首页   注册   登录
 Hardrain 最近的时间轴更新

Hardrain

V2EX 第 64016 号会员,加入于 2014-06-01 15:48:15 +08:00
一个18岁的不可爱的男孩子
阿里云国际版邮件不用 SSL?
全球工单系统  •  Hardrain  •  63 天前  •  最后回复来自 ivmm
5
关于 fq 回国,并使用家庭宽带 IP 的方法
问与答  •  Hardrain  •  217 天前  •  最后回复来自 hadoop
30
关于开源协议
问与答  •  Hardrain  •  238 天前  •  最后回复来自 honeycomb
4
GeoIP+Firewall(IPTABLES, ufw, etc)的可行性
问与答  •  Hardrain  •  279 天前  •  最后回复来自 faicker
3
关于阿里云和回国代理的两个小问题
问与答  •  Hardrain  •  290 天前  •  最后回复来自 Hardrain
4
有没有可能反代一个 lofter 博客?
问与答  •  Hardrain  •  297 天前  •  最后回复来自 Tink
2
关于在 VPS 上运行 tcpdump 抓包
Linux  •  Hardrain  •  311 天前  •  最后回复来自 Hardrain
11
关于不能"免驱"的无线网卡
Linux  •  Hardrain  •  330 天前  •  最后回复来自 Owenjia
17
一个 WordPress 站,疑似被传后门
PHP  •  Hardrain  •  349 天前  •  最后回复来自 Hardrain
25
奇怪的日志内容
问与答  •  Hardrain  •  2017-08-01 13:48:55 PM  •  最后回复来自 torbrowserbridge
8
Hardrain 最近回复了
1 天前
回复了 59php 创建的主题 云计算 怎么看待 virmach 家 5 刀每年的 128M 的小鸡
价格屠夫
超售大王

石头盘
奇葩 TOS
记得重装系统还收费
5 天前
回复了 AllOfMe 创建的主题 程序员 你司有没有过运维事故?
@AllOfMe 不是我做的,是他们的开发搞的。

他们的开发好多测试直接在生产环境做(这就是我为什么说他们是垃圾公司)

要用一个(只)兼容旧版本 libc 的程序(好像是 RHEL 4 时代的),于是开发便不管不顾

不用容器(虚拟机 /docker)
不静态编译(libc.a)
不用 rpath 指定运行时 libc.so 的 path

就想到换掉系统的 libc.so.6

最后没重装,恢复模式下把安装介质上的 libc.so.6 拷回去并重建了 symlink,重启就好了
但生产环境出问题造成业务中断
6 天前
回复了 AllOfMe 创建的主题 程序员 你司有没有过运维事故?
(生产环境)误删 glibc +1
还不是删了那个 symlink,是把那个 so 文件删了

兼职遇到的垃圾公司
9 天前
回复了 RobertYang 创建的主题 NGINX Systemctl 配置 Nginx 自启动显示超时
@RobertYang 你的意思是"Nginx 开机后不能自动由 systemd 启动,但可以手动执行 systemctl start nginx.service 来启动"是吗?

检查一下 /usr/lib/tmpfiles.d 目录,有无 nginx 相关的文件。
可能 nginx 要在一个 tmpfs 的挂载点的某个子目录下创建 lock 或 pidfile,而这个子目录重启后没被创建。
需要用 tmpfiles 解决。syntax 参考该目录下其他文件即可。
10 天前
回复了 RobertYang 创建的主题 NGINX Systemctl 配置 Nginx 自启动显示超时
journalctl -xe -u nginx.service 的输出?
13 天前
回复了 henryshen233 创建的主题 硬件 请推荐硬盘我拿去上 NAS
依赖硬盘的可靠性 ×
RAID5/RAID1+离线备份 √
@xudzhang
检索 openssl 和 error 7 得到一结果,或有帮助:
https://serverfault.com/questions/653144/openssl-verify-error-7-at-1-depth-lookupcertificate-signature-failure
从这篇问答来看似乎是用户证书签名问题。

使用`openssl x509 -in {path_to_client_cert} -noout -text`看一下客户端证书所用签名算法。
另外,用`openssl verify -CAfile {path_to_client_verify_ca} {path_to_client_cert}`测试下签发的证书有无问题。
@xudzhang 很抱歉,我恐怕很难透过这些信息提供帮助

我检索了 nginx+{错误信息中的数字*}(其余的信息似乎都是 x.509 证书的一些字段),但无法找到任何有帮助的结果。
客户端有什么错误出现?
你可以尝试从客户端 /服务器抓一下包吗?

*:debug 6024|9450|error:7 等
ssl_client_certificate file;
ssl_verify_client on | off | optional | optional_no_ca;
ssl_verify_depth number;

你只需要关注以上三行
其中第三行的解释

(用于客户端验证的,下同)根 CA ------第 0 层
|
|_____中间 CA(a)-------第 1 层
| |
| |________用户 A 的证书----第 2 层
| |________用户 B 的证书----第 2 层
|_____用户 C 的证书----第 1 层

如果你把 depth 设为 1,只有 C 的证书会被信任;如果设成 2,所有三个用户的证书都被信任。
如果设成 0,则需要将根 CA 换成(唯一的)被信任的用户证书,且只有这个用户被信任。

一般地,如果证书的拓扑结构不是很复杂(压根没有中间 CA),设为 1 即可。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   2288 人在线   最高记录 3762   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 16ms · UTC 00:51 · PVG 08:51 · LAX 17:51 · JFK 20:51
♥ Do have faith in what you're doing.
沪ICP备16043287号-1