我有几个Web应用程序服务器,我想转换为使用https而不是http。 我的组织有我要求使用的购买的通配符证书。 我想禁止我的开发人员访问证书,但我也想让他们在我们的Web服务器上有sudo访问权限。 反向代理 据我所知,上面应该是相当容易的,但是我不喜欢把我要维护的服务器数量翻倍的想法,我也不喜欢复制证书N次。 中央ssl服务器? 我希望的最好的情况是让我的服务器有一个中央服务器encryption我的stream量,同时让客户端直接连接到我的networking服务器。 这有另一个好处,让其他部门处理服务器上的证书,所以我不负责其安全性。 有没有办法做到这一点? 我正在使用apache2。 我甚至不知道要search什么。
好的。 非常奇怪的问题,我在这里。 我最近刚刚从2.2.17更新到Apache 2.4.2,主要是为了尝试获得基于名称的SSL VirtualHosts(尽pipe它们应该在2.2.17上工作)。 服务器是Win2008 R2(按照定义x64)运行PHP 5.4.3和MySQL 5.1.40(过时,我知道)。 当我启动服务器时,它最初工作正常。 响应所有请求,虚拟主机全部按顺序。 但是,经过一段不确定的时间(似乎大部分时间只需要几分钟,但有时需要几个小时),它会停止响应常规HTTP请求(在任何VirtualHost上)。 HTTPS继续工作。 日志中没有错误,当我尝试连接时没有任何访问日志。 鉴于其间歇性,我很难find这个错误的根源。 当删除所有基于SSL的虚拟主机时,它似乎增加了稳定性(仍然在十二小时后响应HTTP请求)。 虽然这可能仅仅是巧合。 SSL VirtualHost的整体情况如下,如果碰巧遇到问题。 <VirtualHost *:443> DocumentRoot "C:\Server\www\virtualhosts\mysite.net" ErrorLog logs/ssl.mysite.net-error_log CustomLog logs/ssl.mysite.net-access_log common env=!dontlog SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM SSLCertificateFile C:/Server/bin/apache/apache2.4.2/conf/ssl/server.crt SSLCertificateKeyFile C:/Server/bin/apache/apache2.4.2/conf/ssl/server.key SSLCertificateChainFile C:/Server/bin/apache/Apache2.4.2/conf/ssl/sub.class1.server.ca.pem SSLCACertificateFile C:/Server/bin/apache/Apache2.4.2/conf/ssl/ca.pem </VirtualHost> 任何想法我失踪?
我们使用Varnish作为我们的前端Webcaching和负载均衡器,所以我们在我们的开发环境中有一个Linux服务器,在一对Windows 2008 IIS Web服务器上运行Varnish,其中包含一些基本的caching和负载均衡规则。 我们有一个通用的DNS规则,指向这个Varnish框的* .development,所以我们可以浏览http://www.mysite.com.development,http ://www.othersite.com.development等。问题是由于Varnish无法处理HTTPSstream量,因此无法访问https://www.mysite.com.development/ 对于开发/testing,我们不需要任何加速或负载平衡 – 我所需要的就是告诉这个盒子作为一个哑代理,并将端口443上的任何传入请求转发到特定的IIS服务器。 我怀疑iptables可能会提供一个解决scheme,但是我写了一个iptables规则已经很久了。 一些最初的黑客已经让我尽可能的 iptables -F iptables -A INPUT -p tcp -m tcp –sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp –dport 443 -j ACCEPT iptables -t nat -A PREROUTING -p tcp –dport 443 -j DNAT –to 10.0.0.241:443 iptables -t nat -A POSTROUTING -p […]
我正在寻找redirect从HTTP到HTTPS。 我的Nginx服务器位于一个负载平衡器的后面,它将终止我的SSL,并将所有stream量(HTTP和HTTPS)发送到端口80.唯一的证据,我将不得不指出原始请求是HTTP还是HTTPS是通过X-Forwarded-For由负载平衡器设置的标头。 当原始请求使用HTTP时,是否有一种内置的,廉价的方式来处理Nginx中的redirect? 请记住,我只有一个服务器设置为端口80。
我遇到了一个奇怪的问题,试图禁用一个域的HTTPS,但另一个域有HTTPS。 它们都是在专用服务器上运行的不同网站,共享相同的域名IP地址。 但是,我有一个域没有SSL证书,但另一个。 我想为非authentication域禁用HTTPS,同时使其他域保留在HTTPS上。 我在/etc/nginx/sites-enabled/有两个不同的独立虚拟主机, domain1.org (无HTTPS) server { listen 80; server_name www.domain1.org domain1.org; root /var/www/domain1.org; index index.html index.php index.htm; error_log /var/www/logs/domain1.errors.log; [ … ] domain2.com (使用HTTPS) server { listen 443 ssl; server_name domain2.com www.domain2.com; # INCLUDE SSL CERTIFICATE include sites-enabled/domain2_ssl_include; root /home/domain2/www/www; index index.html index.php index.htm; [ … ] 我已经包含了一个监听端口到domain1.org的端口443,但是一旦我这样做了,我会从Firefox中得到一个中止错误(当访问https://domain1.org时 ): 当前连接不可信任 您已经要求Firefox安全连接到domain1.org,但我们无法确认您的连接是否安全。 我打开了技术资料,看来domain1.org使用的是domain2.com的SSL证书: […]
