个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
27
4
**好吧,很明显这个问题是与 Linux 服务器上的 openssl 设置以及如何正确设置自定义 openssl.cnf 文件相关的问题。我不是在寻找任何复杂的东西,但我需要一个前端来创建自签名客户端证书以对我的 web 服务进行身份验证。因此,我需要能够使用我的 CA 为客户公司创建中间 CA,然后允许他们使用安全接口(interface)为其员工颁发客户证书。登录取决于您是否属于特定的中间 CA,以及您的证书或中间 CA 是否未被吊销。
对于任何想知道的人,我们可以使用自签名证书,因为它们仅供我们的服务器用于对用户进行身份验证,并且由于我们颁发了它们,所以我们信任它们。此外,对于初创公司来说,通过商业产品 AFAIK 将自己建立为中间 CA 的成本太高。微软可以做到,我们不能。我们的网络服务器本身使用 CA 签名证书。
我知道用于设置此类内容的 php 代码很简单,但不是如何正确设置 openssl。我在网上尝试了几个不同的例子,但似乎没有一个适合我的设置,而且它们似乎都不一样。一个盒子是 Centos 6.2 的全新安装,但我仍然遇到错误。
任何人都可以为我指明设置 openssl、apache2 和 php 的正确方向,以便我可以毫无错误地使用这些 php 库吗?我们的虚拟服务器使用的是 debian squeeze,我可以完全控制安装的软件。
谢谢。
open_pkey_new() 正在返回错误,例如错误:0E06D06C:配置文件例程:NCONF_get_string:无值。但是我正在传递一个 openssl.cnf 文件的路径,所以我不知道为什么我仍然遇到这个问题。这是我的相关代码
<?php
$cwd=getcwd();
$distname= array(
"countryName" => "CA",
"stateOrProvinceName" => "Ontario",
"localityName" => "Toronto",
"organizationName" => "G4 Apps",
"organizationalUnitName" => "Development",
"commonName" => "Mark Lane",
"emailAddress" => "nobody at gmail.com"
);
$password = 'seanix';
$cacert_location=$cwd."/certs/CA/g4CA.crt";
$cakey_location=$cwd."/certs/CA/g4CA.key";
$cnf=$cwd.'/certs/myopenssl.cnf';
$configArgs = array(
'config' =>$cnf
);
?>
这是我制作按键的函数。
<?php
function makekey($password,$configArgs) {
$key= openssl_pkey_new($configArgs);
//print_r($configArgs);
openssl_pkey_export($key, $pkeyout,$password);
if (($e=openssl_error_string()) ==false) return $pkeyout;
else {
do {
echo $e . "<BR>";
} while($e=openssl_error_string());
return -1;
}
}
?>
我也试过配置文件的相对路径,但它仍然不起作用。看起来它可能是主机提供商 ssl 设置。我切换到本地虚拟机并获得了生成 key ,但现在我在创建 csr 时遇到了同样的错误。
error:0E06D06C:configuration file routines:NCONF_get_string:no value
<?php
function newcsr($distname,$key,$configArgs) {
$csr=openssl_csr_new($distname,$key,$configArgs);
openssl_csr_export($csr, $csrout);
if (($e=openssl_error_string()) ==false) return $csrout;
else {
do {
echo $e . "<BR>";
} while($e=openssl_error_string());
return -1;
}
}
?>
openssl.conf 这看起来是 openssl.cnf 中的一个错误,所以我包含了该文件。
HOME = .
