 不匹配。我不知道为什么，当我在 chrome 中查看证书信息时，它显示的通用名称为 *.dcrdev.com。

我的客户代表：

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=GB, ST=South Yorkshire, L=Sheffield, O=DCR Holdings, OU=DCR Development, CN=*.dcrdev.com/emailAddress=webmaster@dcrdev.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                lah blah

Run Code Online (Sandbox Code Playgroud)

我的证书：

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1048577 (0x100001)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=GB, ST=South Yorkshire, L=Sheffield, O=DCR Holdings, OU=DCR Root Authority, CN=*.dcrdev.com/emailAddress=administrator@dcrdev.com
        Validity
            Not Before: Oct 13 23:41:03 2015 …

Run Code Online (Sandbox Code Playgroud)

openssl apache-2.4 self-signed-certificate

dcr*_*dev

2015 10-14

1
推荐指数

1
解决办法

138
查看次数

openssl：无法获得 accounts.google.com 的本地颁发者证书

我收到unable to get local issuer certificate了accounts.google.com超过SSL。我从https://curl.haxx.se/ca/cacert.pem下载了一个更新的 CA 文件并openssl s_client用于渲染：

?  ~ openssl s_client -connect accounts.google.com:443 -CAfile ~/certs/cacert.pem
CONNECTED(00000003)
depth=2 /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=accounts.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIEoTCCA4mgAwIBAgIIZMJyEcZ8LIAwDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE
BhMCVVMxEzARBgNVBAoTCkdvb2dsZSBJbmMxJTAjBgNVBAMTHEdvb2dsZSBJbnRl
cm5ldCBBdXRob3JpdHkgRzIwHhcNMTcwMzE2MDkxNjU0WhcNMTcwNjA4MDg1NDAw
WjBtMQswCQYDVQQGEwJVUzETMBEGA1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwN …

Run Code Online (Sandbox Code Playgroud)

ssl openssl ssl-certificate

bca*_*lla

2017 03-28

1
推荐指数

1
解决办法

2万
查看次数

如何使用命令行上的密码将我的 pem 文件导出到 pfx

在 bash 脚本中导出期间，我需要通过命令行传递密码。

IBM 在他们的网站上有这个

openssl pkcs12 -export -in "$pem" -inkey "$key" -out "$pfx" -passout pass:pkcs12 "$pfxpass";

Run Code Online (Sandbox Code Playgroud)

以上对我不起作用。

下面的命令有效，但系统会提示您输入并重新输入密码。

openssl pkcs12 -export -in "$pem" -inkey "$key" -out "$pfx";

Run Code Online (Sandbox Code Playgroud)

这怎么能被脚本化？

password bash openssl convert

Cur*_*Sam

lucky-day

1
推荐指数

1
解决办法

8965
查看次数

即使 HTTP HOST 标头与 SNI 不同，Nginx 也会响应 200

我刚刚开始学习 nginx 和 SSL，并且一直在尝试不同的配置。我有两个服务器块，如下所示：

server{
    listen 443 ssl http2;
    server_name www.a.com;
    ssl_certificate a.crt;
    ssl_certificate_key a.key;
    ....
}
server{
    listen 443 ssl ;
    server_name www.b.com;
    ssl_certificate b.crt;
    ssl_certificate_key b.key;
    ....
}

Run Code Online (Sandbox Code Playgroud)

在使用 www.a.com 作为我的 SNI 通过 openssl s_client 连接到 nginx 后，我使用 Host: www.b.com 发送了一个 GET 请求，它仍然有效。这是预期的吗？有人可以帮助我了解 nginx 的行为吗？

ssl nginx openssl sni

san*_*ank

2018 04-17

1
推荐指数

1
解决办法

1501
查看次数

Puppet Windows Agent 无法连接 - 证书验证失败：无法获取 /CN=Puppet 的颁发者证书

我已经安装了puppet服务器和代理，在sudo /opt/puppetlabs/bin/puppetserver ca sign --certname mywindowshost服务器上接受初始代理请求。

我可以看到证书放置在下面并存在于服务器根 ca 和代理的证书中：

C:\Windows\system32>puppet agent --configprint localcacert 
C:/ProgramData/PuppetLabs/puppet/etc/ssl/certs/ca.pem

Run Code Online (Sandbox Code Playgroud)

但是，在代理上运行以下命令来测试它，我得到以下结果：

C:\Windows\system32>puppet agent --test
Warning: Unable to fetch my node definition, but the agent run will continue:
Warning: SSL_connect returned=1 errno=0 state=error: certificate verify failed: [unable to get issuer certificate for /CN=Puppet CA: puppet.mydomain.com]
Info: Retrieving pluginfacts
Error: /File[C:/ProgramData/PuppetLabs/puppet/cache/facts.d]: Failed to generate additional resources using 'eval_generate': SSL_connect returned=1 errno=0 state=error: certificate verify failed: [unable to get issuer certificate for /CN=Puppet CA: puppet.mydomain.com]
Error: /File[C:/ProgramData/PuppetLabs/puppet/cache/facts.d]: …

