标签: ssl

有没有办法自动为客户端安装/应用根 CA？以便他们在访问本地网站时不会收到任何不受信任的证书警告？

我配置了一个本地 DNS 并将其添加到我的路由器中。如果可能，我是否可以在路由器中安装根 CA 并且这也会影响连接的客户端？

我遵循How To: DER vs CRT vs CER vs PEM Certificates and How to Convert Them，想了解如何设置 SSL，但我找不到很好的参考。

在我的服务器上，我支付了证书，而不是自签名证书，我想在我的 apache2 服务器中启用 SSL；内000-default.conf，我需要插入.cer文件路径：

SSLCertificateFile     /ets/ssl/example.pl.crt
SSLCertificateKeyFile  /etc/ssl/example.key

据我了解，.der是一个加密.cer文件；我应该将 a 转换.der为.cer，还是我的想法错了？

这个问题与以下内容相关：Homebrew在家庭网络上给出SSL错误（SSL_ERROR_SYSCALL）

正如 Alexander Ekdahl 在评论中指出的那样，添加 --ciphers ECDHE-RSA-AES128-GCM-SHA256 可以解决上述问题。

我不确定为什么在没有指定密码的情况下，curl 无法在我的家庭网络上运行。无论如何，为了解决这个问题，有没有办法让我指定curl每次发出请求时都应使用此选项，而不必每次都手动添加密码选项？

我有一个 .pem 文件，其中包含我的证书和加密的私钥，即：

Bag Attributes
....
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
Bag Attributes
....
-----BEGIN ENCRYPTED PRIVATE KEY-----
....
-----END ENCRYPTED PRIVATE KEY-----

我需要一个包含证书和解密私钥的 .pem 文件。如何在 linux 上实现这一点，最好使用 openssl 应用程序？

我试图用sudo dpkg-reconfigure ca-certificates命令安装自签名 SSL 证书，但在它完成之前，我的计算机由于电源故障而被重置。

现在，当我运行sudo dpkg-reconfigure ca-certificates命令时，出现以下错误：

sudo dpkg-reconfigure ca-certificates
/usr/sbin/dpkg-reconfigure: ca-certificates is broken or not fully installed

当我尝试时sudo update-ca-certificates，出现以下错误：

sudo update-ca-certificates
Updating certificates in /etc/ssl/certs...
Unknown regexp modifier "/b" at /usr/bin/c_rehash line 15, at end of line
Unknown regexp modifier "/W" at /usr/bin/c_rehash line 26, at end of line
Unknown regexp modifier "/3" at /usr/bin/c_rehash line 26, at end of line
Unknown regexp modifier "/2" at /usr/bin/c_rehash line 26, at end of …

我最近使用efitools'keytool.efi从我的 UEFI 固件中保存 EFI 安全启动密钥。我现在有一些.esl包含 EFI 签名列表的文件，但它们是二进制文件，我想以可读格式查看内容。

显然，这些签名通常以 X.509 证书开始，然后转换为.esl使用诸如cert-to-efi-sig-list; 有没有办法倒退？

我正在尝试根据Google 的这些说明在 Chrome 中安装客户端证书。该证书用于 VPN 并使用 RSA 加密，符合该文档中的一个限定符（仅限 RSA）。它是由easy-rsa在 OpenVPN 网络上使用生成的，并且在一年的大部分时间里使用第三方软件（“OpenVPN 连接”）运行良好，但最近这神秘地开始导致 DNS 问题，¹所以我现在正在尝试而是内置 Chrome。

但是，当我chrome://settings/certificates尝试导入客户端证书（已在“权限”下安装的 CA 证书）时，我被告知“此客户端证书的私钥丢失或无效”。密钥位于同一目录中具有相同基名和扩展名的单独文件中.key，但不在 Chrome 文件选择器中。

我尝试将密钥（它和证书都在 PEM 中）附​​加到证书，这没有区别。

1. 注意 VPN没有用于互联网隧道，即，我的默认路由仍然通过本地 wifi 路由器。VPN 路由仅用于该私有子网上的其他节点。服务器和客户端配置都不会推送与 DNS 相关的任何设置。但这与我的问题并不是很相关。

我是一名网络开发人员，我使用 Ubuntu 18.04。我的设置是 nginx、php-fpm、mysql。我有多个站点在我的机器上运行，例如 site1.local、site2.local。

我按照此说明将我的本地站点配置为使用 SSL：https : //www.digitalocean.com/community/tutorials/how-to-create-a-self-signed-ssl-certificate-for-nginx-in-ubuntu -18-04。

我设法成功配置它。但我的问题是当我在谷歌浏览器中访问https://site1.local时，我看到一条警告消息“您的连接不是私密的”：

而且我必须手动单击“高级”和“继续到 site1.local（不安全）”。

我的目标是删除此警告消息并立即查看我的网站而没有此警告。

我已经启用了我的 chrome 以允许从本地主机加载的资源的无效证书，方法是转到这里 chrome://flags/#allow-insecure-localhost

我现在该怎么办？

我有 ssl 证书和 ssl 密钥，是否可以查看其过期时间？

例如。ssl 密钥：

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

ssl证书（省略）

因为我有时在 macos 钥匙串中知道站点的证书有到期时间。如果我只知道ssl key和ssl cert数据，我是否可以得到到期时间？

有什么方法可以在没有公共证书的情况下配置 Nginx 吗？

这里的目标是，我想在公共互联网上发布 API，但所有 API 客户端（白名单客户端）都应该在其应用程序中 SSL 固定公共证书，而不是根据请求获取临时证书。所以我们不需要nginx来发布公共证书。

我知道公共证书公开共享是无害的，但这个特殊的要求来自我们的企业客户。他们甚至询问我们是否可以在 nginx 中放入无效的公共证书...因此，当没有真正公共证书的“攻击者”会将 API 视为错误时，而真正的 ssl 固定客户端将能够使用API 正常。