RANDFILE = $ENV::HOME/.rnd
oid_section = new_oids
[ new_oids ]
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7
####################################################################
[ ca ]
default_ca = g4CA
####################################################################
[ g4CA ]
dir = /home/g4apps/secure.g4apps.com/generator/certs
certs = $dir/
crl_dir = $dir/crl
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/CA/g4CA.crt
serial = $dir/serial
crlnumber = $dir/crlnumber
crl = $dir/CA/g4CA.crl
private_key = $dir/CA/g4CA.key
RANDFILE = $dir/private/.rand
x509_extensions = usr_cert
name_opt = ca_default
cert_opt = ca_default
default_days = 365 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = default # use public key default MD
preserve = no # keep passed DN ordering
policy = policy_match
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
####################################################################
[ req ]
default_bits = 2048
default_md = md5
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
string_mask = utf8only
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CA
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = ON
localityName = Locality Name (eg, city)
localityName_default = Toronto
0.organizationName = Organization Name (eg, company)
0.organizationName_default = G4 Apps
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64
emailAddress = Email Address
emailAddress_default = lmlane@gmail.com
emailAddress_max = 64
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
[ usr_cert ]
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
[ crl_ext ]
authorityKeyIdentifier=keyid:always
[ proxy_cert_ext ]
basicConstraints=CA:FALSE
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
####################################################################
[ tsa ]
default_tsa = tsa_config1
[ tsa_config1 ]
dir = ./demoCA
serial = $dir/tsaserial
crypto_device = builtin
signer_cert = $dir/tsacert.pem
certs = $dir/cacert.pem
signer_key = $dir/private/tsakey.pem
default_policy = tsa_policy1
other_policies = tsa_policy2, tsa_policy3
digests = md5, sha1
accuracy = secs:1, millisecs:500, microsecs:100
clock_precision_digits = 0
ordering = yes
tsa_name = yes
ess_cert_id_chain = no
堆栈跟踪 strace php getkeystore.php &> stack.trace
最佳答案
我在我的 Mac 和全新安装的 CentOS 6.3 上试过这个,但我遇到了同样的错误。我从 IUS 获得我的 CentOS 组件。不过这很奇怪,因为即使我收到此消息,实际上也正在生成 key 。
以下代码:
$res = openssl_pkey_new();
openssl_pkey_export($res, $privkey);
var_dump(openssl_error_string());
var_dump($privkey);
给我以下输出:
string(68) "error:0E06D06C:configuration file routines:NCONF_get_string:no value"
string(887) "-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQDdh4FiOEtUZzvTSnlb/pJHjmsS9rOHQ7PU2WOO6ZHxYRIgK1NR
ReY7bBwEsT2ziUpx0b8K2Fx4m+XovzysB/lVrKbrdbHoVtGuJGZjYSXgFlCRTBu+
+TnAPUBF0LGJfxfVzjOkHzsh02lH3fvzFpFgRZRWs4za+vVzIweeOweYTwIDAQAB
AoGANZD5iS2BkZQw1COS+tqwtlrKq1g6CwAk8NfsCfeSkaJeRqcTS3iydjXrBHtz
JwGQnbsRDedJXOSdkE0Ft7dp44lijOAp1ngMDCKbabxVN2Go6b1d743HE0oIhFCC
Dv2B9kf9vzeYy+0/BVCs5i4iPoKXJJTSJrWoDxrFEJWSJIkCQQDwe39bOFHmQlxz
pbfT3DZ8Q311xFo6PewcAf7DTsikoPZANx0GQ41WdZj6/n4QVP4k+TnhZLiJzsH+
p3RUrx8tAkEA69LsgPrQMZ0YjsE2vjRLdJmp1916G1xqSLIVWDUPd9Ns+MA8YKTx
AQxC3dl3n+w24m7UlCThANlU/+2r0eoi6wJBAKIxGOdEJ/Cdp08UYNRR/Kl4t2A7
SwNnChylt9awByEJsqwCv9+epe+/Jqt6AzouqK31LXV4AgJn4W1IMWyAJA0CQCp0
6/2AqnD0PpKc+JUf5yHT9H8Xsb8xUTVLUopx6xoAp5LVUUl5CKbOpU85ss7JAUyc
9YrCZPv5JNN6379ILwcCQQDDcjtNnhQHukQQQ8iVL9YCrWzyCgplTz3uktueT+Dd
SDK1bCM4xDehfG3RKu1ZNx80Q0nzmi7FSPJ2md7qSIHc
-----END RSA PRIVATE KEY-----
"
我怀疑这是 PHP 中的错误。 PHP 挂断了某种 openssl 配置。我找到了一个 bug report关于 php.net 上的这个问题,但它对用户“开始工作”,所以错误被关闭了。
作为替代方案,您可以查看 phpseclib ,一个完全用 PHP 编写的库。
关于php - openssl_pkey_new() 抛出错误——为 php 正确设置 openssl.cnf,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12060865/
27
4
0
使用 PHP 函数 openssl_pkey_new和 openssl_pkey_export要生成 RSA key ,如何确保最严格的密码保护? 例如 $conf = array ( 'di
我对这个很陌生。为什么 openssl_pkey_new() 返回 false? 我正在使用 XAMPP,Apahce\bin 目录下有一个 OpenSSL。 我犯了什么明显的初学者错误?也许这是 S
我发现了几个有这个问题的帖子,但我没有使用他们的解决方案解决我的问题。 这是我的测试脚本: '/etc/ssl/openssl.cnf', "digest_alg" => "sha1",
[2020 年评论:这是我几年前提出的一个研究不足的问题,那时我还没有开始阅读有关该主题的内容。我回来清理了一下这个问题——因为当时我想知道的核心是理解为什么 key 必须有一定的大小。然而,当一个人
所以我试图让 openssl 在我的 xampp(1.7.3) 的 Windows 安装上工作,它是用 OpenSSL 0.9.8l 构建的。这只是我第二次在 *amp 安装上安装 openssl,但
**好吧,很明显这个问题是与 Linux 服务器上的 openssl 设置以及如何正确设置自定义 openssl.cnf 文件相关的问题。我不是在寻找任何复杂的东西,但我需要一个前端来创建自签名客户端
我是一名优秀的程序员,十分优秀!