À l'aide d'OpenSSL ce qui ne “impossible d'écrire "aléatoire" d'état” signifie?

Je suis de la génération d'un certificat SSL auto-signé pour protéger mon serveur d'administration de la section, et je reçois ce message d'OpenSSL:

incapable d'écrire "aléatoire" d'état

Qu'est-ce que cela signifie?

C'est sur un serveur Ubuntu. J'ai mis à jour libssl de fixer la récente faille de sécurité.

InformationsquelleAutor Luke Francl | 2008-09-18
  1. 537

    Dans la pratique, la raison la plus courante pour ce qui se passe semble être que les .rnd fichier dans votre répertoire de base est la propriété de la racine plutôt que de votre compte. La solution rapide:

    sudo rm ~/.rnd

    Pour plus d'informations, voici l'entrée de la OpenSSL FAQ:

    Parfois la ligne de commande openssl utilité de ne pas abandonner avec un "GÉNÉRATEUR de ne pas têtes de série" message d'erreur, mais se plaint qu'il est "impossible d'écrire "aléatoire" d'état". Ce message fait référence à la valeur par défaut de semis de fichier (voir réponse précédente). Une raison possible est qu'aucun nom de fichier par défaut est connu parce que ni RANDFILE ni MAISON est. (Jusqu'à la version 0.9.6 utilisé le fichier ".rnd" dans le répertoire courant dans ce cas, mais cela a changé avec 0.9.6 un.)

    Donc, je voudrais vérifier RANDFILE, à la MAISON, et les autorisations d'écrire ces endroits dans le système de fichiers.

    Si tout semble être en ordre, vous pouvez essayer de courir avec strace et de voir ce qui se passe exactement.

    • Mon système me donnait cette question parce que la ".rnd" le fichier a été détenue par la racine plutôt que de mon utilisateur. Un rapide sudo chown user:user ~/.rnd fait tout le travail.
    • J'ai eu le même problème que l'OP. J'ai fait la sudo chose et cela a fonctionné. Mais pourquoi dois-je toujours un .rnd répertoire iwned par racine dans mon $HOME après j'ai créer un certificat auto-signé ?
    • Oui, si vous exécutez à partir de php, serveur web, l'utilisateur www-data, et vous devriez ajouter "à l'exportation" avant chaque openssl: shell_exec('exportation RANDFILE=".rnd";openssl ecparam -genkey -nom secp256k1'))
    • Si vous utilisez un langage de script comme PHP pour appeler openssl en tant que www-data, vous pouvez résoudre ce problème en créant /var/www/.rnd et chowning à www-data. (En supposant que /var/www est www-datadomicile dossier, qu'il est sur la plupart des systèmes. Vous pouvez le vérifier www-datadomicile dossier avec cat /etc/passwd | grep www-data)
    • quand je lance strace je peux voir qu'openssl est en train d'essayer d'accéder à /dev/arandom sur ubuntu 14.04 lts. Malheureusement, ce dispositif n'existe pas.
    • OpenSSL est probablement juste de la vérification pour voir si /dev/arandom (voir stackoverflow.com/questions/12886646/what-is-dev-arandom) existe avant de passer à /dev/random ou /dev/urandom. J'imagine que si OpenSSL ne pouvais vraiment pas trouver un hasard de l'appareil pour ouvrir, il serait jeter un autre (critique) erreur. Chercher quelque chose qui serait à l'origine; ne touch ~/.rnd et voir si vous obtenez un message d'erreur. Pour moi, j'avais fait sudo -su [username] lancer un interpréteur de commandes en tant qu'utilisateur différent, mais le $HOME variable était toujours à ma propre répertoire home de l'utilisateur, l'autre utilisateur ne pouvais pas accéder.
    • maintenant, il dit TXT_DB numéro d'erreur 2
    • J'ai été en utilisant Windows - bien sûr, j'avais besoin d'exécuter l'invite de CMD en tant qu'Administrateur! Ce faisant, contourné ce problème.
    • si simple. Jamais je n'aurais pu trouver cela sur mon propre. merci #SOF et @ville-laurikari

    InformationsquelleAutor Ville Laurikari
  2. 248

    Je sais que cette question est sur Linux, mais sous windows j'ai eu le même problème. S'avère que vous avez pour démarrer l'invite de commande dans "Exécuter en tant Qu'Administrateur" pour que cela fonctionne. Sinon vous obtenez le même: impossible d'écrire "aléatoire" d'état d'erreur.

