标签: ssl

是否可以购买中间证书来使用它来签署子域证书？它必须被浏览器识别，我不能使用通配符证书。

到目前为止，搜索一无所获。有没有人颁发这样的证书？

我有一个奇怪的问题。将我的 LAMP 开发机器 (Debian) 更新为 PHP 7。之后我无法再通过 Curl 连接到特定的 TLS 加密 API。

有问题的 SSL 证书由 thawte 签名。

curl https://example.com

给我

curl: (60) SSL certificate problem: unable to get local issuer certificate

然而

curl https://thawte.com

当然，这也是 Thawte 作品的签名。

我可以在其他机器上通过 HTTPS 访问 API 站点，例如我的桌面通过 curl 和浏览器。所以证书绝对有效。SSL 实验室评级为 A。

从我的开发机器到其他 SSL 加密站点的任何其他 Curl 请求都有效。我的根证书是最新的。为了验证，我跑了update-ca-certificates。我什至将http://curl.haxx.se/ca/cacert.pem下载到 /etc/ssl/certs 并运行c_rehash.

还是一样的错误。

有什么方法可以调试验证过程并查看哪个本地颁发者证书 curl（或 openssl）正在寻找但未找到，即文件名？

更新

curl -vs https://example.com

告诉我（IP+域名匿名）

* Hostname was NOT found in DNS cache
*   Trying 192.0.2.1...
* …

我和很多人一样，收到一封电子邮件，说要更新我的 RDS 实例以使用新的 rds-ca-2019 证书进行 SSL 连接（以前是 rds-ca-2015，将于 2020 年 3 月 5 日到期）。他们关于该过程的文档有点稀少，并且说诸如“更新您的数据库应用程序以使用新的 SSL/TLS 证书”之类的内容。和“将证书导入您的操作系统。” 没有关于客户端所需更改的更多详细信息。

当我最初设置时，我没有安装任何证书，而是使用了 vanilla Ubuntu 18.04 EC2 映像。RDS 实例设置为使用 rds-ca-2015，当我使用 psql 连接到 RDS 时，它报告说它正确使用了 TLSv1.2。如果我查看操作系统中安装的根证书，我会发现编号为 1 到 4 的 4 个“Amazon Root CA”证书。这些证书要到 2038 年和 2040 年才会过期。

所以，我的问题有两部分：

1. 如果我从未安装Amazon 提供的RDS 证书和中间证书，SSL/TLS 最初如何正常工作？
2. 如果我将 RDS 数据库实例更改为使用 rds-ca-2019 并且它似乎“正常工作”，还有什么我需要做的吗？

是否有命令行选项可以避免提示，使用 SVN 命令行自动接受 SSL 证书？

我有以下设置：

(internet) ---> [  pfSense Box  ]    /-> [ Apache / PHP server ]
                [running HAproxy] --+--> [ Apache / PHP server ]
                                    +--> [ Apache / PHP server ]
                                     \-> [ Apache / PHP server ]

对于 HTTP 请求，这很好用，请求被分发到我的 Apache 服务器就好了。对于 SSL 请求，我让 HAproxy 使用 TCP 负载平衡分发请求，但是它可以工作，因为 HAproxy 没有充当代理，它没有添加X-Forwarded-ForHTTP 标头，并且 Apache/PHP 服务器不知道客户端的真实IP地址。

所以，我stunnel在HAproxy前面加了，读到stunnel可以加X-Forwarded-ForHTTP头。但是，我可以安装到 pfSense 中的包没有添加这个标头......而且，这显然会扼杀我使用 KeepAlive requests 的能力，我真的很想保留它。但是扼杀了这个想法的最大问题是 stunnel 将 HTTPS 请求转换为普通的 HTTP 请求，所以 PHP 不知道 SSL 已启用并试图重定向到 SSL …

我们正在将网站从装有 Windows Server 2008 R2/IIS 7.5 的机器转移到装有 Windows Server 2012/IIS 8.0 的机器上，因为我们希望利用新的 SNI 功能。

这个网站通过 Go-Daddy 有一个 SSL，所以我们通过他们的网站重新设置这个新服务器的 SSL 并下载相应的文件，并按照他们在IIS 7.0 中找到的说明进行操作，因为他们没有任何可用的 IIS 8.0.

我们遇到的问题是，当我们尝试在 IIS 中“完成证书请求”时，它给了我们一条错误消息"Failed to Remove Certificate"- 我们不确定它正在尝试删除什么证书。

在将它们与此处找到的 Microsoft 说明进行比较时，我们注意到在导入过程中按照 Go-Daddy 的说明进行操作时，它希望您将证书导入“中间证书颁发机构”目录，然后将其放入个人证书存储区 - 但 Microsoft 的说明说要将证书导入到新的 Web 托管证书存储中。不确定这是否可能是问题的一部分...

- 更新

我们认为这可能与 GoDaddy 颁发的证书有关，因此我们从 Thawte 为不同的网站购买了一个全新的证书 - 但是我们仍然遇到“无法删除证书”的相同错误。

我的 apache conf 有点问题。当我阅读错误日志时，我可以看到以下内容：

[client xxx.xxx.xx.xx] AH01964: Connection to child 1 established (server www.mywebsite.com:443)
[client xxx.xxx.xx.xx] AH01964: Connection to child 6 established (server www.mywebsite.com:443)
[client xxx.xxx.xx.xx] AH01964: Connection to child 10 established (server www.mywebsite.com:443)
[client xxx.xxx.xx.xx] AH01964: Connection to child 15 established (server www.mywebsite.com:443)
[client xxx.xxx.xx.xx] AH01964: Connection to child 18 established (server www.mywebsite.com:443)
(70014)End of file found: [client xxx.xxx.xx.xx] AH01991: SSL input filter read failed.
(70014)End of file found: [client xxx.xxx.xx.xx] AH01991: SSL input filter read failed.
(70014)End of …

我正在尝试将我的 Apache Tomcat 服务器重新配置为仅使用 TLSv1。但是，它仍然使用某些浏览器回退到 SSLv3。

我使用以下设置设置了 <connector> 标签：

<Connector ...
       enableLookups="true" disableUploadTimeout="true"
       acceptCount="100"  maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" />

我是否缺少配置设置或存在一些我不应该存在的东西？

对于那些不知道 Suche.org 是什么的人来说，它是一个在 SSL 实验室的每个类别中都获得完美 A+ 评级的网站：（Suche.org SSL 实验室结果）。当我打开另一张关于ECC 证书在 Chrome 中不起作用的票时，我意识到了这个网站，其中一个响应者以该网站为例。

让我感到困惑的是，虽然Protocol Support报告的部分说该网站仅使用 TLSv1.2 ......

TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3   No
SSL 2   No

显然情况并非如此，因为在该Handshake Simulation部分下，它显示一些模拟的旧客户端正在使用 TLSv1.0 进行连接......

Android 4.0.4   EC 384 (SHA256)     TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA   ECDH secp521r1  FS
Android 4.1.1   EC 384 (SHA256)     TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA   ECDH secp521r1  FS
Android 4.2.2   EC 384 (SHA256)     TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA   ECDH secp521r1  FS
Android 4.3 …

我们希望购买一些 SSL 证书来保护电子商务网站的登录页面。不需要确保实际支付过程的安全，因为这由拥有自己的 verisign 证书的第三方保护。RapidSSL 看起来是一个不错（而且便宜）的选择，但一位销售人员告诉我，它们仅适用于“测试站点”，并建议我们使用 4 倍成本的选择。任何人都可以就我们应该寻找什么以及我们应该考虑什么提出任何建议吗？

谢谢。