我有一个IP地址的服务器。 我想在Apache 2.2中运行多个虚拟主机。 我希望所有虚拟主机都可以通过端口80(普通http),8000(普通http)和443(ssl)访问。 例如,我有两个虚拟主机a.foo.com和b.foo.com。 我想要以下url可以访问: http : //a.foo.com,http : //a.foo.com : 8000 , https : //a.foo.com,http : //b.foo.com , http://b.foo.com:8000和https://b.foo.com 。 虚拟主机a.foo.com应该在所有端口上具有相同的内容。 这是我失败的尝试。 我还没有来到SSL。 我甚至无法弄清楚两个普通的http端口。 Listen 80 Listen 8000 NameVirtualHost * <VirtualHost *> ServerName a.foo.com DocumentRoot /www/a </VirtualHost> <VirtualHost *> ServerName b.foo.com DocumentRoot /www/b </VirtualHost>
从性能和安全angular度来看,HTTP摘要式身份validation和HTTPS基本身份validation有什么区别?
SPDYcheck.org全面赞扬,唯一的批评是 Out-of-Date SPDY Protocol Support The most recent version of SPDY is spdy/3. The highest version this website supports is spdy/2. There are 3 major versions of SPDY. This website should consider updating its software if possible to support spdy/3. (Nginx 1.5.6,openSSL 1.0.1e – 我觉得这两个版本都是最新的,如果我想要,我怎么能得到spdy / 3呢?) 但是当我在浏览器中查看时,通过 chrome://net-internals/#events&q=type:SPDY_SESSION%20is:active 它不显示。 其他网站,如谷歌等DO。 我还安装了一个Chrome扩展,如果检测到SPDY,则会在地址栏中放入绿色闪电。 Google =绿色螺栓。 我的网站=没有绿色螺栓。 […]
我在我的网站上有一个支持SSL的虚拟主机: example.com:10443 Listen 10443 <VirtualHost _default_:10443> ServerName example.com:10443 ServerAdmin [email protected] ErrorLog "/var/log/httpd/error_log" TransferLog "/var/log/httpd/access_log" SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 SSLCertificateFile "/etc/ssl/private/example.com.crt" SSLCertificateKeyFile "/etc/ssl/private/example.com.key" SSLCertificateChainFile "/etc/ssl/private/sub.class1.server.ca.pem" SSLCACertificateFile "/etc/ssl/private/StartCom.pem" </VirtualHost> 浏览到https://example.com:10443/按预期工作。 但是,浏览到https://subdomain.example.com:10443/ (使用DNS设置)也会显示相同的页面(SSL证书警告之后)。 我会期望指令ServerName example.com:10443拒绝所有连接到其他服务器名称的尝试。 我怎样才能告诉虚拟主机不要为顶级域名以外的URL提供请求?
我被要求调查我们公司的networking问题。 Sonicwall设备已经安装好了,那个人已经离开了公司。 问题是指定的正常用户IP下的主机无法访问HTTPS站点(Google是迄今为止唯一的例外)。 如果有帮助,用户试图访问的HTTPS站点是与业务相关的站点,甚至是一些政府拥有的站点。 奇怪的是,任何被分配了IP地址但没有通过Sonicwall的主机访问HTTPS站点都没有问题(我使用的术语松散,因为设置它的人告诉我)。 可悲的是,我不能再联系这个家伙,所以我被迫单独调查。 我曾尝试在CFS的允许域名中应用HTTPS网站的地址,但仍然无效。 我也检查了防火墙访问规则,发现设置为从任何源到任何目的地的IP分配。 当然,我想也许是这样。 有趣的是,它甚至没有启用。 alignment的checkbox是空的。 看到这一点,我试图改变一个单位的IP地址到这个分配的地址。 令人惊讶的是,HTTPS网站加载。 以下是其中一个单元的截图: 我很难过 它不在CFS中,它不在访问规则中。 我甚至尝试添加访问规则,明确允许HTTPS连接通过,但它仍然无法正常工作。 除了防火墙和CFS之外,还有其他方法可以让Sonicwall过滤stream量吗? 因为也许这是IP分配的排除configuration的地方。