Run Code Online (Sandbox Code Playgroud)

openssl puppet puppetmaster puppet-agent

mor*_*eyc

2019 06-08

1
推荐指数

1
解决办法

4954
查看次数

如何诊断“CA证书太弱”错误，无论如何如何使用CA证书？

我必须使用使用自签名证书（来自 Ubuntu）的服务。我已将公司的 CA 添加到受信任列表 (Ubuntu)。之后“链中自签名证书”错误消失了，但现在我收到“CA证书太弱”错误。例如

curl -vvv https://someservicehost.net
 *   Trying 93.184.216.34:443...
 * TCP_NODELAY set
 * Connected to someservicehost.net (93.184.216.34) port 443 (#0)
 * ALPN, offering h2
 * ALPN, offering http/1.1
 * successfully set certificate verify locations:
 *   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
 * TLSv1.3 (OUT), TLS handshake, Client hello (1):
 * TLSv1.3 (IN), TLS handshake, Server hello (2):
 * TLSv1.2 (IN), TLS handshake, Certificate (11):
 * TLSv1.2 (OUT), TLS alert, bad certificate (554):
 * SSL certificate problem: CA certificate key too …

Run Code Online (Sandbox Code Playgroud)

ubuntu openssl curl ssl-certificate-errors

Pet*_*ikh

2020 09-11

1
推荐指数

1
解决办法

6382
查看次数

为什么这个 PEM 文件无效？

我有一个chain.pem包含两个 PEM 编码证书的文件，第一个是 TSA 证书，第二个是自签名 CA。

文件内容正是：

Run Code Online (Sandbox Code Playgroud)

certificate openssl

mat*_*ann

lucky-day

1
推荐指数

1
解决办法

168
查看次数

为什么有些通配符证书的主题字段有星号而有些则没有？

我正在尝试解析 SSL 客户端的一些输出，以检查一组服务器是否具有有效的证书。我正在查看该命令的输出：

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -subject -dates

Run Code Online (Sandbox Code Playgroud)

我注意到 Let's Encrypt 颁发的通配符证书仅在“主题”字段中列出“CN = example.com”，而其他 CA 颁发的通配符证书则使用“CN = *.example.com”

这是正常的吗？是否会有一些在“主题”字段中列为“CN = example.com”的证书，这些证书不是通配符，如果我尝试打开“subdomain.example.com”，这些证书会在浏览器中中断？

或者是否有更好的方法来验证命令行上的证书是否适用于正确的域？

谢谢。

ssl openssl

Mil*_*kov

lucky-day

1
推荐指数

1
解决办法

1718
查看次数

SSL 问题 - 从 .crt 生成 .key？(AlphaSSL)

这让我非常困扰，

我已经生成了一个 .csr 和 .key 文件以使用以下命令发送到 dynadot（将其发送到 AlphaSSL）：

openssl req -out foo.com.csr -new -newkey rsa:2048 -nodes -keyout foo.com.key

Run Code Online (Sandbox Code Playgroud)

它要求我确认并且我显然收到了一个中间链证书，但是我只是将它放入foo.com.crt并且它在我的域上运行良好。

与购买页面所说的相反，SSL 仅适用于 (domain.com) 而不适用于 (www.domain.com)，并且我domain.com在生成原始签名请求时使用了我的通用名称。

我认为这是由于我没有使用中间链，所以我愚蠢地覆盖了 .csr 和 .key 以尝试在同一个 .csr 文件中由 dynadot 提供给我的 AlphaSSL 之前安装 GlobalSign 根证书，但是它现在给我一个关于与我的 .key 文件不匹配的警告（我正在使用 nginx）

我曾尝试重现我的步骤和设置，但是我无法获得使用相同设置重新生成的（新鲜的 crt，正是 dynadot 给我的）和 .key - 它只是不匹配。

是否可以重新请求 csr？或者从我得到的 .csr 生成私有 .key？

我不想再花一大笔钱，而且我没有实际的 AlphaSSL 帐户，所以我不确定我是否真的可以寻求支持或重做签名。

如果您能提供任何建议或帮助，我将不胜感激。

keys openssl ssl-certificate certificate-authority

Ale*_*der

lucky-day

0
推荐指数

1
解决办法

1万
查看次数

无法在 openssl 中加载证书

在 Ubuntu 中，当我尝试执行时，openssl s_server -cert server.pem -www我收到以下消息

unable to load certificate
3074300104:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE

Run Code Online (Sandbox Code Playgroud)

请帮忙。

ubuntu ssl openssl

Sah*_*thi

2013 01-29

0
推荐指数

1
解决办法

3万
查看次数

标签统计

openssl ×10

ssl ×4

ssl-certificate ×2

ubuntu ×2

apache-2.4 ×1

bash ×1

certificate ×1

certificate-authority ×1

convert ×1

curl ×1

keys ×1

nginx ×1

password ×1

puppet ×1

puppet-agent ×1

puppetmaster ×1

self-signed-certificate ×1

sni ×1

ssl-certificate-errors ×1

标签 统计

标签统计