我有一个很久以前分发的应用程序。该应用程序通过客户端证书身份验证向客户端提供 https 接口。到应用程序发布时,提供 1024 位密钥长度证书可能就可以了。尽管我们总是向客户宣传使用他们自己的 PKI 更新默认证书,但他们中的大多数人只是使用默认证书,所以我有成千上万的实例像这样运行。现在我需要编写一个客户端(在 python 中)来查询该应用程序。该客户端将在更现代的 linux 发行版上运行,其中库和客户端应用程序是针对 openssl 1.1.1a 编译的。因此,在尝试使用弱默认客户端证书访问 https 接口时,我总是收到以下错误:OpenSSL 错误:
140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
在较旧的发行版(使用较旧的 openssl)上运行相同的代码或使用针对 gnutls 编译的应用程序都可以。
几个问题:
我正在建立一个基于 exim4 的邮件系统。该系统实现了 DKIM 签名和检查(除其他外)。签名似乎没有问题,但检查不起作用,exim4 抱怨我携带我的 dkim 公钥的 TXT 记录的语法:
2014-02-02 22:37:31 1WA5fP-0004Y4-E2 DKIM: d=middle.earth s=a9d04665528b593d263a6e5256648c99 c=relaxed/relaxed a=rsa-sha256 [invalid - syntax error in public key record]
我正在使用 2048 位长的 RSA 密钥在邮件中继级别签署我的邮件(这工作正常,我确实在通过此服务器中继的邮件中有 DKIM 标头)。问题似乎在于绑定(该区域的我的 DNS 服务器)不支持区域文件中长度超过 255 个字符的记录。所以我选择了拆分记录,如下图所示,正如非常值得信赖的网站 zytrax.com 中所述:
...
a9d04665528b593d263a6e5256648c99._domainkey IN 1800 TXT ("k=rsa,p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAz2/ZfhxSI/A"
"bqgh0amM8ylrlosirWeKShUhq7fg12aYmRwOqq9hIzO0Fcz1BzfgHVu6HU++rC5"
"QoUK0JQK/nk4jwkDgvG2di2ZYmAvEbY/VeiK1x/TG0p1Iczr2k6Bj0gEAb/YGD2"
"YbwrwAi4bDXwoPsYuuNn9TB3jjyWKu/dvOsqhff1/4Wc+FkOi0ClvgrXiklN28X"
"TLjyjSyU794ntIoegXxrfwcwkhfPMvuqcnhfIC0Z8L71M4WR4SoHyNHVfBtNlUv"
"VNROiXlMxtxnNQvfViSwz6LC8bYIxeAba3hSXPTChKu3qZtfR0o3jFwEWAfLQdg"
"Ixler0jMEoAyJmfQIDAQAB")
完整的区域文件可以在这里找到:http: //pastebin.com/GDE5XA2M
使用该配置 exim 抱怨上述错误。如果我尝试手动解析我的 dkim 记录,我会得到:
;; ANSWER SECTION:
a9d04665528b593d263a6e5256648c99._domainkey.middle.earth. 1800 IN TXT "k=rsa,p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAz2/ZfhxSI/A" "bqgh0amM8ylrlosirWeKShUhq7fg12aYmRwOqq9hIzO0Fcz1BzfgHVu6HU++rC5" "QoUK0JQK/nk4jwkDgvG2di2ZYmAvEbY/VeiK1x/TG0p1Iczr2k6Bj0gEAb/YGD2" "YbwrwAi4bDXwoPsYuuNn9TB3jjyWKu/dvOsqhff1/4Wc+FkOi0ClvgrXiklN28X" "TLjyjSyU794ntIoegXxrfwcwkhfPMvuqcnhfIC0Z8L71M4WR4SoHyNHVfBtNlUv" "VNROiXlMxtxnNQvfViSwz6LC8bYIxeAba3hSXPTChKu3qZtfR0o3jFwEWAfLQdg" "Ixler0jMEoAyJmfQIDAQAB"
这对我来说看起来不太正确,我可以想象 exim 会因为这样的输出而迷失方向。但是,我不能 100% 确定对于这么长的 DNS 记录和 exim 是否应该处理它是正常的 DNS 回复,还是我坐起来绑定的方式是错误的。
对此的任何帮助将不胜感激。
谢谢。
我有一个 corosync 集群,其中涉及在集群中具有不同角色的多台机器。我有一些克隆资源组合在一起,我将所有内容都设置为选择加入集群:
node dir01
node dir02
node ms01
node ms02
node ms03
primitive pri_clvmd lsb:clvm \
op monitor interval="120" timeout="20" \
op start interval="0" timeout="30" \
op stop interval="0" timeout="30"
primitive pri_dlm ocf:pacemaker:controld \
op monitor interval="120" timeout="30" \
op start interval="0" timeout="90" \
op stop interval="0" timeout="100"
group grp_cluster_storage pri_dlm pri_clvmd
clone cln_cluster_storage grp_cluster_storage \
meta ordered="true" interleave="true" target-role="Started"
location LOC_CLUSTER-STORAGE1 cln_cluster_storage inf: ms01
location LOC_CLUSTER-STORAGE2 cln_cluster_storage inf: ms02
location LOC_CLUSTER-STORAGE3 cln_cluster_storage inf: ms03
property $id="cib-bootstrap-options" \
dc-version="1.1.7-ee0730e13d124c3d58f00016c3376a1de5323cff" \
cluster-infrastructure="openais" \
expected-quorum-votes="3" \
stonith-enabled="false" \
last-lrm-refresh="1390076650" \
no-quorum-policy="ignore" \
symmetric-cluster="false"
到目前为止,一切都很好,在那个阶段一切似乎都很好,但是我想要实现的一件事是能够在集群中添加主机而无需修改 cib 配置。使用上面的配置,每当我需要一个新主机(比如说 ms04)时,我都必须添加一个新的位置约束。
有什么办法吗?