解决方案

我使用Bruno的帖子来找到解决方案,但觉得它需要更具体,所以这显然是我所做的.

1. 将cacert.pem下载到我的〜/ .ssh目录中(我不知道这是不是应该去的地方,但我看到有人在尝试寻找解决方案时做了类似的事情,所以这就是我把它放在哪里).
2. 为安装设置env var CURL_CA_BUNDLE.这实际上是失败建议的网站上的第4号解决方案.我只是误解了他们的意思(一个简单的例子可能让我节省了数小时的困惑).无论如何,您需要指定.pem文件的完整路径,然后您可以像这样安装然后安装它!$ CURL_CA_BUNDLE=~/.ssh/cacert.pem ruby -e "$(curl -fsSL https://raw.github.com/gist/323731)"

原始问题

我该怎么做

1. 安装自制软件,或者
2. 使用SSL安装curl以便我可以安装自制软件？

我在Mac OSX Leopard上.

我正在尝试安装自制软件,但是我收到以下错误:

$ ruby -e "$(curl -fsSL https://raw.github.com/gist/323731)"
==> This script will install:
/usr/local/bin/brew
/usr/local/Library/Formula/...
/usr/local/Library/Homebrew/...
==> The following directories will be made group writable:
/usr/local/bin
/usr/local/lib
/usr/local/lib/pkgconfig
/usr/local/share/man/man1
/usr/local/share/man/man3

Press enter to continue
==> /usr/bin/sudo /bin/chmod g+w /usr/local/bin /usr/local/lib /usr/local/lib/pkgconfig /usr/local/share/man/man1 /usr/local/share/man/man3
==> Downloading and Installing Homebrew...
curl: (60) SSL certificate problem, …

我需要创建两个自签名证书颁发机构（属于不同的人），然后对它们进行交叉签名，这样发出的证书就会受到双方的信任。

但是，令人惊讶的是，我找不到有关如何使用 OpenSSL 执行此操作的任何文档。

互联网上有几个（已经死了）解释交叉签名的脚本，但我也无法挖掘它们。

那么，这里有人有 OpenSSL CA 经验吗？:)

1.问:
请问HTTP公钥钉扎(HPKP) 真正提高安全性？
MITM(例如NSA)可以拦截对服务器的第一个请求,并使用由受损 CA 签名的"伪造"证书进行响应.
因此,如果与服务器的初始连接未被篡改,HPKP仅提高安全性,并且如果您100%确定,则最初连接到正确的服务器.
正确？

2.问题:
该Public-Key-Pins头需要包括两个不同的证书中的至少两个散列,一个用作"备份"证明.
这是否意味着我必须从两个不同的CA购买两个不同的证书？
那将是相当昂贵的.如果您购买一个CA,CA是否应该为您提供相同域的两个证书？
安全不应该付出代价,每个人都应该能够建立安全的服务.

我在Java中有一个X509Certificate(版本1)实例,我需要确定它是CA证书还是用户证书.

我试过这个如何检查X509Certificate是否是CA证书？,但通过提供的解决方案,我可以区分具有certificateExtension的证书(通过利用getBasicConstraints()方法并检查keyUsage中的keyCertSign标志,即V3证书将具有v1或v2不具有的扩展字段)

if (x509Cert != null) {
    isCA = x509Cert.getBasicConstraints() != -1 ? true : false;
}

但是我在X509Certificate实例中没有几个没有certificateExtension字段的证书(因为它们是V1版本证书),所以我将isCA标记为false.此外,我尝试解码在线ssl解码器,如https://certlogik.com/decoder/证书,我可以区分证书类型!

以编程方式查找没有certificateExtension的证书类型的任何其他方法？

样本CA证书:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

It's X509
[
[
  Version: V1
  Subject: CN=GTE CyberTrust Global Root, OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US
  Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4

  Key:  Sun RSA public key, 1024 bits
  modulus: 104674226241368487598835828377585222181792546532354327780214427055917513664449991602803276678454577364904540367827644455215731003386468752240014232146814457308076052176227490263634768927290191763858631579785604655038492469791381988347440106477066514204303723029602991655085187937840556671697442212352844587673
  public exponent: 65537
  Validity: [From: Thu …

我使用OpenSSL创建了一个CA，并用它来为我的本地主机签名证书，并在我的本地主机Preview-localhost上创建辅助DNS条目。我已将CA证书安装到计算机上的“受信任的根证书”中，并将本地主机证书添加到IIS。当查看签名的本地主机证书时，会看到以下错误：

已安装的CA证书表示该证书适用于其查看器上的所有发行和应用程序策略。我已经包括了来自OpenSSL的两个证书的输出。我已经用<description text>替换了所有敏感（以及一些不敏感的信息）。

