我只需要知道这个服务器是否与TLS 1.2兼容,通过这个消息: remote:~ Xserver$ openssl s_client -connect X:443 -tls1_2 CONNECTED(00000003) 140735304528736:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:362: — no peer certificate available — No client certificate CA names sent — SSL handshake has read 5 bytes and written 7 bytes — New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated […]
我有一个Ubuntu 16.04 VPS。 我使用Letsencrypt为我的SSL证书创build或创build证书时,他们问你是否想要简单或安全的访问。 安全意味着它将redirect到https,无论如何。 这在主页上工作,但它不能在子域上工作。 我没有redirect到https,我只是看到我的index.html什么只是Apache的默认页面。 那么我该如何解决这个问题呢? 我的虚拟主机: <VirtualHost *:80> ServerName school.luukwuijster.eu Redirect / https://school.luukwuijster.eu ServerAdmin webmaster@localhost DocumentRoot /var/www/html/school.luukwuijster.eu/public/ <Directory /var/www/html/school.luukwuijster.eu/public/> AllowOverride All Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined RewriteEngine on RewriteCond %{SERVER_NAME} =school.luukwuijster.eu RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent] </VirtualHost> LE-SSL: <IfModule mod_ssl.c> <VirtualHost *:443> ServerName school.luukwuijster.eu ServerAdmin webmaster@localhost DocumentRoot /var/www/html/school.luukwuijster.eu/public/ <Directory […]
我想问,如果有我的服务器的任何pipe理员(如Webmin或Plesk或其他),支持通过HTTPS访问? 当我尝试login到Webmin或Plesk时,Google Chrom总是在URL前敲出https,并表示使用此网站并继续进行是不安全的。 也许不知何故,我可以安装webmin,以便我可以通过webmin.myurl.com或myurl.com/webmin访问它,以便我可以使用我的LetsEncrypt证书吗? 或者是否有任何其他好的AdminPanel像webmin,支持真正的HTTPS(也许通过LetsEncrypt)?
我正在尝试为即将到来的Chrome“非安全显示”v56版本做准备。 我运行一个网站服务: example.com 我给每个客户一个子域的服务: cust1.example.com , cust2.example.com等 几年前,我将服务configuration为接受www.cust1.example.com , www.cust2.example.com等。主要是因为客户总是将“www”添加到所有内容的前面。 我想确保他们得到他们的网站,而不是一个“无效域”的消息。 我购买了通配符SSL证书*.example.com来覆盖客户网站。 显然,这不适用于www.cust1.example.com等。我的大多数客户没有使用HTTPS,所以这不成问题。 现在的浏览器现在迫使https成为一个问题。 我已经尝试使用mod_rewrite来解决这个问题。 RewriteCond %{HTTP_HOST} ^www\.([^\.]+)\.example\.com$ [NC] RewriteCond %{SERVER_PORT} =443 RewriteRule ^(.*)$ https://%1.example.com/$1 [R=302,E=nocache:1,L] 注意:在testing解决scheme时,我使用了302,所以我不会无意中将redirect推入浏览器的caching,并且不能再次更改。 问题是,当您在浏览器中使用HTTPS启动时,从服务器提供的redirect仍然会触发ERR_CERT_COMMON_NAME_INVALID错误,然后才能redirect以删除“www”并转到具有有效证书的页面。 如何在不触发浏览器的不安全响应的情况下删除HTTPSstream量上的“www”前缀?
我在AWS Elastic Beanstalk上构build应用程序(这是一个负载平衡器,其中有一组实例在他身后工作)。 我想为我的弹性beanstalk添加子域并使用SSL。 我可以在负载平衡器上设置HTTPS。 但是,我也需要将其设置在他后面的实例上。 是否有可能将我的子域绑定到负载均衡器,并在他身后的实例上使用服务器证书? 我的理由是,我必须通过nginxvalidation我的实例上的客户端证书。 但是为了validation客户端证书,我还需要在服务器证书中使用SSL。 负载均衡器背后的实例是否有可能使用相同的服务器证书,而这些实例不在任何子域下 – 也不在服务器证书中注册的子域下面?
我无法使用Apache将HTTPredirect到HTTPS,因为我们在客户端和服务器之间有多个代理。 HTTPS在面向负载平衡器的互联网上被终止,所有其他设备(包括服务请求的Apache服务器)都使用HTTP。 我可以看到,所有Apache看起来都是HTTP链中最后一个代理的X-Forwarded-Proto。 我该如何强制它查看真正的X-Forwarded-Proto头(远程客户端)?
