CentOS 6 の Git で SSL connect error にハマった (NSS error -12286)
CentOS 6 の Git で急に fetch や pull ができなくなってハマったので、その記録です。なお、サーバー側は GitLab です。 症状 以前はできていたはずのリポジトリで git fetch が下記のようなエラーを出して、実行できなくなりました。 同じく、別ディレクトリで同一サーバーからの git clone もできなくなっていました。ただ BitBucket のリポジトリは同症状なのに GitHub のリポジトリだけは成功してしまうという困った状態でした。 なお OpenSSL は yum で更新できる最新の状態でした。 試行錯誤 1. git の SSL 検証を OFF にしてみる よくある対処法ですが、 SSL/TLS 系のエラーなのは間違いなさそうだったので、 SSL 検証を OFF にしてみましたが、効果はありませんでした。 2. GitLab 側の認証を外す
How To Secure Consul with TLS Encryption on Ubuntu 14.04 | DigitalOcean
These are 64-bit Ubuntu 14.04 servers. Please note that each of these servers resides within the same domain. This will be important for the configuration we are implementing in this guide, because we will be leveraging a wildcard certificate that will match for any of the hosts within the domain. In this guide, we will focus on creating a TLS certificate authority in order to sign certificates fo
How to generate x509v3 Extensions in the End user certificate - Red Hat Customer Portal
Environment Red Hat Enterprise Linux 5 OpenSSL CA Issue Unable to install the SSL Certificate on the Server , the error reported is "No enhanced key usage extension found." Unable to generate certificate with x509v3 Extensions in the End user certificate Resolution Below extended key attributes have to be used in the certificate. As per RFC 3280, section "extended key usage" TLS WWW server authen
OpenSSL を使用した証明書の発行 - Qiita
$ openssl ecparam -list_curves secp112r1 : SECG/WTLS curve over a 112 bit prime field secp112r2 : SECG curve over a 112 bit prime field secp128r1 : SECG curve over a 128 bit prime field secp128r2 : SECG curve over a 128 bit prime field secp160k1 : SECG curve over a 160 bit prime field secp160r1 : SECG curve over a 160 bit prime field secp160r2 : SECG/WTLS curve over a 160 bit prime field secp192k1
opensslコマンドで認証局(CA)を構築してサーバ証明書を発行する - 無題の備忘録
opensslコマンドとは OpenSSLはSecure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) のプロトコルとそれに関係する標準的暗号を実装したツールキットです。 OpenSSLの暗号ライブラリの様々な暗号機能をシェルから使うためのコマンドラインです。 次のような機能があります。 プライベート鍵と公開鍵とそのパラメータの作成と管理 公開鍵の暗号化操作 X.509証明書、認証局(CA)に提出する証明書発行要求ファイル(CSR)、無効となった証明書のリスト(CRL)の作成 メッセージダイジェストの計算 暗号化と暗号文の復号 SSL/TLSクライアントとサーバのテスト S/MIMEサインと暗号化メールの取り扱い タイムスタンプの要求、生成と検証 今回は認証局(CA)を構築して、サーバ証明書を発行してみます。
SSL証明書の内容をopensslで確認する - Qiita
発行されたSSL証明書の内容 サーバSSL証明書の購入をベンダに申し込み、めでたく発行されたらサーバに挿すわけだが、そもそもベンダに渡したCSRが手違いであったりして、万が一誤った内容の証明書が発行されていた場合、サーバに挿しても動かない(HTTPSアクセス不可、警告表示など)という悲惨な目に合ってしまう。 発行された内容が正しいかどうかをopensslコマンドで確認する方法があるので、是非覚えておきたい。 (正直コマンドをよく忘れてしまうので、このエントリはその備忘目的。) ハッシュ値の確認 秘密鍵、証明書、CSRの3つは全て同じハッシュ値が取れるようになっている。 これによりCSRをもとに作成された秘密鍵及び証明書が正しくできているかを確認することが出来る。 以下、それぞれのファイルのハッシュ値確認方法。 (ハッシュ値は適当) 秘密鍵のハッシュ確認 $ openssl rsa -noo
