我们收到 pfSense 中两个 CA 即将过期的通知 - 如下所示以黄色显示:
这些都是:
Acmecert: O=(STAGING) Internet Security Research Group, CN=(STAGING) Pretend Pear X1, C=USAcmecert: O=Internet Security Research Group, CN=ISRG Root X1, C=US我最近在 Netgate 论坛上发现了一个帖子X1,看起来非常相似。它讨论了CA,而我们即将到期的两个 CA 也是X1。
这些 CA没有“续订”按钮。
删除这两个 CA 安全吗?
之后我们如何测试它没有引起任何问题?
我们每天都会收到通知:
我已经建立了一个网站并使用 certbot 创建了 SSL 证书。
在我尝试过的每个系统上,除了手机上的 Chrome 之外,页面都可以正常加载。
在 Chrome 中,在手机(Android)上,我收到 NET::ERR_CERT_AUTHORITY_INVALID
在手机上的 FF 中加载正常。在平板电脑上的 Chrome 或 FF 中加载正常。在笔记本电脑和/或台式机上的 Chrome 或 FF 中加载正常。
Chrome 运行不顺畅,是怎么回事?
当我尝试登录我的邮件客户端时,收到以下信息:
This certificate belongs to:
mail.ssk.pm
This certificate was issued by:
R3
Let's Encrypt
US
This certificate is valid
from Thu, 21 Mar 2024 18:03:06 UTC
to Wed, 19 Jun 2024 18:03:05 UTC
SHA1 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523 9306 DE4A
SHA256 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523
9306 DE4A87A9 CAC5 AAD1 6E8A 8796 9232 D4B6 4EAB 97EF ECEF 437D 1BFC 4369 96AE 6FF4 C503
WARNING: Server certificate has expired
但是当我执行 certbox --nginx renew 时我得到了这个:
certbot --nginx renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/mail.ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificates are not due for renewal yet:
/etc/letsencrypt/live/mail.ssk.pm/fullchain.pem expires on 2024-08-19 (skipped)
/etc/letsencrypt/live/ssk.pm/fullchain.pem expires on 2024-08-18 (skipped)
No renewals were attempted.
我这里遗漏了什么吗?
什么是主题名称/主题备用名称以及它们之间有何不同?
特别是“主题名称”选项卡下方的模板。除了在注册证书时将信息放入主题选项卡中的额外步骤之外,这对正常证书请求有何变化。
主题名称 (SN)/主题备用名称 (SAN) 在 Microsoft 公钥基础设施 (PKI) 中的作用是什么?如何使用 SAN,以及哪些场景可以从将其包含在证书中受益?
我找到了这篇文章,这是我用来生成 CA 证书的内容:
openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem
我将其命名为“MyCert”
我用它来签署为本地主机生成的证书(它是 ChatGPT 的输出)
$ openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr
$ openssl x509 -req -in localhost.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256
我已将 CA 证书添加到系统中(我使用 Fedora):
sudo cp myCA.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract
我重新启动了服务器,当访问时https://localhost
得到这个错误:
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: localhost
Issuer: MyCert
我做错了什么?我使用 CA 证书的默认字段:
CN = MyCert
O = Default Company Ltd
L = Default City
C = pl
本地主机证书具有这些字段:
CN = localhost
C = pl
如何在 Fedora 上正确创建 CA 证书并为 Apache 签署证书?
我试图了解当涉及 CDN 时,TLS 如何在客户端和源之间终止。
我认为当客户端直接连接到源时,这非常简单,可以为与源服务器关联的任意数量的证书/SAN 成员建立握手。
但如果我需要 CDN 怎么办?如果不上传相同的源证书并将其配置为从 CDN 呈现,是否无法在我的源之前使用第 3 方 CDN?
我知道不同的 CDN 处理事情的方式不同。例如,Google CDN 似乎能够通过应用于上游 GCP LB 的证书来正确终止 TLS。这是不是只有 GCDN 才能做到的特殊事情,因为它们与 GCP 紧密集成?
理想情况下,我希望能够在自己的来源托管自己的证书,并且只需将 CDN 通过 TCP 直接发送到来源,以便客户端和来源服务器可以通过零额外配置进行端到端认证和加密在 CDN 上,而 CDN 仍然负责缓存部分。但听起来这似乎是不可能的?
client => cdn => origin(cert)
以下是在https://www.ssllabs.com/ssltest/index.html上测试 SSL 的结果
看起来我们有两张证书。我读得对吗?使用该证书的 SSL 服务 (CloudFlare.com) 是否指向特定证书?
首先,我在谷歌上搜索了 openssl,比如这个,并且还尝试了数十次创建有效的自签名证书。
但我想询问服务器故障会快得多。
我的平台是一台安装了 openssl 3.2.0 精简版的 Windows 10 计算机。基础设施没有域存在,只是一个测试环境。
目标是为Windows主机和Windows远程管理https协议创建一个自签名证书以供使用,我确实知道Windows powershell“New-SelfSignedCertificate”可以直接解决我的需求,但这不是我想要的。
Openssl 是我需要的工具。我想使用 openssl 生成一个自签名证书(从 0 开始),与“New-SelfSignedCertificate”可以生成的证书相同。
我在导入证书(从 openssl 生成)后配置“winrm”时遇到问题。错误消息是:
settings Error number: -2144108306 0x803380EE
The WinRM client cannot process the request.
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication".
Retry the request with a certificate that has the correct EKU.
这是我用来创建自签名证书的命令:
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem
#生成证书签名请求(CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"
#生成自签名证书
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt
#将私钥和证书合并到PKCS#12文件中(PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd
执行上面列出的命令行时,它们都没有错误消息,但是,“keyUsage”和“extendedKeyUsage”永远无法插入,并且这些扩展永远不会出现在证书中。当尝试使用 https 配置 winrm 以使用此证书时,结果是错误消息,如上所示。
我想逐一解决问题。
任何人都可以提供一些关于如何使用 openssl 3 处理证书扩展的提示吗?
我有包含以下文件的 SSL 证书,但没有私钥,因为 CSR 使用此密钥生成:
根.crt、服务器.crt、中间.crt
我想在我的 Ubuntu 23.04 apache2 服务器虚拟机之一上使用此证书。
需要您的逐步指导。
谢谢
我以两种方式使用 letsencrypt:一种使用 certbot 的 docker 堆栈,另一种使用 traefik(使用 lego 自动执行证书管理)。在这两种情况下,都有一个注册电子邮件地址的设置。
该电子邮件地址是存储在证书中还是其他地方?任何人(letsencypt 除外)都可以发现该电子邮件地址吗?