我有两种configuration(开发和分段) – 具有(假定)相同的configuration:一组仅包含HTTP的Apache实例,位于Citrix负载均衡器之后,允许HTTP和HTTPS连接。 Apache VirtualHost定义包含以下指令: RedirectMatch permanent /something/endpoint(.*)$ /something/otherendpoint$1 SSLProxyEngine On ProxyPass /something/endpoint ! ProxyPass /something https://192.168.1.100:6443/something <Location /something> ProxyPassReverse https://192.168.1.100:6443/something </Location> 所以,我想代理任何请求/something到不同的后端HTTPS服务器,除了/something/endpoint ,我需要redirect。 现在,在我的开发环境中一切正常。 我可以访问http://hostname/something/endpoint ,它会将我redirect到http://hostname/something/otherendpoint 。 同样,我可以访问https://hostname/something/endpoint ,它会将我redirect到https://hostname/something/otherendpoint 。 但是在暂存环境中, http://hostname/something/endpoint和https://hostname/something/endpointredirect到http://hostname/something/otherendpoint – 它不保留HTTPS。 我一直在拉我的头发,试图找出两种configuration之间的区别。 必须有东西导致Apache不尊重访问协议,但我无法隔离它。 在两种环境中,HTTP响应标头都是相同的,除了指定http而不是https的redirectLocation标头。 任何关于什么configuration差异可能会导致这种想法?
我有一个运行在MAMP主机(mac os x)上的开发网站,我想在客户端机器上(也在移动设备上 – 所有mac os上)查看。 所有连接到相同的局域网(无线)。 我已经成功地在主机上设置了一个Squid代理,并且可以在普通浏览器中查看客户端上的HTTP主机。 但是我在查看SSLencryption的时遇到了一些麻烦。 在开发环境中使用SSL非常重要,因为我正在生产中使用它。 我希望有人能帮我弄清楚如何工作! 提前致谢。 我使用https://www.mydomain.dev:8899访问主机上的站点。 它在所有浏览器中都能正常工作。 本地IP:主机192.168.0.99 ,客户端192.168.0.98 。 我使用地址http://test.dev:8898在MAMP中设置了一个小testing虚拟主机,没有SSLencryption(它只是列出一个文件夹)。 我可以通过在浏览器中inputhttp://test.dev:8898在主机上访问它。 我创build了以下.pac文件,并将客户端计算机configuration为使用它进行代理configuration: function FindProxyForURL(url, host) { if (shExpMatch(url, "http://test.dev*")) { return "PROXY 192.168.0.99:3128; DIRECT"; } return "DIRECT"; } 当我启动squid时,通过下面显示的squidconfiguration,我确实可以在所有浏览器上访问客户端机器上的http://test.dev:8898 ,就像在主机上一样。 大。 现在我为dev站点设置了以下.pac文件: function FindProxyForURL(url, host) { if (shExpMatch(url, "https://www.mydomain.dev*")) { return "PROXY 192.168.0.99:3128; DIRECT"; } return "DIRECT"; […]
作为PCI的要求,我想在HTTPS上获取tomcat部署pipe理器,因为密码是以纯文本formsstream动的。 我尝试了这样的资源。 我目前的连接器如下所示: <Connector protocol="org.apache.coyote.ajp.AjpProtocol" executor="tomcatThreadPool" port="8301" address="0.0.0.0" tomcatAuthentication="false" redirectPort="443" proxyPort="443" connectionTimeout="1000" keepAliveTimeout="300000" packetSize="21000" maxHttpHeaderSize="3600000" /> 我可以成功访问给定端口上的pipe理器。 我通过添加下面的内容来改变security-contraint来启用HTTPS 。 <security-constraint> <web-resource-collection> <web-resource-name>Protected Context</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <!– auth-constraint goes here if you requre authentication –> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> 请指出我是否缺less任何东西。 任何博客或某种文件也将有所帮助。
我们在AWS上运行了几个LAMP服务器,其中有几十个网站,客户支付我们devise,构build和托pipe。 他们是Ubuntu 14.04服务器,包括Varnish,Apache和PHP。 目前,如果客户想为自己的网站使用SSL / TLS,我们会在服务器前放置一台Amazon ELB负载均衡器,以卸载TLS连接,这样Varnish仍然可以caching内容。 因此,每个服务器最终都由六个ELB(每个TLS客户或站点一个)提供,而非TLS站点则由服务器直接处理。 为了降低成本并简化设置,我们希望消除所有ELB,并直接在服务器上终止所有TLS连接。 通过使用Let's Encrypt和SNI在Varnish前面运行反向代理,可以轻松实现此目的。 像Hitch,Traefik或Nginx。 有些网站尚未准备好用于TLS。 他们需要工作来解决混合内容的警告,并防止SEO下降,并不是所有的客户都有预算。 我可以在服务器上打开端口443,并为所有“就绪”站点运行安装有TLS证书的反向代理。 不幸的是,客户仍然可以连接到“未准备好”的网站,虽然他们会得到证书错误(通用名称不匹配,自签名等)。 当然,我们不打算链接到“未准备好”网站的HTTPS版本,但是仍然可以inputhttps:// 。 我想要阻止所有网站的search引擎优化排名的损失,主要是在谷歌。 我被告诫Googlebot会发现HTTPS版本的“未就绪”网站,并将其编入索引,尽pipe存在证书错误,尽pipe它们没有被宣传为HTTPS。 这会给这些链接的访问者带来可怕的体验,以及严重的排名损失。 search引擎优化排名很难获得,但容易失去。 Googlebot(也可能是类似的机器人)如何处理HTTPS版本的“未就绪”网站? 他们会被索引,尽pipe被打破,而不是被广告? 当通过SNI部分启用HTTPS时,如何减轻不必要的副作用?