对于具有名称约束的证书，OpenSSL验证意外失败，并显示“允许的子树冲突”

文章/答案/技术大牛

发布

1回答

ssl、openssl、x509certificate、x509

我正在尝试使用包含名称约束扩展的证书验证来自智能卡的PIV证书。如果我检查一下-text输出，看起来一切正常，但是这两个值的大小写不同。有没有可能OpenSSL正在进行区分大小写的比较，尽管rfc5280指出它应该是不区分大小写的？email:.example.com DirName:C = US

浏览 40提问于2021-11-11得票数 2

回答已采纳

3回答

Chrome支持X509v3允许的名称约束吗？

ssl、ssl-certificate、google-chrome

我试图在私有CA证书上设置允许的名称约束。例如，根证书上有以下约束 Permitted:我已经为另一个域anothertestdomain.local颁发了一个证书。公共名称和主题替代名称都设置为该域。在测试该证书<

浏览 0提问于2020-04-17得票数 3

1回答

连接需要具有ssl模式的中的有效客户端证书

laravel、postgresql、ssl、google-cloud-platform、gcloud

当我试图连接到gcloud postgres db时，我面临一个问题，允许在运行在云运行中的laravel应用程序中使用ssl。'sslrootcert' => storage_path(path: 'server-ca.pem'), ],我可以通过pgadmin和psql控制台从本地计算机(Window

浏览 4提问于2021-12-20得票数 0

2回答

本证明书的核证机关不得发出此名称的证明书。

tls、certificate-authority、openssl

我已经设置了一个私有证书颁发机构(CA)，其中我有一个“根CA”，一个用于签署网站证书的中间CA，以及一个为我的网站生成的证书。我已经添加了我的‘根CA’到火狐和铬。这两种浏览器都无法验证证书链(火狐表示SEC_ERROR_CERT_NOT_IN_NAME_SPACE)；然而，openssl verify表示证书链是OK。在设置此证书颁发机构时，我遵循了Ivanć的</em

浏览 0提问于2018-07-03得票数 2

2回答

如何防止非SAN证书绕过名称约束？

tls、public-key-infrastructure、certificate-authority、x.509

我试图创建一个私有CA，并希望它能够通过名称约束为我的域名颁发证书。但是，即使我创建了对DNS名称和目录名都有限制的CA，如通

浏览 0提问于2022-03-28得票数 1

回答已采纳

1回答

生成SSL证书时不要问问题

ssl、openssl、ssl-certificate、x509certificate

我厌倦了使用自签名证书，并将它们添加到Mac (浏览器或其他操作系统)上的KeyChain中。此外，Chrome总是抱怨他们。此外，这种方法与生产中使用的方法略有不同。我发现本文非常有用，您可以创建一次自己的CA根证书，将其添加到密钥链中，然后使用CA私钥为本地网站签名数千个SSL测试证书。openssl req -x509 -new -n

浏览 0提问于2021-03-18得票数 0

回答已采纳

1回答

如何使用login.live.com、cURL和Windows验证cURL SSL证书

php、windows、curl、https、xampp

这是我的安装这是我的测试PHP脚本 <?根据火狐的说法，这个站点的根证书<

浏览 4提问于2015-03-17得票数 0

1回答

为什么通过IP地址而不是主机名连接到服务器时验证失败？

ssl、openssl、certificate、ssl-certificate、x509certificate

当使用IP地址而不是DNS名称访问服务器时，我得到了错误的证书错误。这是tls1.1中新引入的功能吗？tls 1.2呢？如果有人指出OpenSSL代码失败的地方并返回错误的证书错误，那就太好了。

浏览 2提问于2016-02-24得票数 2

1回答

中间证书和根证书的重复主题名称

tls、certificates、public-key-infrastructure、certificate-authority

我在一个组织中工作，我认为这是一个非标准和有问题的内部使用证书的PKI系统。我认为我们在处理服务器上的多个根和中间证书时遇到了问题。有时，删除未使用的过期证书会导致TLS失败。我搜索了RFC文档<e

浏览 0提问于2019-04-05得票数 2

回答已采纳

1回答

我需要什么样的证书才能制作和签署我自己的数字签名证书？

cryptography、certificates、public-key-infrastructure、digital-signature

在程序的构建时，我希望生成一个新的密钥对，并创建一个将被嵌入(安全)到程序中的证书。密钥对的目的是对XML文档进行数字签名。我希望与密钥对关联的链一直到我在构建机器上拥有的证书，然后一直到在构建机器上签署证书的CA。 SSL证书足够好吗？还是密码签名证书？或者，我需要从CA请求某种特定类型的证书，然后才能从CA获得证书？

