对于具有名称约束的证书,OpenSSL验证意外失败,并显示“允许的子树冲突”
是由于证书中存在子树冲突导致的。子树冲突是指证书的名称约束与其子证书的名称约束发生冲突,即子证书的名称约束超出了父证书的名称约束范围。
名称约束(Name Constraints)是一种用于限制证书中可包含的主体名称的扩展属性。它用于确保证书只能用于特定的子树(例如域名)下。
当OpenSSL进行证书验证时,它会检查证书中的名称约束,并与证书链中的其他证书进行比较。如果存在子树冲突,即子证书的名称约束超出了父证书的名称约束范围,验证过程将意外失败,并显示“允许的子树冲突”。
解决这个问题的方法是检查证书链中的每个证书,确保每个证书的名称约束与其父证书的名称约束相匹配。如果存在冲突,需要相应地调整名称约束以解决冲突。
腾讯云提供了SSL证书服务,该服务支持具有名称约束的证书,并提供了一站式的证书申请、管理和部署解决方案。通过腾讯云SSL证书服务,用户可以方便地申请并管理符合名称约束的证书,保证证书的有效性和安全性。
相关产品和产品介绍链接:
相关·内容
我正在尝试使用包含名称约束扩展的证书验证来自智能卡的PIV证书。如果我检查一下-text输出,看起来一切正常,但是这两个值的大小写不同。有没有可能OpenSSL正在进行区分大小写的比较,尽管rfc5280指出它应该是不区分大小写的?email:.example.com DirName:C = US
浏览 40提问于2021-11-11得票数 2
回答已采纳
我试图在私有CA证书上设置允许的名称约束。例如,根证书上有以下约束 Permitted:我已经为另一个域anothertestdomain.local颁发了一个证书。公共名称和主题替代名称都设置为该域。在测试该证书<
浏览 0提问于2020-04-17得票数 3
1回答
当我试图连接到gcloud postgres db时,我面临一个问题,允许在运行在云运行中的laravel应用程序中使用ssl。'sslrootcert' => storage_path(path: 'server-ca.pem'), ],我可以通过pgadmin和psql控制台从本地计算机(Window
浏览 4提问于2021-12-20得票数 0
我已经设置了一个私有证书颁发机构(CA),其中我有一个“根CA”,一个用于签署网站证书的中间CA,以及一个为我的网站生成的证书。我已经添加了我的‘根CA’到火狐和铬。这两种浏览器都无法验证证书链(火狐表示SEC_ERROR_CERT_NOT_IN_NAME_SPACE);然而,openssl verify表示证书链是OK。在设置此证书颁发机构时,我遵循了Ivanć的</em
浏览 0提问于2018-07-03得票数 2
2回答
我试图创建一个私有CA,并希望它能够通过名称约束为我的域名颁发证书。但是,即使我创建了对DNS名称和目录名都有限制的CA,如通
浏览 0提问于2022-03-28得票数 1
回答已采纳
1回答
我厌倦了使用自签名证书,并将它们添加到Mac (浏览器或其他操作系统)上的KeyChain中。此外,Chrome总是抱怨他们。此外,这种方法与生产中使用的方法略有不同。我发现本文非常有用,您可以创建一次自己的CA根证书,将其添加到密钥链中,然后使用CA私钥为本地网站签名数千个SSL测试证书。openssl req -x509 -new -n
浏览 0提问于2021-03-18得票数 0
回答已采纳
这是我的安装
这是我的测试PHP脚本
<?根据火狐的说法,这个站点的根证书<
浏览 4提问于2015-03-17得票数 0
1回答
当使用IP地址而不是DNS名称访问服务器时,我得到了错误的证书错误。
这是tls1.1中新引入的功能吗?tls 1.2呢?如果有人指出OpenSSL代码失败的地方并返回错误的证书错误,那就太好了。
浏览 2提问于2016-02-24得票数 2
1回答
我在一个组织中工作,我认为这是一个非标准和有问题的内部使用证书的PKI系统。我认为我们在处理服务器上的多个根和中间证书时遇到了问题。有时,删除未使用的过期证书会导致TLS失败。我搜索了RFC文档<e
浏览 0提问于2019-04-05得票数 2
回答已采纳
在程序的构建时,我希望生成一个新的密钥对,并创建一个将被嵌入(安全)到程序中的证书。密钥对的目的是对XML文档进行数字签名。我希望与密钥对关联的链一直到我在构建机器上拥有的证书,然后一直到在构建机器上签署证书的CA。
SSL证书足够好吗?还是密码签名证书?或者,我需要从CA请求某种特定类型的证书,然后才能从CA获得证书?
