对于可能出站访问因特网,但其Web服务仅在内部运行并且无法从组织外部访问的仅供内部使用的服务器,是否可以安装经authentication的证书颁发机构颁发的SSL证书? 在这种情况下,域名将不能在组织外parsing,但是是有效的FQDN,例如它们可能是一个真实的.com域的子域,但是没有公共的DNSlogging,并且没有意图存在它可能被公众访问。 由于内部DNS服务器上的条目,域内部工作,防火墙故意将这些服务器分隔在内部networking上。 使用域名访问Web服务纯粹是为了帮助用户记住地址而不是IP地址和端口号,使用SSL将有助于防止内部嗅探/截取stream量(包括login细节)网页服务。 而不是直接购买这些域名的SAN SSL证书,我想我会先尝试Let's Encrypt的证书,看看它能否正常工作。 这是我遇到的域名所有权validation步骤 – 因为让我们encryption不能公开访问这些服务,并且公共DNS甚至不存在主机名/ Alogging。 如果我要创build一个公共DNSlogging,并将其指向另一个可公开访问的服务器,并托pipe该文件以进行所有权validation,那么是否足以满足要求并允许我手动下载和安装证书,或者我如果我随后删除公共DNSlogging和validation文件,可能会遇到更多问题? 在这种情况下,我不会使用“让我们encryption证书”,否则我不得不每隔90天都要这样做。 我有兴趣使用来自证书颁发机构的SSL证书而不是自签名的证书,以避免浏览器警告,设置和维护内部证书服务器以及必须在所有客户机设备上安装新证书颁发机构的麻烦。 是否有其他人在这里使用证书颁发机构颁发的证书(例如从Thawte,GoDaddy,GeoTrust,InstantSSL等)的内部/私人/离线服务器,如果是的话,你如何pipe理域validation过程? 看起来这是所有types的SSL – DV,OV,EV都需要的,但是如果我错了或者有例外,请纠正我。 除了我在这里讨论的内容之外,有没有更好的方式在内部使用SSL? 谢谢。
我安装了git。 现在,我安装了使用https访问repos的自签名证书,但Visual Studio(在Windows 7上)不能轻松地信任它(不是没有手动步骤来保存它并将其添加到受信任的根证书)。 它似乎不像大多数其他工具一样使用SSH。 这对某些用户来说可能有点不方便。 任何想法如何暂时解决这个问题? 如果我使用let-encrypt来replace我的自签名证书,Visual Studio(在使用https URL的Windows 7上)是否能够信任它? 此外,服务器暂时处于内部,域名尚未parsing给外部用户。 所以我不完全确定让encryption将工作。 作为最后一个select,如果我们从另一个CA那里支付并获得它,该怎么办? 它会工作吗? 有人可以帮我find这些信息吗?
我正尝试使用现有的LE证书与我局域网上的服务器。 我公开了端口443获得mine.example.com和https访问的证书,从WAN工作正常。 但是,我假设(也许愚蠢),我可能能够在内部使用相同的证书,通过在我的LAN上设置DNSredirect(在单独的框中使用dnsmasq),将mine.example.com指向本地IP。 redirect工作正常,当我去mine.example.com时,本地机器指向内部IP,但证书现在显示“证书颁发机构无效”错误。 也许我误解了CAstream程是如何工作的,但是我认为,由于LE证书是基于DNS的,所以他们仍应该使用本地DNSredirect。 有谁知道如何使这项工作? 或者任何人都可以解释为什么它不工作? 我知道我可以从LE获得本地机器的不同证书,但是这意味着尝试将服务器configuration为使用不同的证书来进行内部和外部访问。 假设我需要这样做,是否有一种简单的方法来根据源stream量使用不同的证书? 我将通过nginx和Webminpipe理面板来提供web内容,因此在configuration灵活性方面做nginx可能相对容易(虽然谷歌在这里也没有太多的帮助),但不能确定其他web服务在机器上运行? PS对不起,如果这是一个重复,但无法find任何有很多search这里(或谷歌)。
我想使用我们的encryption证书为我的域在一个directadmin服务器上… 对于主机名正在工作,我可以通过SSL访问主机名和directadmin控制面板,问题是我无法使用directadmin控制面板或SSH获取证书以用于其他域。 我试图解决这个问题? 如何启用LetsEncrypt 手动debugging/.well-known/acme-challenge/letsencrypt_12345 截图 如果我login到SSH:我可以添加到主机名最多100(子)域,我如何添加让我的encryption证书的我的域,并让他们的工作? 我不想为域使用主机名证书.. 编辑1 directadmin.conf SSL = 1 enable_ssl_sni = 1 letsencrypt = 1 输出:grep众所周知的/etc/httpd/conf/extra/httpd-alias.conf Alias /.well-known /var/www/html/.well-known Let's Encrypt正在运行,证书自动更新,唯一可以使用的域是主机名和一些相关的域,安装了用于directadmin服务器的最新版本的letsencrypt.sh。 我无法使用此服务器上托pipe的其他域的证书。 请在评论中提问如果您需要关于此问题的更多信息..
