我目前使用没有密码短语的服务器SSL证书来允许Apache无人值守启动。 有客户的迹象要求我们更安全地保护SSL证书。 我不确定他们的目标是什么,但现在我想他们不希望在磁盘上存在不受保护的SSL证书。 我想我不能避免在Apache内存中明确表示,但让我们假设这是可以接受的。 我想出了一个精心devise的系统,在内部服务器上(即不在一线networking服务器上)保存进程内存的口令,并使用Apache SSLPassPhraseDialog( http )将其传递给前端服务器://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog )。 内部服务器在启动时必须input密码,我们将有多个这样的服务器进行负载均衡以实现高可用性。 我的问题是: “大男孩”如何保护他们的SSL证书? 他们只是强迫他们的东西在服务器重新启动时input密码短语,还是像我们其他人那样保持密码不encryption? 我对开源的经验是,有人很有可能已经解决了我面对的任何问题 – 这样的系统已经可用了吗? 从业务水平的angular度来说,仅仅说我们保持证书不encryption,并且只是在被盗的情况下迅速撤销证书,是否合理呢?
我正在尝试生成一个SSL证书的CSR,以encryption到位于Windows Server 2008服务器上的SqlServer 2008实例的连接。 我读过的大多数文档都提到在IIS中使用CSR向导。 这是一个没有安装IIS的专用数据库服务器。 其他文档说使用MMC证书pipe理器pipe理单元并右键单击证书(本地计算机) – 个人下的证书节点,然后select“所有任务\请求新证书”。 我在“所有任务”下没有这个选项。 我所有的任务都是“导入…”和“高级操作…”。 然后在高级操作下,我可以select“创build自定义请求”,这似乎需要更多的信息,比我已经提供给我。 有没有人遇到过这种情况之前和/或有任何build议如何使用我的SSL证书提供商可以处理的模板生成一个CSR? 非常感谢, 特里
我目前正在为员工部署一个网站来远程使用,并希望确保它是安全的。 我在想是否可以build立某种证书authentication,在那里我会生成一个证书,并将其安装在笔记本电脑上,以便他们可以访问该网站? 我真的不希望他们自己生成证书,因为这很容易出错。 这是多么容易/可能,我该如何去做呢?
我正在使用websvn与远程存储库。 该存储库使用https协议。 在configurationwebsvn之后,我进入websvn网页: svn –non-interactive –config-dir /tmp list –xml –username '***' –password '***' 'https://scm.gforge…..' OPTIONS of 'https://scm.gforge…..': Server certificate verification failed: issuer is not trusted 我不知道如何指示websvn执行svn命令来接受和存储证书。 有人知道怎么做吗? 更新: 有用! 为了使组织得当,我已经更新了WebSVNconfiguration文件,将subversion config目录重定位到debian的默认path/ etc / subversion : $config->setSvnConfigDir('/etc/subversion'); 在/ etc / subversion / servers中,我创build了一个组,并将证书关联到信任: [groups] my_repo = my.repo.url.to.trust [global] ssl-trust-default-ca = true store-plaintext-passwords = no [my_repo] ssl-authority-files […]
我已经使用openssl生成了一个证书,并将其放置在客户端的机器上,但是当我尝试使用该证书连接到我的服务器时,我在服务器的主题行中提到了错误。 这是我所做的。 1)我使用openssl进行testing连接,看看可接受的客户端证书CA名称是为我的服务器,我从我的客户端机器发出此命令到我的服务器: openssl s_client -connect myupload.mysite.net:443/cgi-bin/posupload.cgi -prexit 我回来的部分是: Acceptable client certificate CA names /C=US/ST=Colorado/L=England/O=Inteliware/OU=Denver Office/CN=Tim Drake/[email protected] /C=US/ST=Colorado/O=Inteliware/OU=Denver Office/CN=myupload.mysite.net/[email protected] 2)以下是服务器上关于SSL客户端authentication的apacheconfiguration文件中的内容: SSLCACertificatePath /etc/apache2/certs SSLVerifyClient