linux - Apache SSL 证书配置 - sec_error_inadequate_cert_type

标签 linux apache ssl certificate ssl-certificate

我觉得我的 SSL 证书有点乱。 我们正在为所有 OpenVPN 客户端使用 SSL 证书(女巫工作得很好),使用 easy-rsa 工具包生成。

现在我想对 OpenVPN 主机上的 Web 服务器使用相同的证书

所有 key 都是 4096 位长。

我的想法是 mybe 的使用目的对于 apache 是错误的,但我不太确定。

root@howard~# openssl x509 -in howard.example.com.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 15 (0xf)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=AT, ST=STMK, L=Graz, O=Bee Company, OU=Root CA, CN=example.com/name=rootca/emailAddress=root@bee.example.com
        Validity
            Not Before: Aug 13 12:36:41 2013 GMT
            Not After : Aug 11 12:36:41 2023 GMT
        Subject: C=AT, ST=STMK, L=Graz, O=example.com.at, OU=changeme, CN=howard.example.com/name=howard.example.com/emailAddress=root@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    NOTHING_TO_READ_HERE :)
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier:
                NOTHING_TO_READ_HERE :)
            X509v3 Authority Key Identifier:
                keyid:NOTHING_TO_READ_HERE :)
                DirName:/C=AT/ST=STMK/L=Graz/O=Bee Company/OU=Root CA/CN=example.com/name=rootca/emailAddress=root@bee.example.com
                serial:NOTHING_TO_READ_HERE :)

            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature
    Signature Algorithm: sha1WithRSAEncryption

当我使用 easy-rsa 工具包生成 key 时,我不知道如何更改/添加 key 的用途。

生成新的 OpenVPN 证书时我所做的一切:

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
vi vars
. ./vars
./build-key CLIENTNAME

在 vars 文件中我找不到任何东西。

但是 Firefox 正在返回一个 

sec_error_inadequate_cert_type

如果我真的信任这个证书,Microsoft 的 IE 只会一遍又一遍地提示我...

关于我做错了什么或者我需要做什么有什么想法吗?

我的想法是 apache 无法处理 4096 位 key ...

最佳答案

您的 key 用法和扩展 key 用法显然不适用于 TLS 服务器:

        X509v3 Extended Key Usage:
            TLS Web Client Authentication
        X509v3 Key Usage:
            Digital Signature

对于 Web 服务器,您显然需要“TLS Web 服务器身份验证”扩展 key 用法。

对于 key 用法,不太明显,但您也需要 key 加密。

更多详情:

关于linux - Apache SSL 证书配置 - sec_error_inadequate_cert_type,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18224901/

上一篇:c++ - 代码中的段错误

下一篇:linux - 如何使用带有管道概念的排序和复制命令?

相关文章:

macos - 将 macOS 更新到 Sierra 后,apache 的旧日志消失了

ios - 在 iOS 应用中唯一标识 SSL 握手

使用 PEM 文件的 Java SSL SOAP 客户端

python - 相当于 Linux 上的 GetTickCount()

/etc下的文件php不可写

Linux 内核模块 : BUG: unable to handle kernel paging request at 0000000080cb7fb8

linux - 如何或修改 KVM 中的 CPUID 模拟代码中的哪个文件来报告虚构的处理器品牌字符串(CPUID leaf 0x0)?

java - 使用当前 apache commons csv 库读取 CSV 文件的示例

apache - 如何使 mod_ssl 指向不同的 openssl 目录而不是 apache 中的默认目录?

cakephp - 如何使用 CakePHP 的 HtmlHelper 创建安全链接 (https)

©2024 IT工具网  联系我们