浏览 0提问于2011-08-30得票数 3

回答已采纳

1回答

Wget无法安全地连接到web.archive:遇到自签名证书

certificates、openssl

我想用wget从https://web.archive.org获得几个文件，但是它抛出了一个自签名证书，遇到了错误。我正通过我的手机直接连接到移动网络，所以我怀疑是否会发生MITM攻击。是否有办法以安全的方式信任此证书？我使用的是OpenSSL v1.1.1 (今年9月18日)，下面是openssl s_client -showcerts -connect web.archive.org:443的输出： depth=3

浏览 0提问于2018-09-29得票数 -2

1回答

使用openSSL验证我的自签名证书

authentication、ssl、openssl、cryptography、certificate

我拥有服务器和客户的可执行文件。我想在他们之间建立一个安全的TLS连接。我可以将我想要的任何东西嵌入到客户机可执行文件中，但我不知道如何验证我的客户端从连接到服务器(即从SSL_get_peer_certificate调用)收到的自分配证书。我到处读到，证书只是带有用私钥签名的元数据部分的公钥。我是否可以通过将公钥嵌入到我的客户端应用程序来验证服务器发送给我的<e

浏览 1提问于2016-09-21得票数 2

回答已采纳

1回答

OpenSSL:无法获取本地颁发者证书

openssl、certificate

我有一个使用OpenSSL的C.pfx证书。证书C.pfx具有以下证书路径: C->B->A 我使用以下命令将C.pfx转换为PEM : openssl pkcs12 -in C.pfx -out C.pem -nodes -- WORKS OK目标是使用OpenSSL for Windows版本1.0.1c (目前是最新版本)对测试文件进行签名、加密、解密和验证。-recip C.pem -inkey C.pem -ou

浏览 1提问于2012-10-09得票数 17

回答已采纳

1回答

如何使每个用户的分类法术语名称唯一？

forms、taxonomy-terms

要求同一个用户不能使用相同的名称创建两个组(用户A不能创建两个apples组)。我希望使每个用户的分类法术语名称都是唯一的。而且，这需要使用JSON:API。我该怎么做？

浏览 0提问于2021-08-24得票数 4

回答已采纳

2回答

Dovecot拒绝客户证书

email、ssl、dovecot、thunderbird、imap

我已经将dovecot配置为使用客户端证书身份验证。我使用CA.pl (openssl包装器)创建CA证书，并使用它对客户端和服务器证书进行签名。(没有证书链，CA证书在客户端中是可信的)我已经将证书设置为CA证书，用于客户端auth。Dovecot正确地向IceDove请求证书，但是在单击OK之后，它失败了，出现了错误“客户端没有显示有效<em

浏览 0提问于2017-03-01得票数 2

回答已采纳

2回答

如何在OpenSSL中配置私有OID值时指定语法？

openssl、asn.1、oid

我有以下与OpenSSL私有OID支持相关的问题：通过查看internet上的openssl配置和其他构件，我发现OpenSSL支持配置私有OID，但我不清楚如何为与这些OID关联的属性指定值的语法是否可以配置由我配置的私有OID仅用于证书的主题名称或颁发者名称，而不用于其他字段或任何其他对象？

浏览 4提问于2013-01-31得票数 2

1回答

Badssl.com在通过浏览器或通过java CertPathValidator访问时显示不同的证书链？

java、ssl-certificate、x509certificate

上下文和Java测试：public static void main(String[] args) throws我一直在研究，(因此System.out在中间)，发现我的webclient获得的证书

浏览 30提问于2022-08-19得票数 1

回答已采纳

2回答

java.security.cert.CertificateException:找不到与IP地址x.x匹配的主题可选名称

java、ssl

在浏览器中，我试图下载该文件，并下载了它。但是，它表明该站点不安全，因为证书无效。我不确定通过java程序下载文件的失败是否是因为这个原因。在阅读时，我遇到了仙人掌的概念，我必须让JRE明白连接10.2.14.35是可以的。为此，我需要创建证书并将其导入到仙人掌。我这样做了，但它没有起作用，因为我可能错过了什么。有人能帮我指出错误吗？

浏览 0提问于2019-05-05得票数 1

1回答

SslStream客户端无法完成与替身服务器的握手

c#、.net、openssl、sslstream、stunnel

我有一个完全可操作的系统，其中基于openssl的客户端与openssl服务器进行交互。每个客户端都有自己的证书，由服务器验证。使用openssl (X509，pem)生成了证书。他们是自签的。这在Wireshark中得到证实(握手消息中证书长度:0)。内部异常:收到的消息是意外的

浏览 6提问于2012-07-13得票数 6

回答已采纳

1回答

如何使用适用于OpenSSL窗口的SSL_CERT_FILE (OpenSSL* 1.0.1c)*

openssl、windows-applications

“mklink a302054c.0 "Verisign Intl Server.cer“设置SSL_CERT_DIR=C:\ca_stuff openssl验证"Wells Fargo web.cer“ 但是，在定义SSL_CERT_FILE之后，指向从cURL站点下载的cacert.pem

浏览 0提问于2013-01-12得票数 4

回答已采纳

点击加载更多