require SSLVerifyDepth 10 3)我使用mypos.pem和mypos.key生成了一个名为“client.pem”的自签名客户端证书,所以当我运行这个命令时: openssl x509 -in client.pem -noout -issuer -subject -serial 这里是返回的内容: issuer= /C=US/ST=Colorado/O=Inteliware/OU=Denver Office/CN=myupload.mysite.net/[email protected] subject= /C=US/ST=Colorado/O=Inteliware/OU=Denver Office/CN=mlR::mlR/[email protected] serial=0E (请注意,mypos.pem位于/ etc / apache2 / certs /中,而mypos.key保存在/ etc / apache2 / certs […]
比方说,我从一个证书开始。 使用openssl我可以像这样打印出来: openssl x509 -in cert.pem -text -noout 我会得到一些输出,如Validity , Issuer和Subject以及Authority Key Identifier和Subject Key Identifier 。 如何使用这些字段来计算链中的下一个证书? 然后,一旦我获得下一个证书,计算出下一个证书应该是什么等等。 基本上我想要制定完整的链条,并按照EC2负载平衡器的正确顺序进行操作。 由于networking解决scheme似乎不只是给你一个捆绑工程。 他们给你个人的证书,我已经尝试了很多不同的EC2订单,但仍然没有得到它的工作。 我最后一个打赌是尝试openssl,并手动工作,而不是猜测。
抽象 我需要从多个客户端到Internet上的单个端口的encryption的TCP连接。 这可以用Squid来实现吗? 具体情况 我们在我们公司使用监控和客户端pipe理解决scheme,可通过局域网和VPN访问。 现在应该可以从不使用公司VPN的外部笔记本电脑访问。 通信必须encryption(TLS)。 客户端authentication必须使用客户端证书。 通信由客户端启动,并使用单个TCP端口。 我的调查结果 NGINX Plus似乎提供了这个function,但我们的pipe理员喜欢鱿鱼或阿帕奇。 在鱿鱼维基上,我发现: function:提到TCPencryption的HTTPS(HTTP安全或HTTP over SSL / TLS) 。 但是我也发现这个警告: 注意通过CONNECT传递的协议并不局限于Squid通常处理的协议。 毫不夸张地说,任何使用双向TCP连接的东西都可以通过CONNECT隧道传递。 这就是为什么Squid默认的ACL以拒绝CONNECT!SSL_Ports开始,为什么你必须有一个很好的理由把任何types的允许规则放在它们上面。 类似的问题 此问题使用SSLencryption与squid转发代理的客户端连接是simlar,但不处理反向代理/ TLS终止代理。 我需要知道的 我只有关于这些技术的基本知识,我们的pipe理员要求我提供一般的可行性。 Squid可以用来保存TCP连接的encryption吗? 这可以使用客户端证书进行身份validation来实现吗 还是应该只用于HTTPS连接?
我正在尝试安装Dynamics CRM 2011 RC并将其configuration为面向Internet的部署。 其中一个要求是通配符SSL证书。 由于我正在安装开发/testing服务器,所以我没有真正的证书预算。 所以… 在Windows中创build自签名通配符SSL证书的最简单方法是什么?
我们正在部署使用Windows Server 2008 NAC作为RADIUS服务器的无线networking。 当Windows XP或7客户端连接时,它们初始化失败。 为了使客户端连接,我们必须手动添加networking,并取消选中“validation服务器证书”,如下面的截图所示。 有谁知道一种避免必须这样做的方法? 我们非常乐意从Verisign,Thwarte等购买证书,如果它会帮助我们尝试我们的Comodo通配符SSL证书,但没有解决这个问题。 这些机器属于最终用户,所以我们不能轻易地使用组策略或registry黑客来控制设置。
我怀疑构buildCRLcaching的过程可能会在某些应用程序中造成延迟。 我们有几个.NET应用程序偶尔会“慢”,没有CPU或磁盘访问。 我怀疑在尝试validation证书时,它们挂起了身份validation,因为超时时间将近20秒。 按照这个MSFT文章 大多数应用程序不指定CryptoAPI使用累积超时。 如果累计超时选项未启用,则CryptoAPI将使用CryptoAPI默认设置,即每个URL超时15秒。 如果应用程序指定的累计超时选项,则CryptoAPI将使用默认设置20秒作为累积超时。 第一个url的最大超时时间为10秒。 每个后续的URL超时值是累计超时值中剩余余额的一半。 由于这是一个服务,我如何检测和loggingCryptoAPI挂起我有源代码的应用程序,也是第三方