プライベート認証局(CA)にてクライアント証明書の発行 - Qiita
■はじめに ▽目的 クライアント証明書でアクセス制限! 概要 ・サーバやクライアント認証の証明書を発行するため、プライベートCAを構築 ・作成したクライアント証明書(プライベートCAの署名付き)を利用してwebコンテンツへのアクセスを制限 補足 ・本項、実際に私が実装した際の手順を記載したものになります。 ・公式Document や 各コマンドのマニュアル等を読み込み、そこから手順を起こした。とういわけではなくインターネット上の情報を私なりに整理したという程度の内容になりますため、同じ環境の方の参考になれば幸いです。 ▽今回の実装環境 CentOS 6.5 openssl 1.0.1e mod_ssl 2.2.15 apache 2.2.15 ■準備 ▽必要なパッケージ httpd openssl mod_ssl ・導入していなければインストール
openssl コマンドでのSSL証明書の検証 - 朝ごはんいらない
CA証明書の検証にはサーバにルート証明書をインストール必要がある 目的 ベリサインのテストSSL証明書を用いてSSL設定をするにあたり、 秘密鍵、CSR、サーバ証明書、中間CA証明書がそれぞれ整合性が取れているかの検証をする #秘密鍵、CSR、サーバ証明書は各々のhash値を比較し、同一ならOK openssl rsa -in 秘密鍵 -modulus -noout | openssl md5 openssl req -in CSR -modulus -noout | openssl md5 openssl x509 -in サーバ証明書 -modulus -noout | openssl md5#サーバ証明書、中間CA証明書の検証 openssl verify -CAfile 中間CA証明書 サーバ証明書 ⇒cert_file:OK サーバ証明書、中間CA証明書の検証における注意点 ルー
opensslコマンド例文集
opensslコマンド関係の備忘録。 サーバに設定された証明書を確認する 正しくSSL通信が為されているならば証明書の署名と発行者、またSSLネゴシエーションのパラメータや暗号方式が得られる。 openssl s_client -connect HOSTNAME_OR_ADDR:443 -showcerts 中間証明書が正しく設定されているならばそれらを通じてルートCAまで一貫して辿れることが確認できる。 なお、ポート番号にはデフォルトでは以下を指定する。 443 HTTPS 995 POP over SSL 465 SMTP over SSL 993 IMAPS このコマンドは「---」で表示が止まるが、TCPセッションは接続したままになっている。HTTPSの場合はget /ENTERを打てばトップページの内容が得られるし、SMTPならHELO等を打つことでSMTPサーバと直接会話するこ
openssl コマンドでお手軽にSSL証明書をチェックする
勤め先の上司からステキなコマンドを教えていただいたのでメモ SSL証明書の確認のために Webサーバーを立てなくても、openssl の s_server を使うと簡単にできます。 $ openssl s_server -accept 10443 -cert example.com.crt -key example.com.key -CAfile example.com.ica -WWW 各オプションの意味は次のとおり -accept 待ち受けポート(デフォルトは 4433) -cert filename サーバ証明書のファイル名(デフォルトは server.pem) -key filename 秘密鍵のファイル名(指定しない場合はサーバ証明書が用いられる) -CAfile filename 中間証明書のファイル名 -WWW 単純な Web サーバをエミュレートする。 URL のパス部分を
openssl コマンドで SSL/TLS バージョンを指定した HTTPS 接続テストを実施する - らくがきちょう
openssl コマンドは様々なことが実行できますが、HTTPS の接続テストに使うことも出来ます。今回は openssl を使って SSL/TLS バージョンを明示的に指定した接続テストの方法をメモします。 目次 目次 Apache のインストール デフォルトで有効になっている SSL/TLS バージョン OpenSSL を使った HTTPS 接続テスト SSL/TLS バージョンを指定した接続テスト SSL 1.0 SSL 2.0 SSL 3.0 TLS 1.0 TLS 1.1 TLS 1.2 実行結果 SSL/TLS バージョンが一致せず、接続に失敗したケース SSL/TLS バージョンが一致し、接続に成功したケース Apache で SSL 3.0 を無効にしてみる 変更前 変更後 SSL 3.0 で接続出来なくなったことを確認する Apache のインストール テスト用のサーバは
sslscanでサーバのSSL/TLS状態を簡単にチェックする - ろば電子が詰まつてゐる
最近はSSL/TLSのセキュリティ問題が多発しているため、自分で運用しているサーバのSSL/TLSの設定をテストしたいという人は多いと思います。 SSL/TLSの状態をチェックするには、Qualys SSL LabsのSSL Server Testがよく使われます。しかしこれは外部から第三者にスキャンさせるわけですから、(心理的・社内政治的な)敷居が高いという点もありますし、そもそもインターネット側から直接接続できない環境のテストが行えません。 そこで、IPアドレスを指定するだけでよろしく対象のSSL/TLSサーバの状態をチェックしてくれるツールがあると便利だな、ということになります。本稿では、このような目的に利用されるsslscanというコマンドを紹介します。 sslscanはLinuxで動作し、ペネトレーションテスト用に使われるKali Linuxにもインストールされているお手軽なSS
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
公開鍵暗号をプログラムで扱う方法のまとめ - Qiita
