标签: ssl

我注意到很多指南都说在 Web 服务器上设置 SSL 时应该禁用 SSL v2 支持。

我无法理解原因。有人能告诉我为什么吗？

我一整天都在努力让这个工作，我有一种强烈的感觉，我的问题是优胜美地特有的。我在 Retina Macbook Pro 上运行 OS X 10.10.3。

我从http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/获取说明

但是虽然这确实解决了 Safari 引发的错误，但它并没有解决 chrome 中的问题。我可以“无论如何继续”，但红色划掉的锁不会消失。我想在一个 web 应用程序中实现一个特别需要在 Chrome 中支持 SSL 的功能，但由于这个问题，我无法在本地测试它。

有谁知道为什么会这样？或者，如果甚至不可能做到这一点？

我对一个网站的 SSL 证书有一个奇怪的问题，它只影响一个 计算机 Windows 7 操作系统。该站点在其他 Win 7 计算机上运行良好，没有错误，提取有效证书。我不拥有或管理该网站，但由于该网站在所有其他计算机上都能完美运行，我怀疑这是该网站的问题。“问题计算机”是一台 Win 7 机器，每个 Win 7 用户和每个浏览器（或至少 IE10、Chrome 和 Firefox）都会发生错误。 我应该补充一点，当我从 USB 密钥启动这台“有问题的计算机”到 Ubuntu 时，会提取一个有效的证书。

该域有私人和公共用户，所以我宁愿不在这里使用真正的域。相反，我将使用 Microsoft 的一个假域 ( contoso.com) 来说明问题。该证书似乎适用于*.contoso.com，但仅在我尝试访问https://a.contoso.com. 当我访问时https://b.contoso.com，我得到一个不同的有效证书，该证书也适用于*.contoso.com.

编辑：从原始帖子中删除了证书错误的浏览器/Win 7 图像，以支持下面的 openssl 输出。

自证书于 2014 年 12 月 10 日到期以来，这一直是一个问题。我尝试进入 certmgr.msc > 受信任的根证书颁发机构 > 证书并删除当前用户和计算机帐户的所有 GeoTrust 证书。重新启动后出现了一个新的 GeoTrust Global CA 证书，但这并没有解决问题。同样，无论使用何种浏览器，此问题仅影响一台计算机上的所有用户。此外，如果他们登录到另一台计算机，它不会影响那些相同的域用户。

以下是我尝试过的其他一些解决方案：

• 重新启动（当然）。
• 使用 inetcpl.cpl > Content 中的清除 SSL 状态按钮
• 使用这台“问题计算机”从几个不同的公共 WiFi 网络访问该站点。
• 使用certutil …

我有一个服务器设置，其中包含由主要证书提供商 (DigiCert) 颁发的 HTTPS 证书。该证书可被运行 Windows Server 2008 R2 的计算机上的所有浏览器识别，包括 Internet Explorer、Chrome 和 Firefox。

但是，该证书在 Cygwin 中不被认可。例如，当我尝试从此服务器克隆 git URL 时出现此错误：

error: SSL certificate problem: unable to get local issuer certificate while accessing [URL] fatal: HTTP request failed

我尝试过的 Cygwin 中的其他工具给出了相同的错误，例如 curl：

curl: (60) SSL certificate problem: unable to get local issuer certificate

Digicert 有我需要的确切证书。我的理想解决方案是更新 Cygwin 使用的证书包或手动安装所需的证书。Cygwin 似乎有一个与 Windows 不同的证书存储区。我怎样才能做到这一点？

注意：我不想简单地忽略错误，因为许多用户使用这台机器并且需要访问同一台服务器，所以每次都忽略是没有意义的。

我在局域网内使用我自己的证书提供网页，由我自己的 CA 签名。Chrome 警告连接不受以下详细信息的信任：

我正在尝试通过各种方式添加inthemoon-ca，Trusted Root Certification Authorities并且过程顺利，但对网页没有最终影响：它仍然被报告为不受信任。

怎么修？

更新

Chrome 版本为 51.0.2704.103 m（64 位）

我删除了（根）证书，然后重新运行update-ca-certificates：

$ sudo rm /usr/local/share/ca-certificates/mine.root-ca.crt
ls -l /usr/local/share/ca-certificates/
total 4
-rw-r--r-- 1 root root 1838 Feb 16  2017 something-else.crt
$ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs...
0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

但：

$ ls -l /etc/ssl/certs/mine.root-ca.pem
lrwxrwxrwx 1 root root 53 Jun  4 07:22 /etc/ssl/certs/mine.root-ca.pem -> /usr/local/share/ca-certificates/mine.root-ca.crt

但是那个文件 ( /usr/local/share/ca-certificates/mine.root-ca.crt) 已经不存在了。

实际上，这0 added, 0 removed; done.是可疑的：它应该说1 removed。

证书验证不再适用于相关域（正如预期的那样），但是这两个事实让我很恼火：

• 挥之不去的链接
• update-ca-certificates似乎没有做任何事情的事实

我在：

$ lsb_release -a
No LSB modules …

我正在尝试通过 Windows Server 2012 R2 上的 IIS 6.2 配置测试 FTP 站点

我创建了一个站点并配置了 FTP SSL 设置。我选择了我的证书并选择了自定义。

如果我没有设置，我可以正确连接，但是配置此配置后，我会遇到以下错误

Response:  220 Microsoft FTP Service
Command:   AUTH TLS
Response:  534 Local policy on server does not allow TLS secure connections.
Command:   AUTH SSL
Response:  534 Local policy on server does not allow TLS secure connections.

我想知道这是由于服务器还是我的 IIS 配置造成的。

任何帮助将不胜感激。

这个问题是本质上相同的问题的延续，该问题因在 Stack Overflow 上“偏离主题”而被关闭。OP的问题：

我只是想将域添加test.example.com到已经存在的证书中example.com。如何将域添加到我现有的证书并替换旧证书？

我有一个通配符 SSL 证书，它为*.mysite.com. 该网站可以从所有浏览器访问，没有任何问题。还有一个服务（在不同的服务器上）的 URL: service.mysite.com。奇怪的是，当我service.mysite.com使用 curl访问时，我得到了这个：

curl: (60) SSL certificate problem: certificate has expired

在进一步挖掘时，我发现我确实可以service.mysite.com从 Ubuntu 18.04 服务器访问，但不能从 Ubuntu 14.04 访问。这告诉我，也许我的 CA 包不正常。

所以我这样做了：

curl -vv --cacert mysite.ca-bundle.crt https://service.mysite.com

mysite.ca-bundle.crt是我从 SSL 提供商那里收到的。但我仍然得到完全相同的错误。我错过了什么？

当远程服务器需要客户端证书进行身份验证时，浏览器会弹出一个对话框以从中选择证书：

它只显示证书的子集，我想知道它根据哪些标准获取它们，例如，我希望这些证书必须具有关联的私钥来证明客户端的所有权。但 Chrome 证书管理器拥有的证书比弹出窗口中显示的证书多得多，其中一些证书具有关联的私钥。浏览器也有自己的独立存储，因为我注意到一些证书需要导入到浏览器存储中，尽管浏览器存储中的证书与 Windows 上的证书相同。