ssl证书双向认证失效的一种解决方案

最新推荐文章于 2024-07-20 16:07:33 发布
最新推荐文章于 2024-07-20 16:07:33 发布
阅读量4.6k 收藏 2
点赞数 1
分类专栏: ssl 文章标签: ssl证书双向认证失效
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hrayha/article/details/47961301
版权

ssl证书双向认证配置可参考http://blog.csdn.net/hrayha/article/details/46446653

某天突然发现证书认证失效了,所有人访问都校验失败,提示400错误,服务器各项服务都正常,异常的这段时间也没进行过什么操作,起初怀疑nginx的问题,重启了一下,问题依旧,是否为客户端传递证书信息的时候失败了呢,抓包看了下也正常,纠结了一会,同事给出了一个线索,执行

openssl verify -crl_check -CRLfile private/ca.crl -CAfile private/ca.crt client.crt

发现错误提示error 12 at 0 depth lookup:CRL has expired

通过这条提示可以明显的看出是crl过期了,那么执行

openssl ca -gencrl -out private/ca.crl

然后重启了下nginx果然就好了

看了下openssl的配置文件,原来是这条搞的鬼

default_crl_days = 30

之前这条配置是从网上抄来的,当时也没太注意,应该是30天内没吊销过证书就会出问题,这里改成3650,后面应该就没事了

hrayha
关注
专栏目录
支付域——支付安全
庄小焱
08-15 112
支付安全是保护在线交易和支付过程中的信息安全性和完整性的关键。它涉及多层次的安全措施,包括数据加密、身份验证和访问控制。数据加密确保交易数据在传输过程中不被窃取或篡改,通常使用SSL/TLS协议。身份验证机制,如多因素认证(MFA),增加了额外的安全层次,防止未经授权的访问。访问控制确保只有经过授权的人员或系统能够访问敏感信息。此外,监控和实时警报系统可以及时检测并响应潜在的安全威胁。保护用户数据和防范欺诈行为是支付安全的核心目标,为用户提供安全可靠的支付体验至关重要。
Java中高级面试题总览(一)
热门推荐
击水三千里的专栏
03-29 2万+
高频面试题深入剖析
HTTPS|SSL笔记-SSL双向认证失败(服务端证书信任库不含客户端证书)握手过程(含wireshark分析)
IT1995的博客
09-07 1511
这里我把服务端信任库添加了其他证书,不含客户端的证书,这时SSL认证失败报错如下。下面来分析下: 1. 首先是TCP三次握手,对应的包如下: 2.握手成功后,客户端发送自己支持的加密套,和随机数给服务端,也就是Client Hello 对应的是这个: 具体内容如下: 其中Random为随机数、Cipher Suites为加密套及signature_algorithms为签名算法。 4. 服务端收到后回复ACK,对应的包如下: 5.服务端发送自己的...
haproxy配置自签名双向认证ssl
yin_slin的专栏
07-20 4233
本文承接上一篇博文:https://blog.csdn.net/yin_slin/article/details/81130568 为emq集群前端haproxy配置ssl双向认证,采用的方案为:客户端通过ssl访问haproxy,haproxy转发请求到后端不使用ssl。 一、生成自签名证书: 1、生成根证书私钥: openssl genrsa -out ca.key 2048 -pass...
【转】HTTPS双向认证指南
最新发布
tpriwwq的专栏
07-20 1042
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。
CRL has expired(OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE)
lonet的专栏
02-20 3241
程序一直使用都很正常,突然有一天所有客户端都无法连接,查看服务器日志后发现出现如下错误: TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28 VERIFY ERROR: depth=0, error=CRL has expired: CN=client1 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certi
openvpn crl.pem证书过期问题
xpt211314的博客
09-22 2355
部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;
Android逆向抓包技巧 - 证书认证
dafan0的博客
05-12 977
