我需要使用来自单个IP的SSL托pipe多个Apache虚拟主机。 现在我明白了,因为SSL绕过了HTTP请求,所以没有办法知道哪个主机被请求,直到公钥先被发送到客户端。 这基本上打破了使用标准SSL证书的SSL虚拟主机的可能性。 我已经获得统一通信证书(UCC),也称为主题备用名称(SAN)证书。 这使我可以为多个域提供相同的证书。 我希望这是Apache为任何 SSL请求服务的证书 – 然后让Apache像往常一样parsing虚拟主机,一旦encryptionbuild立起来。 我应该如何configurationApache呢? 我试图研究如何做到这一点,但是我所能find的只是引号,说这是可能的,但没有具体的说法: wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI 虽然Apache可以在请求(和确定)中看到主机名后再重新协商SSL连接,但在初始握手过程中select正确的服务器证书来匹配请求主机名已经太晚了,导致浏览器出现有关证书的警告/错误在他们错误的主机名。 serverfault.com/questions/48334/apache-virtual-hosts-with-ssl 顺便说一下,可以在一个IP地址上有多个SSL安全的命名虚拟主机 – 我在我的网站上这样做 – 但是它会在Apache日志中产生各种警告,并在浏览器中产生证书警告。 我当然不会推荐它的生产网站,需要看起来干净。 大卫7月31日4:58 www.digicert.com/subject-alternative-name.htm 虚拟主机单个IP地址上的多个SSL站点。 在单台服务器上托pipe多个启用了SSL的站点通常需要每个站点具有唯一的IP地址,但具有使用者替代名称的证书可以解决此问题。 使用统一通信SSL(也称为SAN证书),Microsoft IIS 6和Apache都能够使用虚拟主机HTTPS站点。 请帮忙。
我们为Network Solutions的网站提供SSL证书。 在将Apache / OpenSSL升级到版本2.4.9之后,现在在启动HTTPD时出现以下警告: AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead 按照mod_ssl的Apache手册,确实如此: SSLCertificateChainFile已被弃用 当SSLCertificateFile被扩展为也从服务器证书文件加载中间CA证书时,SSLCertificateChainFile在版本2.4.8中变得过时了。 查找SSLCertificateFile的文档,看起来像我只需要用SSLCertificateFilereplace我的调用SSLCertificateChainFile 。 这个改变把我的ssl.conf从这个变成了: SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt 对此: SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt SSLCertificateKeyFile /etc/ssl/server.key …但这不起作用。 Apache只是拒绝启动没有任何错误信息。 我不知道还有什么可以尝试的,因为我不熟悉mod_ssl或者SSL证书。 我记得我们需要为Internet Explorer添加Apache_Plesk_Install.txt文件,以便在我们的网站上没有SSL警告,但除此之外 ,我不知道。 任何帮助将不胜感激。 谢谢。
Web服务器的SSL证书有什么区别,比如扩展validation,Smart Seal,通配符,单根? 什么证书适合什么需要?
如何从.p12文件生成.key文件和.crt文件?
我已经为内部networkingexample.com创build了一个自定义的根证书颁发机构。 理想情况下,我希望能够将与此证书颁发机构相关联的CA证书部署到我的Linux客户端(运行Ubuntu 9.04和CentOS 5.3),以便所有应用程序自动识别证书颁发机构(即,我不想拥有手动configurationFirefox,Thunderbird等以信任此证书颁发机构)。 我试图通过将PEM编码的CA证书复制到/ etc / ssl / certs /和/ usr / share / ca-certificates /以及通过修改/etc/ca-certificates.conf并重新运行update- CA证书,但是应用程序似乎并不认识到我已经为系统添加了另一个可信的CA. 因此,是否可以向系统添加一次CA证书,或者是否需要手动将CA添加到所有可能的应用程序中,这些应用程序将尝试与我的networking中由此CA签名的主机build立SSL连接? 如果可以向系统添加一次CA证书,那么它需要去哪里? 谢谢。
我有一个在EC2实例上运行的Ubuntu服务器。 要login到该服务器,我使用没有任何密码的证书文件。 我已经安装并configuration了vsftpd并创build了一个用户(我们称他为“testuser”),为此我设置了一个/ bin / false sshterminal,这样他就只能通过sftp连接上传/访问他家的文件目录。 但是 – 当我尝试从我的电脑连接到服务器,运行 sftp testuser@my-ec2-server 我明白了 权限被拒绝(publickey)。 连接closures 消息,所以我无法login。 我怎样才能删除这个用户的证书要求(也就是说,“Ubuntu的”用户仍然必须使用证书文件通过SSHlogin),所以普通的sftp客户端将能够使用用户名和密码连接? 谢谢。 PS在微型实例上使用Ubuntu Server 10.10的官方AMI,来自规范的64位。
我使用SSL证书供应商(RapidSSL,FWIW)的“重发证书”function来获得新证书 – 这样做时,我创build并使用了一个新的私钥和密码短语。 重新签发证书是否导致先前颁发的证书失效? 如果是这样,需要多长时间?
我正在尝试为一个小团队安装开发工具,但无法获得身份validation权限。 由于我们是分布式团队,服务器在互联网上。 我想要SSO +零客户端configuration。 所以基本上git over https + webdav是不切实际的,因为git客户端只能使用基本的身份validation,而不能保存密码,有些IDE插件甚至不会在其UI中转发密码问题。 然后我必须通过SSH使用Git。 我安装gitosis,它基本上与非对称密钥,确定。 我将不得不要求每个开发者安装他们的密钥,我可以这样做,忘记零configuration。 然后,我希望开发人员访问https上的Web工具(维基,门票等),但这次我必须给他们一个login名/密码或另一个私钥,因为这些格式在SSH之间不兼容而SSL和在OS上存储它的地方是不一样的。 现在,我必须忘记SSO? 我错了吗?
我公司有一个内部authentication机构,目前是自签名的。 由于我们想要开始使用它来进行外部SSL和保护电子邮件给我们的客户,我们需要得到它的信任。 有没有人知道为内部PKI获得可信根证书的成本? 4个数字? 5个数字? 6个数字? 我们雇用2000-3000之间。
您可以使用* .domain.com作为名称来创buildSSL证书。 但不幸的是,这不包括https://domain.com 有没有解决这个问题?