Posts Tagged ‘ssl’

Importar certificado (.cer) por linha de comando no Windows

janeiro 7th, 2016

O comando é o seguinte

certutil -addstore -enterprise -f "CA" "C:\certificado.cer"

-addstore para adicionar um certificado
-enterprise para adicionar o certificado a nível de computador, e não somente ao usuário
-f para forçar substituição
“CA” para onde será importado o certificado, no caso é para Autirudades de certificação intermediárias. Poderia ser “My”, para importar em Pessoal
“C:\certificado.crt” é o caminho da onde está localizado o certificado.

Criptografia obsoleta ou moderna no Chrome

julho 22nd, 2015

Ter a configuração de criptografia moderna no Chrome, não significa que ela seja a ideal para a configuração do SSL, pois habilitando o diffie-hellman(DH) faz com que o Chrome exiba criptografia moderna, mas o DH é considerado inseguro. Um exemplo é o host https://dh768.serverhello.com/ , ele tem criptografia moderna mas segundo a SslLabs ele tem avaliação F, ou seja, inseguro.

https://www.ssllabs.com/ssltest/analyze.html?d=dh768.serverhello.com

Referência: https://community.qualys.com/thread/15230

Chaves no windows 2012 para configuração de SSL

maio 21st, 2015

A configuração de ssl cipher, o ordenamento delas, ficam na chave

HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002

Já a configuração para habilitar ou desabilitar determinadas cipher, hashes, keys exchange e protocolos para SSL ficam na chave

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Esse site me ajudou a configurar de uma maneira boa, além de modificações de segurança até a data atual.
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

É possível testar o teu site no link abaixo:
https://www.ssllabs.com/ssltest/analyze.html

 

Exportando chave de uma solicitação de SSL no windows

junho 22nd, 2012

Para pegar a chave privada(private key) de uma solicitação de ssl no windows,  exporte ela no gerenciador de ssl em certificados > solicitações de registro de certificado > certificados, o comando é o seguinte

openssl pkcs12 -in REQUEST.pfx -out PRIVATEKEY -nodes -nocerts

o request.pfx, é o arquivo exportado com a chave da solicitação do ssl, o privatekey.key, é o nome do arquivo de saída da chave

Tendo a chave, é possível fazer o certificado com o openssl, conforme visto nesse post

Como configurar ssl 256 bits no IIS 6

setembro 13th, 2011

Por padrão o IIS 6 faz criptografia do SSL em 128 bits

para aumentar para 256, faça os seguintes passos

1) Instale o seguinte hotfix da microsoft:

http://support.microsoft.com/kb/948963

O download direto pode ser feito nesse link ou nesse

2) Abra o regedit.exe, vá até a seguinte chave

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

No registro AES 128/128 crie um novo registro com o valor DWORD, coloque o nome de “enabled”, configure com o valor 0 para ele, isso fará com que o AES 128 seja desabilitado.

3) Reinicie o IIS e faça um novo teste

Fonte: http://blogs.msdn.com/b/asiatech/archive/2009/11/11/how-to-use-256-bit-ssl-in-iis-6-0.aspx

ssl_error_rx_record_too_long

fevereiro 7th, 2011

Falha na conexão segura

Ocorreu um erro durante uma conexão com www.lubelli.com.

O SSL recebeu um registro que excedia o comprimento máximo permitido.

(Código do erro: ssl_error_rx_record_too_long)

*   A página que você está tentando abrir não pode ser exibida porque a autenticidade dos dados recebidos não pôde ser comprovada.

*   Por favor, contate os responsáveis pelo site para informá-los sobre este problema. Você também pode usar comando localizado no menu Ajuda para reportar o site como incompatível.

WHAT FUCK IS THIS???

Então, depois de apaganhar um pouco com esse pau de ssl, descobri que o problema é por causa que o servidor não está ouvindo a porta 443 do ssl, ou ele não tá configurado no vhost do servidor, no meu caso, ele tava configurado com a porta 80, alterei pra 443 e o negócio saiu bombando.

Gerar chave CSR de 2048 bits com openssl

janeiro 21st, 2010
Executa isso na shell, barbada:

openssl req -new -nodes -newkey rsa:2048 -keyout dominio.com.br.key -out dominio.com.br.csr

Exportando/convertendo arquivos de certificados SSL

outubro 28th, 2009

Nunca mais me encomodo com isso, seguinte, no servidor linux, quando tu gera um certificado, é preciso o arquivo .key, que é a chave do certificado para aquele servidor, e o arquivo .crt, que é o arquivo do » Read more: Exportando/convertendo arquivos de certificados SSL