下图为HTTP协议的请求过程:传输过程中都是明文数据下图为HTTPS协议的请求过程:注意:公钥加密的数据只能通过对应的私钥才能解密,就算是进行加密的公钥也不能进行解密。加入charles后的流程如下:对于HTTP请求,charles不需要做什么配置,即可抓到包。对于HTTPS请求,charles如果不进行设置,抓到的包是经过了加密的。如果想进行解密,就需要得到对称密钥,而获得对称密钥的方法通过charles抓包是实现不了的。
OSR推出在线SSL/TLS安全测试工具
niuchuangxinan的博客
02-07 1万+
公测阶段免费提供技术支持,欢迎使用。
HTTP及SSL简单理解
qq_43371350的博客
09-01 1423
浏览器访问URL的一般过程: 1、格式验证与协议选择(默认为HTTP) 首先我们应该知道,浏览器也是有自己独立的人格的,主人的命令如果是对的,那自然照做。那如果是错误的,那就必然不会听取命令,当然也不能听取命令? 故当我们在浏览器中输入希望查询的URL,如果输入的是非法无效的网址,浏览器就会提示出错了。 所以,第一步是浏览器对用户输入的网址做初步的格式化检查,只有通过以上检查才会进入下一步。 那么...
Android 偶遇HTTPS
M家杰的博客
05-11 1875
原文地址HTTPS ,该来的总要来的。 最近领导对移动端开发提出了很多优化的要求啊!其中一点就是数据安全性,之前安卓后端接口一直是用的HTTP,那么我想了想,HTTPS应该是入门级的了,赶紧找资料整理了下! 对于向权威机构申请过证书的网络地址,用OkHttp或者HttpsURLConnection都可以直接访问,不需要做额外的事情。但是申请证书要$$的,所以开发的时候我们接口经常是使用自签名证书
TLS/SSL 协议详解 (25) https双向认证及常见问题总结
Network/Storage/Linux Kernel
09-09 1万+
预备知识 https://blog.csdn.net/mrpre/article/details/77867063 http://blog.csdn.net/mrpre/article/details/77866856 http://blog.csdn.net/mrpre/article/details/77868263 http://blog.csdn.net/mrpre/article...
jdk、maven和IntelliJ IDEA的下载安装及配置
数据之美的博客
04-28 7352
jdk的下载及安装 1.下载java安装包jdk,http://www.oracle.com/technetwork/java/javase/downloads/index.html,安装过程一直点击下一步即可完成安装 IntelliJ IDEA的下载及安装 1.下载IntelliJ IDEA,https://www.jetbrains.com/idea/download/#secti...
【已解决】pycharm过期:Your license has expired
Sioen的博客
05-09 1万+
2020年10月国企,看来需每年操作一次
解决 Ant Sword-HTTPS 证书失效(cert_has_expired)连不上问题
Adminxe的博客
09-23 8445
0x00 前言 渗透过程中,有的时候会遇到,上传小马,使用蚁剑连接会提示报错(code:cert_has_expired)问题,并且上传大马能正常解析,或者使用菜刀可以连接上,但是蚁剑和冰蝎就是连接不上,这时候就出现了这篇文章。 0x01 相关信息 Windows 10 jdk1.8.0_144 尝试1: 默认在中国蚁剑里面有忽略 https 证书的选项, 测试失败 尝试2: 在 执行 jar 时加入参数-Djsse.enableSNIExtension=false , 忽略证书菜刀..
很棒的 openssl 证书解析例子
andylau00j的专栏
06-14 1万+
Parsing X.509 Certificates with OpenSSL and C 转自:https://zakird.com/2013/10/13/certificate-parsing-with-openssl While OpenSSL has become one of the defacto libraries for performing SSL
ORA-28001: the password has expired
Frank Fan
06-29 867
ORA-28001: the password has expired解决方法    Oracle提示错误消息ORA-28001: the password has expired,是由于Oracle11G的新特性所致, Oracle11G创建用户时缺省密码过期限制是180天(即6个月), 如果超过180天用户密码未做修改则该用户无法登录。 Oracle公司是为了数据库的安全性默认在
https单向认证双向认证区别
aaaa111111222的博客
03-22 692
关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值