[openssl] “Mac verify error: invalid password?” when Changing from pfx to pem certificates

2019-05-29 KENNETH 0

1. 목적 윈도우용으로 발급되었던 인증서 PFX 파일을 아파치 환경에서 사용하기 위해 PEM 형태로 변환 해야 함   2. 문제점 Mac verify error: invalid password? 이미 사용중인 인증서 패스워드도 정확히 인지 하고 있는 상태에서 변환 시도를 하면 “패스워드가 맞지 않는다” 라고 나옴… (패스워드는 “정확함” 을 가정)   3. 원인 현재 찾는중….     4. 해결법 “-password” 옵션 사용 -password 옵션 사용시 정상 처리 됨을 확인 가능   보통 인증서 변환에 대해 찾아보면 인증서 추출 openssl pkcs12 -in choilha.pfx -clcerts -nokeys -out choilha.crt 키파일 추출 openssl pkcs12 -in choilha.pfx -nocerts -nodes -out choilha.key 이런 형태로 소개가 되어 있음… 혹, 패스워드 이슈가 발생 한다면 인증서 추출 openssl pkcs12 -in choilha.pfx -clcerts -nokeys -out choilha.crt -password pass:lovechoilha 키파일 추출 openssl pkcs12 -in choilha.pfx -nocerts -nodes -out choilha.key -password pass:lovechoilha   이렇게 해보시면 되겠다…

How to set up http/2(h2) on nginx (and spdy…)

2018-06-27 KENNETH 0

참조 URL : http://nginx.org/en/docs/http/ngx_http_v2_module.html 먼저… spdy 설정은 하지 않는다… 그냥 h2 지원만 해주면 된다는 것…! openssl, nginx 등은 설치 되어 있다고 가정 한다.   nginx 환경 확인 http_v2_module 을 지원하는지 (결과에 문자열이 보이는 지) 확인 하자   nginx 설정 중요한 부분은 “listen” 지시자의 마지막에 “http2” 가 추가 되는 것… 그 이외의 부분은 SSL 적용에 대한 내용 이다.   지원 여부 확인 (by chrome) 크롬브라우저의 개발자모드(F12) -> Network 탭 -> 출력되는 항목의 제목 필드를 마우스 우클릭 후 (protocol 항목 추가 선택) 이후 브라우저를 리프레시 하여 “protocol” 필드에 “h2″가 출력되면 완료 된 것.      

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE in PHP (after update centos-7.4)

2017-11-14 KENNETH 0

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE CentOS-7.4 업데이트 이후 PHP측의 별다른 설정 내지는 설치 관련 작업 이슈가 없었음에도 발생   1. 테스트 코드 <? error_reporting(E_ALL); ini_set("display_errors", 1); var_dump(openssl_get_cert_locations()); fsockopen("ssl://fcstdpay.inicis.com",443); ?> 정작 작동을 안하는 부분은 fsockopen(”ssl://fcstdpay.inicis.com”,443); 이 부분으로.. 상단은 그냥 에러 참고용…     2. 발생 에러 PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 Call Stack: 0.0003 348216 1. {main}() /home/jirak.net/public_html/bb.php:0 0.0004 348696 2. fsockopen() /home/jirak.net/public_html/bb.php:4 PHP Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 [ more… ]

No Image

[AWS] certificate arn:aws:iam server-certificate not found when configure ELB

2017-06-06 KENNETH 0

1. 상황 ELB 구성 작업 시 HTTPS 프로토콜을 추가하면 SSL 인증서를 지정하는 항목이 나옴 해당 설정을 완료후 마지막 ”launch”를 클릭하면 certificate arn:aws:iam server-certificate not found 오류가 발생 하면서 ELB 구성(생성)이 완료 되지 않음   2. 확인 2.1 SSL 인증서 오류 문제 private key certificate file of domain certificate chain ELB 등록시 필요한 3요소에는 문제가 없음 실제 아파치에 직접 적용을 해봐도 문제가 없음 물론 같은 방식으로 지금까지 잘 사용했고 이후 설명하는 방법에서도 같은 인증서 파일들을 이용해 성공 했기 때문에 인증서(파일)의 문제로 보기 어려움   2.2 시간적 특이사항 아마도 나중에 다시 해봤으면 성공 했지 싶음 하지만 내겐 그만한 시간이 없고, 약 1시간 가까이 테스트를 해본 결과 되지 않았음   2.3  ELB 방식의 차이? Application Load Balancer Classic Load Balancer 모두 동일한 결과가 나왔음   2.4 유추한 문제 웹 기반 콘솔에서는 더이상 안되겠다는 판단 인증서 업로드가 안되기 때문에 마지막 단계에서 파일을 찾지 못한다고 [ more… ]

No Image

Mozilla SSL Configuration Generator

2016-10-14 KENNETH 0

URL : https://mozilla.github.io/server-side-tls/ssl-config-generator/   웹서버,openssl 버전 별로 SSL 설정을 자동화 해서 안내 해줌… 세상에 이걸 첨 알다니.. ㅋㅋㅋㅋㅋㅋ   샘플로 한번 해보자면 1. httpd-2.4 & openssl-1.0.1e <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key # Uncomment the following directive when using client certificate authentication #SSLCACertificateFile /path/to/ca_certs_for_client_authentication # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security "max-age=15768000" … </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLHonorCipherOrder on # OCSP Stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000)   2. httpd-2.2 & openssl-1.0.1e <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key # Uncomment the following directive when using client certificate authentication #SSLCACertificateFile /path/to/ca_certs_for_client_authentication # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security [ more… ]