我有一个有几个Docker容器的Web服务器,其中一个是nginx 。 为了便于重新部署,服务器由脚本构build。 现在我想使用letsencrypt证书。 但: letsencrypt需要一个正在运行的HTTP Web服务器进行validation 启用了HTTPS的nginx需要启动证书。 该脚本无法首先启动nginx,因为证书将会丢失。 但是脚本也不能首先获取证书,因为这需要运行一个Web服务器。 经典鸡与鸡蛋的问题。 一个解决办法是 首先创build一个只有HTTPconfiguration的nginx, 运行certbot获取证书, 修改nginxconfiguration并以HTTPS模式重新启动Web服务器。 这似乎不是一个优雅的解决scheme,所以我想知道是否有人提出了一个更好的。
我是一个运行nginx服务非常简单的Kibana仪表板的服务器。 客户端连接到由nginx提供的https://subdomain.domain.eu 。 这显示https://subdomain.domain.eu:5601上由kibana托pipe的仪表板 nginx和kibana使用相同的证书来提供请求。 我们所有的浏览器接受证书并正确地显示网站。 只有我们的客户有麻烦,不接受这个证书。 他正在使用Internet Explorer运行Windows 7。 它显示以下错误: The security certificate that is used by this website, is issued to another address. The security certificate that is used by this website, is issued by a non trusted certificate authority. 我是从荷兰语翻译过来的,所以可能不符合英文的错误文字。 我去了客户端,他的DST Root CA X3在他的证书存储中被信任。 我们正在服务从服务器的完整证书链,并与ssl labs的testing给了我们一个A +。
我试图在Tomcat上启用SSL(在Google Compute Engine上运行Ubunbu实例上的自定义域)。 我创build了Let's Encrypt证书,它在/etc/letsencrypt/live/mydomain.com下创build了4个文件: cert.pem chain.pem fullchain.pem privkey.pem 然后: cd /etc/letsencrypt/live/mydomain.com openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out pkcs.p12 -name tomcat keytool -importkeystore -deststorepass mypassword -destkeypass mypassword -destkeystore KeyStore.jks -srckeystore pkcs.p12 -srcstoretype PKCS12 -srcstorepass mypassword -alias tomcat sudo cp KeyStore.jks /opt/tomcat/conf/.keystore 启用连接器: <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" URIEncoding="UTF-8" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/opt/tomcat/conf/.keystore" […]
我在Debian / jessie上安装了一个OpenVPN服务器,它使用用户/密码authentication(通过LDAP获得)授予我的用户访问VPN的权限。 该设置故意不使用客户端证书。 当然,服务器确实有主机vpn.example.com的证书。 要启动TLS会话,服务器和客户端共享一个通用的CA ,用于签署服务器的证书。 到现在为止,我已经build立了自己的PKI来签署我自己的服务器证书,并与所有的客户共享我自己的公共CA密钥。 这让我觉得很麻烦,因为每当证书过期时,我都必须向所有客户端分发新的CA证书。 它还要求我至less分发两个文件:configuration本身和伴随的证书,这使得用户部署更容易出错(而不是简单的:“将该configuration文件复制到该目录中”)。 相反,我想使用一些公共的,众所周知的PKI(例如let-encrypt / ACME)来签署我的服务器证书。 由于所有的客户端都已经接受了let-encrypt,所以这应该允许客户端只用他们的用户名/密码进行authentication(而没有“token”就像CA-key)。 不幸的是,似乎OpenVPN需要一个明确的CA-certificate (在服务器和客户端)。 有没有办法让openvpn信任一个服务器证书,如果它是由一些已经被系统信任的CA签名的话?
给这个设置:一个Nginx正在提供一个知名的文件夹,监听服务器上的80/443端口来交换Letsencrypt的密码。 这个证书是正确创build的,可以用在例如提到的Nginx中。 在尝试通过coturn使用证书时: listening-port=3478 tls-listening-port=5349 alt-listening-port=3479 alt-tls-listening-port=5350 … cert=/path/to/fullchain.pem pkey=/path/to/privkey.pem 当现在尝试启动coturn时,它看起来没有find/无法从日志中加载证书: WARNING: cannot start TLS and DTLS listeners because private key file is not set properly WARNING: cannot find private key file: /path/to/privkey.pem WARNING: cannot start TLS and DTLS listeners because certificate file is not set properly WARNING: cannot find certificate file: /path/to/fullchain.pem 现在我想知道使用letsencrypt SSL链设置coturn的正确方法是什么。
我目前正在运行几个docker集装箱。 一个用于nginx,一个用于我的节点js应用程序,最后一个用于创build和更新从authentication的encryption。 这工作相当好一段时间,但我遇到了一个问题。 在这个服务器上,我有5个域都安装了ssl。 但是现在我不能安装更多的证书。 我得到这个: – The following errors were reported by the server: Domain: domain1.com Type: unauthorized Detail: Incorrect validation certificate for tls-sni-01 challenge. Requested c7a966714b5363c594f152b27f947722.f767e462430a051872cd4eaab3969248.acme.invalid from MY_IP:443. Received 2 certificate(s), first certificate had names "domain0.com" 环顾四周后,我看到,如果我去“ https://domain1.com/ ”我得到一个错误信息,读取: Safari无法validation网站“domain1.com”的身份。 当我点击“显示证书”,它显示我domain0.com的证书 这是domain0.com的configuration server { listen 80; server_name domain0.com; location /.well-known/acme-challenge { proxy_pass http://certbot:80; […]