标签: ssl

我对 Exchange Server 2010 有以下配置：

• 我有一个自签名证书，它与除 IIS 之外的所有服务（POP、SMTP 等）相关联（它与 Verisign 颁发的证书相关联，它在网络邮件上完美运行）。
• 当我访问 webmail ( https://webmail.example.org/owa ) 时，它运行良好。
• 所有 Outlook 客户端都配置为使用服务器的本地名称（如 DOMAIN.SERVER，因为它们位于同一个 LAN 上）而不是与 webmail 关联的域。

问题是：

当用户通过 Outlook 2010 连接到 Exchange Server（使用本地 LAN）时，会显示此警告（意大利语）：

翻译：它说证书是由授权提供商（在这种情况下为 VeriSign）颁发的，日期有效但名称不匹配（证书上写的名称与服务器名称不对应）。

如果我按下“显示证书”按钮（上图中的最后一个），将显示与 IIS 关联的证书：这怎么可能？我的意思是，它应该只在通过 Webmail 连接时使用。

有没有办法避免在本地 LAN 中使用 SSL 证书但仅用于网络邮件？

谢谢

更新

Exchange 2003 未显示此警告：我们使用的是相同的证书。

我在 StackExchange 和其他互联网论坛等上找到的每个示例都告诉我如何从已安装到证书存储中的证书获取指纹。或者，说明说要安装证书，然后获取指纹。

但是，我真的需要从 pfx 文件中获取指纹而不安装它。

我在 Beaglebone Black 上运行 Debian Wheezy。默认情况下，OpenSSL 是否使用硬件加密加速器？如果没有，我该如何启用它？

背景：

• aws.amazon.com/ec2 上的 Ubuntu Server 14.10 64 位
• 来自 COMODO 的廉价 PositiveSSL 服务器证书
• 1 个服务器证书、2 个中间 CA 证书和 1 个根 CA 证书作为 COMODO 的 ZIP 存档
• Citadel 的 WebCit httpsd

问题：

连接的证书链似乎是正确的，但验证失败。

openssl s_client myhost:port

显示证书链和颁发者-主体对通过链正确排列，但是：

verify error:num=19:self signed certificate in certificate chain

openssl 不接受根 CA 证书，尽管默认情况下可以在 Ubuntu 服务器信任库中找到它。

具体来说： AddTrustExternalCARoot.crt从 COMODO 收到的每封电子邮件以及 /etc/ssl/certs/AddTrust_External_Root.pem哪些链接 /usr/share/ca-certificates/mozilla/AddTrust_External_Root.crt 是相同的。

这里有什么问题？

我有一个使用 https 协议的 Web 服务器。我想创建一个自签名证书，所以我做了以下事情：

1. 发出这个命令：

   openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout mysite.key -out mysite.crt
   

   Run Code Online (Sandbox Code Playgroud)

2. 将 .crt 和 .key 文件复制到 /etc/ssl/crt 目录。

3. 修改了 /etc/apache2/sites-available/webserver.conf 这是我的 apache 和 web 服务器的配置文件。在这里，我将这 3 行添加到虚拟主机中：

   SSLEngine on
   SSLCertificateFile /etc/ssl/crt/mysite.crt
   SSLCertificateKeyFile /etc/ssl/crt/mysite.key
   

   Run Code Online (Sandbox Code Playgroud)

4. 重新启动了服务器。

在此之后，我尝试并尝试搜索将证书添加到 chrome 的方法，但所有方法要么失败，要么完全不准确（这意味着告诉我搜索不存在的选项）。这通常是因为它们是旧帖子和答案。

所以现在我已经完成了上述工作。将异常添加到在 Debian 上运行的 Chromium 的正确方法是什么（我澄清了这一点，因为一些教程显示了 Windows 命令）

我刚刚Lynx为 Windows下载并安装了它，它不支持 HTTPS 浏览今天的大多数网站，尤其是维基百科。

我是从Invisible Island下载的，我猜它是应用程序的官方网站

我还读到一些用户修改配置文件并在 Linux 中启用 SSL 来构建它。

Windows 版本在安装过程中不提供此类支持配置。

如何在 Windows 中启用 SSL 或为 Lynx 添加 HTTPS 支持？

据我了解，在 HTTP 上使用 HTTPS 的主要原因是通信是加密的，因此任何监听的人都无法查看客户端/服务器之间 HTTP 交换的纯文本。

现在，在会话开始时，客户端和服务器会根据 SSL/TLS 握手期间获得的信息同意一个主密钥。但是什么是阻止某人使用客户端/服务器同意的相同密码套件来获取密钥呢？

如果没有什么可以阻止这种情况，那么 HTTPS 实际上比 HTTP 安全得多？MITM 所需要的只是使用从握手中获取的信息自己设计密钥，并使用它来解密客户端和服务器之间的通信。

我肯定错过了什么...

我犯了将个人证书导入 Firefox 的致命错误，政府机构当然不支持，即使他们说支持。

我现在想将该证书转移到 Windows 证书存储区，但这也不行：

我转到 Firefor 中的证书并单击“备份”按钮以导出 .p12。这很顺利。

但是当我右键单击生成的文件并选择“安装 PFX”选项时，Windows 不断抱怨我输入了错误的证书密码。

好吧，我没有：我已经导出了三次证书，一次甚至没有指定密码，但 Windows 总是拒绝证书导入，指出我输入的密码不正确。

关于如何将该证书移动到 Windows 商店的任何提示？

我分别运行了这两个命令：

openssl dhparam -dsaparam -out ./certs/dhparam.pem 4096

openssl req -x509 -nodes \
   -days 965 -newkey rsa:2048 \
   -keyout ./certs/nginx-selfsigned.key -out ./certs/nginx-selfsigned.crt

我将它们复制到我的 NGINX 服务器，当我启动 NGINX 时，我得到：

2019/06/12 01:33:47 [warn] 1#1: "ssl_stapling" ignored, issuer certificate not found for certificate

Run Code Online (Sandbox Code Playgroud)

“/etc/ssl/certs/nginx-selfsigned.crt”nginx：[警告]“ssl_stapling”被忽略，未找到证书“/etc/ssl/certs/nginx-selfsigned.crt”的颁发者证书

有谁知道那是关于什么的？我不明白如何避免这种情况？

我正在尝试为服务器创建一个 SSL 证书，该证书将在内部工作而不会在 Chrome 中发出警告。我已经使用 SAN 创建了它，其中包含多个主题替代名称 localhost 和 IP 地址。出于某种原因，它在 localhost 上工作，但在curlChrome 和 Chrome 中使用 IP 地址时都会出错。

$ curl https://192.168.1.50 
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.

$ curl https://localhost
<a href="https://localhost:9090/">Moved Permanently</a>.

在命令行上检查它会显示 SAN 部分下的两个名称，所以我不确定为什么这不起作用：

$ openssl x509 -text -noout -in server.crt 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            8d:93:a1:be:d1:03:8f:59
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=California, L=Los Angeles, O=Alt Systems, OU=Internal, CN=Elliott/emailAddress=xxxxxx
        Validity
            Not Before: Nov …