    • Je suis en cours d'exécution sur windows en tant qu'administrateur mais toujours l'erreur
    • Être un administrateur sur l'ordinateur et de l'utiliser "Exécuter en tant Qu'Administrateur" sont différents. "Exécuter en tant Qu'Administrateur" force le programme à exécuter en tant qu'Administrateur, sinon, même si vous êtes un administrateur, vous êtes invité à exécuter avec un non-administrateur de l'habilitation de sécurité.
    • Si vous exécutez en mode administrateur et que vous êtes toujours réception "Impossible d'écrire "aléatoire" d'état", une autre solution est de set RANDFILE=.rnd avant l'exécution de openssl.
    • Dans Powershell c'est $env:RANDFILE=".rnd" plutôt que set RANDFILE=.rnd.
    • Quel est l'inconvénient de ne PAS le faire?
    InformationsquelleAutor Beachhouse
  3. 38

    Une autre question sur la plate-forme Windows, assurez-vous que vous exécutez votre invite de commande en tant qu'Utilisateur administrateur!

    Je ne sais pas combien de fois cela m'a mordu...

    • d'autres ont suggéré la création de cet ensemble RANDFILE=.rnd a fonctionné pour moi, sans faire la ligne de cmd avec l'Administrateur
    InformationsquelleAutor joel
  4. 15

    Apparemment, j'nécessaires à l'exécution de OpenSSL en tant que root pour avoir l'autorisation de l'ensemencement de fichier.

    • Il est plus probable qu'une fois, a couru en tant que root, après quoi la .rnd fichier dans votre répertoire home a été créé avec les autorisations définies pour root uniquement. Ce qui s'est passé pour moi un moment de retour. La suppression de .rnd a résolu le problème.
    InformationsquelleAutor Luke Francl
  5. 12

    J'ai eu la même chose sur windows server. Puis j'ai compris par la modification de la vars.bat qui est:

    set HOME=C:\Program Files (x86)\OpenVPN\easy-rsa

    puis recommencer depuis le début et tout devrait bien se passer.

    • qui était-il! merci. j'ai fait ce changement de droite dans l'entre-deux de la "init-config" et "vars" les commandes de la notice (ici: openvpn.net/index.php/open-source/documentation/howto.html#pki). doit être parce que j'ai installé la version 32 bits (que je préfère).
    • Qui a fait le tour, et je n'ai pas eu à exécuter en tant qu'administrateur. Merci! En fait, j'ai simplement utilisé set HOME=.
    InformationsquelleAutor Jusuf
  6. 6

    Le problème pour moi est que j'ai eu .rnd dans mon répertoire de base, mais il a été possédé par la racine. De le supprimer et de rééditer la commande openssl fixe cette.

    InformationsquelleAutor Zds
  7. 2

    Vous devez définir l' $RANDFILE variable d'environnement et/ou de créer un $HOME/.rnd fichier. (OpenSSL FAQ). (De sûr, vous devriez avoir les droits sur ce fichier. D'autres réponses ici sont à ce sujet. Mais d'abord vous devez avoir le fichier et une référence.)

    Jusqu'à la version 0.9.6 OpenSSL a écrit le semis fichier dans le répertoire courant dans le fichier ".rnd". À la version 0.9.6 un vous n'avez pas de défaut de semis de fichier. OpenSSL 0.9.6 b et, plus tard, va se comporter de la même manière à 0.9.6 un, mais l'utilisation d'une valeur par défaut de "C:\" pour la MAISON sur les systèmes Windows si la variable d'environnement n'a pas été définie.

    Si la valeur par défaut de semis fichier n'existe pas ou est trop court, le "GÉNÉRATEUR de ne pas têtes de série" message d'erreur peut se produire.

    L' $RANDFILE variable d'environnement et $HOME/.rnd ne sont utilisés que par la ligne de commande OpenSSL outils. Les Applications utilisant la bibliothèque OpenSSL fournir leurs propres options de configuration pour spécifier la source d'entropie, s'il vous plaît consulter la documentation de l'application.

    InformationsquelleAutor Gangnus