CA证书

Certificate:
Data:
    Version: 3 (0x2)
    Serial Number:
        <Serial Number
Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=<Country>, ST=<State>, L=<Ventura>, O=<MyOrganization>,
OU=<Some Authority>, CN=<SomeAuthority>/emailAddress=<email address>
    Validity
        Not Before: Apr 27 16:17:41 2015 GMT
        Not After : Apr 24 16:17:41 2025 GMT
    Subject: C=<Country>, ST=<State>, L=<Ventura>, O=<MyOrganization>,
OU=<Some Authority>, CN=<SomeAuthority>/emailAddress=<email address>
    Subject Public Key Info:
        Public Key Algorithm: rsaEncryption
            Public-Key: (2048 bit)
            Modulus:
                <Modulus>
            Exponent: <Exponent>
    X509v3 extensions:
        X509v3 Subject Key Identifier:
            <Subject Key Identifier>
        X509v3 Authority Key Identifier:
            keyid:<keyid>
        X509v3 …

我一直在拼命尝试让我的MQTT客户端连接到使用来自CA的证书设置的MQTT代理。（Letsencrypt：https ://pypi.python.org/pypi/letsencrypt/0.4.1 ）我对我的https站点使用了相同的证书，这似乎很好用。我不确定是否可以保持任何连接。

我已使用本指南为代理设置证书（http://mosquitto.org/2015/12/using-lets-encrypt-certificates-with-mosquitto/）

代理v1.4.8可以在以下配置下正常工作：

cafile chain.pem
certfile cert.pem
keyfile privkey.pem

[ ok ] mosquitto is running.

尝试使用调试消息连接到此代理的客户端会产生：

Client mosqsub/42074-titan sending CONNECT

在我的经纪人方面，我收到以下错误消息：

1457358950: New connection from NOT.TELLING.YOU.OBVIOUSLY on port 8883.
1457358950: OpenSSL Error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
1457358950: Socket error on client <unknown>, disconnecting.

我在高空搜寻了一个解决方案，可悲的是几乎没有。

任何帮助将不胜感激！谢谢！

我使用java编写CA模块来创建和签署证书.当我运行我的代码时,错误"主题类类型无效".出现了,但在目标文件夹中我可以得到两个文件:rooca.crt和rootca.pfx.证书包含我设置的信息.也许代码是结果是正确的,但我仍然想修复错误.

例外的细节:

java.security.cert.CertificateException: Subject class type invalid.
at sun.security.x509.X509CertInfo.setSubject(Unknown Source)
at sun.security.x509.X509CertInfo.set(Unknown Source)
at com.koal.Test.createIssueCert(Test.java:124)
at com.koal.Test.main(Test.java:353)

我的部分代码: 在此处输入代码

当尝试使用该gs_read()功能导入谷歌工作表时,我收到以下错误消息:

curl :: curl_fetch_memory(url,handle = handle)出错:无法使用给定的CA证书对对等证书进行身份验证

我正在关注这个插图并在使用代码时收到错误:

oceania <- gap %>%  gs_read(ws = "Oceania")

我发现了Ubuntu和php的类似问题,但没有任何能够帮助我的东西.

有谁知道我为什么会收到此错误以及如何修复它？

我使用的是R 3.3.2和Windows 7.

几天以来，我在 docker 镜像构建期间安装 R 包时遇到了问题：

> install.packages("devtools", repos = "https://mran.microsoft.com/snapshot/2018-10-25")\nInstalling package into \xe2\x80\x98/usr/local/lib/R/site-library\xe2\x80\x99\n(as \xe2\x80\x98lib\xe2\x80\x99 is unspecified)\nWarning: unable to access index for repository https://mran.microsoft.com/snapshot/2018-10-25/src/contrib:\n  cannot open URL \'https://mran.microsoft.com/snapshot/2018-10-25/src/contrib/PACKAGES\'\n>\n>\nWarning message:\npackage \xe2\x80\x98devtools\xe2\x80\x99 is not available (for R version 3.4.4)\n

这是我的Dockerfile：

FROM rocker/rstudio-stable:3.4.4\n\nMAINTAINER Tazovsky\n\n# system libraries of general use\nRUN apt-get update && apt-get install -y \\\n    sudo \\\n    pandoc \\\n    pandoc-citeproc \\\n    pkg-config \\\n    libnlopt-dev \\\n    libcurl4-gnutls-dev \\\n    libcairo2-dev \\\n    libxt-dev \\\n    libgsl-dev \\\n    libssl-dev \\\n    libssh2-1-dev \\\n    libssl1.0.0 …

我想创建模拟 CA 并设置 QCStatements 扩展，但我找不到有关使用 OpenSSL 设置它的任何信息。我正在寻找我发现一些旧主题，人们在那里寻找这些信息，但没有人回答。是否可以使用 openSSL 设置 QCStatements？