问题[ssl](unix)

我的初步行动：

• 使用 noip 服务设置 ddns 主机名（确定）
• 配置为自动保持我的家庭路由器上的关联（确定）
• 安装了 proxmox 服务器 v8（好的）
• 使用静态 IP 创建模型为“debian11-turnkey-wordpress”的 lxc 容器（ok）
• 在路由器上配置端口转发 80,443 以指向 lxc wordpress 容器（ok）

目前的情况：

lan 中的网站没问题当我尝试使用 ddns 主机名从互联网访问时，它第一次工作，然后使用 http/https 进入 ssl 证书错误当我尝试使用 selfconsole 面板获取让我们加密证书时，它失败并致命错误

我的问题：我如何在容器中正确实施 ssl 认证，以使用 https 从互联网到 proxmox 内的 LAN 容器，并从外部转发到家庭网络 LAN？

配置必须仅应用于容器，或者在 proxmox 操作系统中一般需要做一些事情，而不是默认对所有最新的容器进行 ssl 加密？

我有一台旧服务器，它在端口 8080 上运行 Tomcat 服务。出于各种原因（包括保护来自客户端的访问），我不得不在它前面设置一个 HAProxy 服务器，并使用 SSL 证书进行保护。

这是 HAProxy 相关配置：

frontend myservice
    mode    tcp
    option  tcplog
    option  logasap
    log     global
    option  tcpka
    bind    10.10.10.10:80
    bind    10.10.10.10:443 ssl crt /etc/ssl/haproxy/myservice.example.org.pem
    acl secure dst_port eq 443
    http-response add-header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload;"
    http-response replace-header Set-Cookie (.*) \1;\ Secure if secure
    use_backend bck_myservice if { hdr(Host) -i myservice.example.org myservice }
    default_backend bck_deny

backend bck_myservice
    mode     tcp
    balance  leastconn
    option   prefer-last-server
    server   oldserver.example.org oldserver.example.org:8080 weight 1 check port 8080 inter 2000 rise 2 fall 5 ssl verify none

backend bck_deny
    mode http
    http-request deny

10.10.10.10 是新服务的 VIP，映射到 myservice.example.org。

访问http://oldserver.example.org:8080正常工作。

问题： https: //myservice.example.org导致错误“403 Forbidden”。访问该 URL 似乎不会访问 Tomcat 后端，因为在 Tomcat 日志中没有它的踪迹。（注意：HAProxy 配置曾经有mode http，但它导致错误“503 服务不可用”。）

假设我没有关闭使用哪个 Web 服务器，Apache 或 Nginx，但我仍然想结束 SSL 认证过程，我可以在配置虚拟主机之前安装 Let'sEncrypt ssl 证书吗？

sendmail 是否支持TLS_Clt基于 IP 块的访问匹配？到目前为止，我发现的官方 sendmail TLS 文档并未表明它确实（也不是）。

我想为我的网站创建一个证书文件。

过去，我使用非交互式脚本来执行此操作，并且效果很好。

现在，我想再次使用这个脚本，但它停在这一行： keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment 出现这个错误：

./scripts/generate-ssl-certificat.sh：第 16 行：keyUsage：找不到命令

我已经在我的 Ubuntu 18 系统中安装了这些软件包：

• sudo apt-get install openssl ssl-cert
• sudo apt-get install ca-certificates -y

我需要什么样的包来执行 keyUsage ？

这是自动创建的证书脚本，它使用

mkdir ~/certs
cd ~/certs

### Certificat Authority
openssl genrsa -des3 -out myCA.key 2048 # generate Certificat Authority key
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem # generate root certificat

### Certificat webSite
openssl genrsa -out compty-tmp.key 2048
openssl req -new -key compty-tmp.key -out compty-tmp.csr


### create compty-tmp.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = compty-tmp

### create the certificate: using our CSR, the CA private key, the CA certificate, and the config file:
openssl x509 -req -in compty-tmp.csr -CA myCA.pem -CAkey myCA.key \
-CAcreateserial -out compty-tmp.crt -days 825 -sha256 -extfile compty-tmp.ext

