Tôi đang tạo chứng chỉ SSL tự ký để bảo vệ phần quản trị viên của máy chủ của mình và tôi tiếp tục nhận được thông báo này từ OpenSSL:
không thể viết 'trạng thái ngẫu nhiên'
Điều đó có nghĩa là gì?
Đây là trên một máy chủ Ubuntu. Tôi đã nâng cấp libssl để sửa lỗ hổng bảo mật gần đây .
Câu trả lời:
Trong thực tế, lý do phổ biến nhất cho điều này xảy ra dường như là tệp .rnd trong thư mục chính của bạn được sở hữu bởi root chứ không phải tài khoản của bạn. Cách khắc phục nhanh:
sudo rm ~/.rnd
Để biết thêm thông tin, đây là mục từ Câu hỏi thường gặp về OpenSSL :
Đôi khi, tiện ích dòng lệnh openssl không hủy bỏ với thông báo lỗi "PRNG không được gieo", nhưng phàn nàn rằng nó "không thể ghi 'trạng thái ngẫu nhiên'". Thông báo này đề cập đến tập tin gieo hạt mặc định (xem câu trả lời trước). Một lý do có thể là không có tên tệp mặc định nào được biết vì cả RANDFILE và HOME đều không được đặt. (Phiên bản lên đến 0.9.6 tệp đã sử dụng ".rnd" trong thư mục hiện tại trong trường hợp này, nhưng điều này đã thay đổi với 0.9.6a.)
Vì vậy, tôi sẽ kiểm tra RANDFILE, HOME và quyền để ghi vào những nơi đó trong hệ thống tập tin.
Nếu mọi thứ dường như theo thứ tự, bạn có thể thử chạy với strace và xem chính xác những gì đang xảy ra.
sudođiều đó và nó đã làm việc. Nhưng tại sao tôi vẫn có một .rndthư mục được root bởi $ HOME sau khi tôi tạo chứng chỉ tự ký?
/var/www/.rndvà truy cập nó www-data. (Giả sử đó /var/wwwlà www-datathư mục nhà của nó, có trên hầu hết các hệ thống. Bạn có thể kiểm tra www-datathư mục nhà của mình với cat /etc/passwd | grep www-data)
Tôi biết câu hỏi này là trên Linux, nhưng trên windows tôi cũng gặp vấn đề tương tự. Hóa ra bạn phải bắt đầu dấu nhắc lệnh trong chế độ "Chạy với tư cách quản trị viên" để nó hoạt động. Nếu không, bạn sẽ nhận được cùng một lỗi: không thể viết lỗi 'trạng thái ngẫu nhiên'.
set RANDFILE=.rndtrước khi thực hiện openssl.
$env:RANDFILE=".rnd"hơn set RANDFILE=.rnd.
Một vấn đề khác trên nền tảng Windows, hãy đảm bảo bạn đang chạy dấu nhắc lệnh của mình với tư cách là Người dùng quản trị!
Tôi không biết điều này đã cắn tôi bao nhiêu lần ...
Rõ ràng, tôi cần chạy OpenSSL với quyền root để nó có quyền đối với tệp seeding.
Tôi đã có điều tương tự trên máy chủ windows. Sau đó, tôi đã tìm ra bằng cách thay đổi vars.batđó là:
set HOME=C:\Program Files (x86)\OpenVPN\easy-rsa
sau đó làm lại từ đầu và mọi thứ sẽ ổn
set HOME=.
Bạn nên đặt biến môi trường $ RANDFILE và / hoặc tạo tệp $ HOME / .rnd. ( Câu hỏi thường gặp về OpenSSL ). (Tất nhiên, bạn nên có quyền đối với tệp đó. Những câu trả lời khác ở đây là về điều đó. Nhưng trước tiên, bạn nên có tệp và tham chiếu đến nó.)
Lên đến phiên bản 0.9.6 OpenSSL đã ghi tệp gieo vào thư mục hiện tại trong tệp ".rnd". Tại phiên bản 0.9.6a, bạn không có tệp seeding mặc định. OpenSSL 0.9.6b trở lên sẽ hoạt động tương tự 0.9.6a, nhưng sẽ sử dụng mặc định "C: \" cho HOME trên các hệ thống Windows nếu biến môi trường chưa được đặt.
Nếu tệp gieo hạt mặc định không tồn tại hoặc quá ngắn, thông báo lỗi "PRNG không được gieo" có thể xảy ra.
Biến môi trường $ RANDFILE và $ HOME / .rnd chỉ được sử dụng bởi các công cụ dòng lệnh OpenSSL. Các ứng dụng sử dụng thư viện OpenSSL cung cấp các tùy chọn cấu hình riêng để chỉ định nguồn entropy, vui lòng kiểm tra tài liệu đi kèm với ứng dụng.
Tôi đã gặp vấn đề này ngày hôm nay trên AWS Lambda. Tôi đã tạo một biến môi trường RANDFILE = /tmp/.random
Điều đó đã lừa
sudo chown user:user ~/.rndlàm cho mọi thứ làm việc ra.