RSAの公開鍵暗号や電子署名の仕組みを使ったプログラムを書く必要があり、そのときにいろいろと調べたので、忘れないうちにまとめておきます。 書いているうちに量が多くなってしまったので、幾つかのエントリに分割して投稿します。(まだリンクがないものは執筆中です) 公開鍵暗号と電子署名の基礎知識 これを知らないとそもそも以下のエントリの意味がわからない、という基礎知識を切り出しました。 RSA暗号の全体像 公開鍵暗号や電子署名の具体的な仕様の一つが RSA暗号です。デファクトスタンダードと言っても過言ではありません。 RSAの仕様は膨大で多岐にわたっていて全体像が把握しづらいので、要点をまとめてみました。 OpenSSLコマンドによる公開鍵暗号、電子署名の方法 OpenSSLのコマンドを使って公開鍵暗号や電子署名を行う方法をまとめました。 OpenSSLは RSA暗号を実際に実装したライブラリやコ
RSA鍵、証明書のファイルフォーマットについて - Qiita
RSAの公開鍵暗号技術を利用するためには、鍵や証明書のファイルを扱う必要があるため、そのファイルフォーマットについて理解しておく必要があります。 実際、いろんな拡張子が登場するので、それぞれの意味を理解していないとすぐにわけがわからなくなります。そんなときのために備忘録をまとめてみました。 ファイルの拡張子の注意点 .DERと .PEMという拡張子は鍵の中身じゃなくて、エンコーディングを表している デジタル暗号化鍵やデジタル証明書はバイナリデータなのですが、MD5のハッシュ値のような単なる 値 ではなく、データ構造をもっています。.DERや .PEMはそのデータ構造をどういうフォーマットでエンコードしているかを表しています。そのため、.DERや.PEMという拡張子からそのファイルが何を表しているのかはわかりません。暗号化鍵の場合もあるし、証明書の場合もあります。 .DER 鍵や証明書をAS
El Capitanでソースをコンパイルしたときにopensslのエラーが出た場合の対処方法 - Qiita
$ ./configure # 省略 Configuration for libimobiledevice 1.2.0: ------------------------------------------- Install prefix: .........: /usr/local Debug code ..............: no Python bindings .........: no SSL support backend .....: OpenSSL Now type 'make' to build libimobiledevice 1.2.0, and then 'make install' for installation. $ make /Applications/Xcode.app/Contents/Developer/usr/bin/make all-recu
nginx-build internals - Qiita
nginx-buildはnginxをビルドするためのコマンドラインツールです。 使い方については過去にQiitaに書いた記事やnginx-buildのREADME.mdにそれなりに詳しく書いてあるのでそちらを参照して下さい。 cubicdaiya/nginx-build/README.md nginx-buildでnginxをビルドする nginx-buildでnginxにサードパーティモジュールを組み込む nginx-buildでnginxの依存ライブラリを静的に組み込む 今回はnginx-buildの内部実装について少し解説します。わりと泥臭いこともやってます。 nginx-buildが行っているのは大きく分けて以下の3つです。 nginxや依存ライブラリ、拡張モジュールのソースコードのダウンロード configureのオプション文字列を自動生成 makeを実行 nginx-build
Neverbleed - RSAの秘密鍵演算を別プロセスに分離する話
機能毎にプロセスを分割し、それらを別個の権限のもとで実行することで、脆弱性があった場合の影響を抑え込むというのは、一定以上の規模をもつプログラムでは、しばしば見られるデザインパターンです。 qmailは、そのような設計がなされたメール配送デーモンとして名高いですし、OpenSSHもまた、認証プロセスと通信プロセスを分離することで、外部との通信を担当するコードにバグがあったとしても、ルート権限が奪われないように設計されています(参照: Privilege Separated OpenSSH)。 一方で、OpenSSLにはそのような権限分離は実装されていません。Heartbleedの際にサーバの秘密鍵が漏洩したのも、秘密鍵の取り扱いと、その他の通信の取り扱いを同一のメモリ空間の中で行っていたからだと考えることができます。 ないのなら、自分で作ればいいじゃない…ということで作りました。それが、N
当 Blog を SSL 対応させたので手順や修正が必要になった点などをまとめ
10年間運営されてきた自分の Blog を SSL 対応させるにあたって、その手順や、SSL 化したことで修正をしなければならなくなって大変だった点などを簡単にまとめてみようと思います。 なぜか先週末の夜中に急に思い立って、この Blog のドメイン用に SSL 証明書を購入し、急遽 SSL 対応 (HTTPS でアクセスできるように) してみたわけですが、その手順やら、SSL 化したことでちょっと手直ししないといけなくなって大変だった点などをまとめて見ようと思います。 ちなみに、まだリダイレクトや HSTS (HTTP Strict Transport Security) はドメインに対して有効にしていないので、現状は HTTP / HTTPS どちらでもアクセスできる状態。もうちょっと検証した上で HSTS を有効にして所謂、常時 SSL 化する予定。 10年間以上運営してきた Web
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【SSL】秘密鍵のパスフレーズの入力ができず解除できない場合の対処方法。 – 和洋風KAI