[OPENSSL] problem sni after update google chrome browser

2023-10-03 KENNETH 0

problem sni after update google chrome browser   증상 단일 서버(openssl+apache) 구동중 다수의 도메인이 설정되어 있으며, 각 도메인에는 SSL인증서가 적용되어 있음 여러 도메인이 443포트를 같이 사용중 (by SNI) 크롬 업데이트 후 설정상 가장 첫도메인을 제외한 나머지 도메인의 “https://”연결이 되지 않음 크롬 오류 메세지 : ERR_SSL_PROTOCOL_ERROR     브라우저 Google Chrome Version : 117.0.5938.132 Date : 2023.09.27(??) 이전 버전의 크롬에서는 문제가 발생하지 않음 그 외 엣지, 파이폭스 등의 브라우저에서는 문제가 발생하지 않음     서버 OS : RHEL6 openssl : openssl-1.0.1e-30.el6.8.x86_64     참고 RHEL6 : https://bugzilla.redhat.com/show_bug.cgi?id=1150032 RHEL7 : https://bugzilla.redhat.com/show_bug.cgi?id=1150033     업데이트 해결버전 : openssl-1.0.1e-34.el6 RHEL6 의 경우 이미 지원이 종료되었으나 종료전 마지막 버전 openssl-1.0.1e-58.el6_10.x86_64 으로 패치       패치 전     패치 후  

[OPENSSL] How To Check SSL Certificate Expiration with OpenSSL

2022-12-19 KENNETH 0

openssl 명령어를 이용해서 시작일&만료일 확인 하기   1. 로컬 인증서 확인 시작일, 만료일 모두 출력   시작일 출력   만료일 출력     2. 원격 인증서 확인 확인 대상 도메인명 : jirak.net (옵션 : -servername) 인증서가 설치된 웹서버 주소 : 192.168.100.200 (옵션 : -connect) 인증서가 설치된 웹서버의 SSL 포트 : 443 (옵션 : -connect 옵션의 주소다음 “:”)     3. 로컬확인 VS 원격확인 로컬인증서 확인 방법은 인증서파일 자체의 검사를 하는 것이고 원격인증서 확인 방법은 웹서버에 인증서파일이 잘 적용 되었는가를 확인 하는 것  

[OPENSSL] key파일 생성 / 패스워드 생성, 제거, 확인

2020-07-10 KENNETH 1

  키파일 패스워드 확인 키파일에 패스워드가 설정 되어 있는지, 알고 있는 패스워드가 맞는지 확인 1. 키파일에 패스워드가 설정되지 않은 경우   2. 키파일에 패스워드가 설정된 경우     키파일 생성 및 변경   1. 패스워드 없이 키파일 생성하기 패스워드 확인 절차 없이 “RSA key ok” 반환   2. 생성된 키파일에 패스워드 추가 패스워드 확인 절차 추가됨   3. 키파일 생성시 패스워드 적용 패스워드 확인 절차 추가됨   4. 패스워드가 적용된 키파일의 패스워드 제거 패스워드 확인 절차 없이 “RSA key ok” 반환    

[openssl] “Mac verify error: invalid password?” when Changing from pfx to pem certificates

2019-05-29 KENNETH 0

1. 목적 윈도우용으로 발급되었던 인증서 PFX 파일을 아파치 환경에서 사용하기 위해 PEM 형태로 변환 해야 함   2. 문제점 Mac verify error: invalid password? 이미 사용중인 인증서 패스워드도 정확히 인지 하고 있는 상태에서 변환 시도를 하면 “패스워드가 맞지 않는다” 라고 나옴… (패스워드는 “정확함” 을 가정)   3. 원인 현재 찾는중….     4. 해결법 “-password” 옵션 사용 -password 옵션 사용시 정상 처리 됨을 확인 가능   보통 인증서 변환에 대해 찾아보면 인증서 추출 openssl pkcs12 -in choilha.pfx -clcerts -nokeys -out choilha.crt 키파일 추출 openssl pkcs12 -in choilha.pfx -nocerts -nodes -out choilha.key 이런 형태로 소개가 되어 있음… 혹, 패스워드 이슈가 발생 한다면 인증서 추출 openssl pkcs12 -in choilha.pfx -clcerts -nokeys -out choilha.crt -password pass:lovechoilha 키파일 추출 openssl pkcs12 -in choilha.pfx -nocerts -nodes -out choilha.key -password pass:lovechoilha   이렇게 해보시면 되겠다…

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE in PHP (after update centos-7.4)

2017-11-14 KENNETH 0

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE CentOS-7.4 업데이트 이후 PHP측의 별다른 설정 내지는 설치 관련 작업 이슈가 없었음에도 발생   1. 테스트 코드 <? error_reporting(E_ALL); ini_set("display_errors", 1); var_dump(openssl_get_cert_locations()); fsockopen("ssl://fcstdpay.inicis.com",443); ?> 정작 작동을 안하는 부분은 fsockopen(”ssl://fcstdpay.inicis.com”,443); 이 부분으로.. 상단은 그냥 에러 참고용…     2. 발생 에러 PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 Call Stack: 0.0003 348216 1. {main}() /home/jirak.net/public_html/bb.php:0 0.0004 348696 2. fsockopen() /home/jirak.net/public_html/bb.php:4 PHP Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 [ more… ]