浏览 0提问于2011-08-30得票数 3
回答已采纳
我想用wget从https://web.archive.org获得几个文件,但是它抛出了一个自签名证书,遇到了错误。我正通过我的手机直接连接到移动网络,所以我怀疑是否会发生MITM攻击。是否有办法以安全的方式信任此证书?我使用的是OpenSSL v1.1.1 (今年9月18日),下面是openssl s_client -showcerts -connect web.archive.org:443的输出:
depth=3
浏览 0提问于2018-09-29得票数 -2
1回答
我拥有服务器和客户的可执行文件。我想在他们之间建立一个安全的TLS连接。我可以将我想要的任何东西嵌入到客户机可执行文件中,但我不知道如何验证我的客户端从连接到服务器(即从SSL_get_peer_certificate调用)收到的自分配证书。我到处读到,证书只是带有用私钥签名的元数据部分的公钥。我是否可以通过将公钥嵌入到我的客户端应用程序来验证服务器发送给我的<e
浏览 1提问于2016-09-21得票数 2
回答已采纳
我有一个使用OpenSSL的C.pfx证书。证书C.pfx具有以下证书路径: C->B->A
我使用以下命令将C.pfx转换为PEM : openssl pkcs12 -in C.pfx -out C.pem -nodes -- WORKS OK目标是使用OpenSSL for Windows版本1.0.1c (目前是最新版本)对测试文件进行签名、加密、解密和验证。-recip C.pem -inkey C.pem -ou
浏览 1提问于2012-10-09得票数 17
回答已采纳
要求同一个用户不能使用相同的名称创建两个组(用户A不能创建两个apples组)。我希望使每个用户的分类法术语名称都是唯一的。而且,这需要使用JSON:API。我该怎么做?
浏览 0提问于2021-08-24得票数 4
回答已采纳
2回答
Dovecot拒绝客户证书
、、、、
我已经将dovecot配置为使用客户端证书身份验证。我使用CA.pl (openssl包装器)创建CA证书,并使用它对客户端和服务器证书进行签名。(没有证书链,CA证书在客户端中是可信的)我已经将证书设置为CA证书,用于客户端auth。Dovecot正确地向IceDove请求证书,但是在单击OK之后,它失败了,出现了错误“客户端没有显示有效<em
浏览 0提问于2017-03-01得票数 2
回答已采纳
我有以下与OpenSSL私有OID支持相关的问题:
通过查看internet上的openssl配置和其他构件,我发现OpenSSL支持配置私有OID,但我不清楚如何为与这些OID关联的属性指定值的语法是否可以配置由我配置的私有OID仅用于证书的主题名称或颁发者名称,而不用于其他字段或任何其他对象?
浏览 4提问于2013-01-31得票数 2
上下文和Java测试:public static void main(String[] args) throws我一直在研究,(因此System.out在中间),发现我的webclient获得的证书
浏览 30提问于2022-08-19得票数 1
回答已采纳
在浏览器中,我试图下载该文件,并下载了它。但是,它表明该站点不安全,因为证书无效。我不确定通过java程序下载文件的失败是否是因为这个原因。在阅读时,我遇到了仙人掌的概念,我必须让JRE明白连接10.2.14.35是可以的。为此,我需要创建证书并将其导入到仙人掌。我这样做了,但它没有起作用,因为我可能错过了什么。有人能帮我指出错误吗?
浏览 0提问于2019-05-05得票数 1
1回答
我有一个完全可操作的系统,其中基于openssl的客户端与openssl服务器进行交互。每个客户端都有自己的证书,由服务器验证。使用openssl (X509,pem)生成了证书。他们是自签的。这在Wireshark中得到证实(握手消息中证书长度:0)。
内部异常:收到的消息是意外的
浏览 6提问于2012-07-13得票数 6
回答已采纳
“mklink a302054c.0 "Verisign Intl Server.cer“设置SSL_CERT_DIR=C:\ca_stuff openssl验证"Wells Fargo web.cer“
但是,在定义SSL_CERT_FILE之后,指向从cURL站点下载的cacert.pem
浏览 0提问于2013-01-12得票数 4
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