我正在尝试创建我的自签名证书：

1. CA 私钥创建：openssl genrsa -out ca.key 2048
2. CA 证书创建（见下文ca.cnf内容）：openssl req -x509 -new -key ca.key -out ca.crt -days 10000 -config ca.cnf
3. 服务私钥创建：openssl genrsa -out cert.key 2048
4. 创建 csr（见下文node.cnf）：openssl req -new -key cert.key -out cert.csr -config node.cnf
5. 创建服务器证书：openssl x509 -req -in cert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cert.crt -days 100

之后，我尝试检查我的 SAN 是否已填充：

我明白了：

openssl x509 -noout -ext subjectAltName -in cert.crt
No extensions in certificate

有任何想法吗？

ca.cnf文件是：

# OpenSSL CA configuration file
[ ca ]
default_ca = CA_default

[ CA_default ]
default_days = 365
database = index.txt
serial = serial.txt
default_md = sha256
copy_extensions = copy
unique_subject = no

# Used to create the CA certificate.
[ req ]
prompt=no
distinguished_name = distinguished_name
x509_extensions = extensions

[ distinguished_name ]
organizationName = jeusdi
commonName = cicdgitops

[ extensions ]
keyUsage = critical,digitalSignature,nonRepudiation,keyEncipherment,keyCertSign
basicConstraints = critical,CA:true,pathlen:1

# Common policy for nodes and users.
[ signing_policy ]
organizationName = supplied
commonName = optional

# Used to sign node certificates.
[ signing_node_req ]
keyUsage = critical,digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth

# Used to sign client certificates.
[ signing_client_req ]
keyUsage = critical,digitalSignature,keyEncipherment
extendedKeyUsage = clientAuth

node.cnf：

# OpenSSL node configuration file
[ req ]
prompt=no
distinguished_name = distinguished_name
req_extensions = extensions

[ distinguished_name ]
organizationName = jeusdi

[ extensions ]
subjectAltName = @alt_names

[alt_names]
DNS.1 = registry.localhost
DNS.2 = host.k3d.internal

我们知道 CA 证书位于/etc/ssl/certsdebian 中。

cd  /etc/ssl/certs
ls | grep  0$ |wc -l
126

我在这里粘贴了其中的一部分：

f081611a.0
f0c70a8d.0
f249de83.0
f30dd6ad.0
f3377b1b.0
f387163d.0
f39fc864.0
f51bb24c.0
fc5a8f99.0
fe8a2cd8.0

为什么 /etc/ssl/certs 中有这么多奇怪的证书文件名以 0 结尾？

在这里似乎是第 22 个问题。将服务器更新到较新版本是不可能的。我只需要将 Apache 更新到特定的（旧版本）。

服务器是 CentOS 6.3。基本存储库已过时，我必须对其进行更新以使用保险库存储库。yum但是，它需要 HTTPS，并且每当我在更新存储库后尝试运行时，我都会得到：

https://vault.centos.org/centos/6/os/i386/repodata/repomd.xml：[Errno 14] 建立 ssl 连接的问题

显然，我需要更新 yum、openssl 等……但是，当我无法从 through 开始下载软件包时，我该怎么做yum？有没有办法避免手动构建这些包？

这是 CentOS-Base.repo：（注意：将这些更改为 http 似乎不起作用）

# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client.  You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#

[base]
name=CentOS-$releasever - Base
baseurl=https://vault.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#released updates
[updates]
name=CentOS-$releasever - Updates
baseurl=https://vault.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
baseurl=https://vault.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
baseurl=https://vault.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
baseurl=https://vault.centos.org/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

我有一个基本的网站，我想在上面安装 HTTPS。对我来说，它就像皇冠上的宝石。但是，我使用 linux mint 作为服务器。我能找到的所有教程都在 Windows 上，使用证书生成器。我在 /opt/lampp/ 文件夹中找不到证书生成器。有人能指出我正确的方向吗？

我安装了 certbot 并成功使用它来加密我的主页。

现在我尝试使用 dovecot 和 postfix 为我的网站设置电子邮件系统。

我让它大部分都在运行，唯一的问题是，thunderbird 给我一个关于地址欺诈的警告，因为我使用 mysite.com 的 ssl 密钥作为 imap.mysite.com（对于 smtp 相同）所以我该如何添加 imap.mysite .com 和 smtp.mysite.com 使用 certbot 到现有的 mysite.com 证书以避免警告？