我一直得到UNABLE_TO_VERIFY_LEAF_SIGNATURE
当我设置rejectUnauthorized:false时,它连接并发出请求.然后它发回正确的数据.
我正在使用Node的https请求功能.
我的CA在我的选项对象中设置如下:
ca: [fs.readFileSync('path/to/ca.pem')]
我知道Node .10.10的更新,它不接受自签名证书.有没有强制它接受我已经定义的ca而没有设置rejectUnauthorized或导出NODE_TLS_REJECT_UNAUTHORIZED ="0"(第二个选项甚至都没有工作).
我一直在研究如何为Intranet设置私有证书颁发机构,我读到的其中一个工具是tinyca.根据谷歌和维基百科的官方网站是http://www.sm-zone.net/.这个网站似乎已经完成,而且不仅仅是我(http://downforeveryoneorjustme.com/www.sm-zone.net).该网站最近搬了吗?或者该项目还有其他事情吗?
是否有其他简单的工具可用于创建人们推荐的私有CA?
谢谢.
我们正在使用现有的CA进行freeipa安装。在安装过程中,将生成CSR,并且必须由CA签名以创建证书。该证书必须具有
X509v3基本约束:CA:TRUE
我已经研究了大约一个小时,现在我不知所措。通常,我这样签署CSR
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem
这可行,但是CA:TRUE不存在。我尝试这样做:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem
它产生的功能与原始功能相同。
我可以看到生成的密钥从我的openssl.cnf中提取信息,但是它忽略了下面的extensions语句。
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
是否有人对我需要做什么或可以提供哪些其他信息有任何想法?谢谢!
旁注:我没有gui或gui工具,这些都来自命令行。CSR是由IPA软件生成的,我不是手动创建它。
这是IPA的说明:
为身份管理服务器生成的CA签名证书必须是有效的CA证书。这要求将“基本约束”设置为CA = true,或者在签名证书上设置“密钥用法扩展”以允许它对证书进行签名。
我使用下面的server.c源码,我生成了
sinful-host-cert.pem sinful-host.key
如下所述:椭圆曲线CA指南
运行程序时会出现以下错误:
140722397161136:错误:10071065:椭圆曲线例程:func(113):reason(101):ec_lib.c:995:140722397161136:错误:0B080075:x509证书例程:func(128):reason(117):x509_cmp.c: 346:
我编译使用:
gcc server.c -ldl -lcrypto -lssl -o Server
我认为错误发生在这一行
if (SSL_CTX_use_PrivateKey_file(ctx, KeyFile, SSL_FILETYPE_PEM) <= 0)
#include <errno.h>
#include <unistd.h>
#include <malloc.h>
#include <string.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <resolv.h>
#include "openssl/ssl.h"
#include "openssl/err.h"
#define FAIL -1
int OpenListener(int port)
{ int sd;
struct sockaddr_in addr;
sd = socket(PF_INET, SOCK_STREAM, 0);
bzero(&addr, sizeof(addr));
inet_aton("10.8.0.26", &addr.sin_addr);
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
//addr.sin_addr.s_addr = INADDR_ANY;
if ( bind(sd, (struct …我正在使用JMeter测试对自定义服务器的HTTPS请求,但是自定义服务器返回的证书不受信任(因为这是开发服务器)。因此,请求失败,因为它需要签名/验证的CA证书。
有没有办法像curl一样关闭Jmeter的证书验证(-k选项)?
在我的 Github 企业上,当我使用密钥安装 SSL 证书时,它会显示一条错误消息:
“Github ssl cert 该证书未由受信任的证书颁发机构 (CA) 签名,或者证书链缺少中间 CA 签名证书。”
我从我们的认证机构团队获得了 4 份证书。
在我的 Github 企业管理控制台上,它需要 2 个条目
我已经通过连接 CA 证书单独尝试了 github.pem 密钥和不同的组合,但它总是失败并出现相同的错误。
是否有连接证书的模式?
有什么线索可以解决这个问题吗?
提前致谢。
我已经使用 docker-for-desktop 安装了 Kubernetes。现在我想创建一个用户(遵循 RBAC 原则)。我正在使用私有证书,并希望针对ca.crt集群的 sigh。
对于 minikube,这ca.crt是在,.minikube/ca.crt但我在使用 docker的安装中找不到它?
当购买数字证书时,它会通过递归地遵循以根 CA 的证书结束的“颁发者”权威链来进行验证。
对一些销售证书的公司网站的检查显示,他们的证书实际上是由同一家公司的中间 CA 颁发的。叶证书和(可免费下载的)中间证书必须都安装在 Web 服务器上才能正常工作。
各种文档解释了当中间 CA 与根 CA 是不同公司时此设置如何工作。但在这里他们是同一家公司的。
有谁知道 CA 会从中间 CA 而不是自己的根 CA 颁发证书的一些关键原因?我认为这种情况有助于多种管理方案(例如,中间证书可以设置为在根证书之前过期),但在某种程度上我在这里猜测。
谢谢
我正在尝试使用 pfx/p12 文件获取别名
keytool -v -list -storetype pkcs12 -keystore servercert.p12 -storepass 1234
这给了我
Keystore type: PKCS12
Keystore provider: SunJSSE
Your keystore contains 1 entry
Alias name: 1
Creation date: Jul 4, 2017
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=CSIT CA, O="CSIT CA,Ltd.", L=Dhaka, ST=Dhaka, C=BD
Issuer: EMAILADDRESS=csit@csit.com, CN=CSIT CA, OU=Software Department, O=CSIT CA, L=Dhaka, ST=Dhaka, C=BD
Serial number: 1
Valid from: Tue Jul 04 15:41:40 BDT 2017 until: Mon Mar 30 15:41:40 BDT 2020
Certificate fingerprints:
MD5: …我想安装使用 HttpCanary 所需的 CA 证书,但我的手机说我无法在应用程序中安装,我也不知道我安装的 CA 文件在哪里。所以需要root才能解决这个问题。有没有什么办法可以不用root安装呢?谢谢您的回答,抱歉英语可能不好。
ca ×10
ssl ×5
java ×2
openssl ×2
android ×1
bouncycastle ×1
c ×1
certificate ×1
docker ×1
http ×1
javascript ×1
jmeter ×1
keystore ×1
kubernetes ×1
node.js ×1
root ×1