看起来,在HTTPS连接上configurationHAProxy进行主机名路由时,至关重要的是包含一个tcp-request inspect-delay指令来“让HAProxy有机会查看连接”。 有没有办法让NGINX一样,或者我应该开始打包,并将我的整个服务器移动到HAProxy? (作为参考,这个问题来自我此前expression的误解) 编辑 迈克尔在评论中说: 他似乎希望从客户端的握手尝试中“嗅探”SNI,而不实际终止TLS连接,以便作出低层的连接代理决定,并盲目地将有效载荷传送到后续的terminal机,以终止TLS,因为某些原因,他不希望代理上的TLS证书和密钥,或代理完成TLS – 只需嗅探SNI,并使用从其内容派生的规则build立内部TCP连接。 理由是我需要后端应用程序中的证书和密钥(有些需要这个或那个原因),所以我必须提供给他们。 不得不在代理中设置它们本质上是维护工作的两倍,并且有可能出现错误。 如果我不能保持对代理证书的访问,就会使我的架构变得更容易,并减less错误的机会。
我们的系统pipe理员已经build立了一个负载均衡器来处理所有的HTTPS请求,并以HTTP的forms代理它们到服务器。 服务器没有HTTPS,所以LB和服务器之间的连接是不安全的,但连接到LB。 我从来没有见过这样的事情,我不确定这是做到这一点的正确方法。 实际的服务器不可公开使用,只能通过负载平衡器。 这足以让它安全吗? 可以绕过负载平衡器吗? 这是一个标准的技术?
ssllabs的SSL服务器testing将testing您的HTTPS服务器,并为您的HTTPS服务器build立情况提供评分。 您可以使用该结果来获取最安全的HTTPS服务器。 我有一个HTTPS服务器,在我的浏览器中工作,但客户端已经从他们的Android浏览器发送SSL错误的屏幕截图。 我必须解决它,我不知道如何。 是否有任何网站有所有怪癖列表/数据库,并支持(或不支持)function,各种浏览器/操作系统,我可以指向一个HTTPS服务器,它可以告诉我“哦,你正在使用functionX,浏览器Y不支持“。 caniuse.com告诉我什么浏览器支持HTML / CSS / JSfunction。 我想要这样的HTTPS的东西。 sslabs告诉我如何使一个更安全的HTTPS服务器,我需要一个更兼容,更宽的可用,服务器。
我是服务器托pipe的新手,我有几个应用程序的代码来源,我可以在本地主机上运行,我想要在同一网站 假设我正在运行第一个使用JavaScript框架编写的端口8080: https:// localhost:8080 ,第二个使用Java编写的端口在3000端口运行; https://开头本地主机:3000 我想要做的第一个是www.example.com/first,第二个是www.example.com/second,这是可能的吗? 谢谢!
可以通过HTTPS为应用程序提供服务的Node.js服务器作为非root用户运行吗? 问题是没有sudo,似乎没有办法像这样运行脚本,因为它必须访问证书。 我知道可以在启动Node后删除root权限,但如果可能的话,我想避免这种情况,因为这可能会导致一些意外的行为。
我正在运行Ubuntu 14.04LTS。 由于certbot不在14.04,我从EFF网站上抓取了certbot-auto 。 我已经试过运行它 certbot-auto –apache -d my.domain 并且在TLS-SNI-01挑战期间持续超时,消息如下: Failed authorization procedure. my.domain (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Failed to connect to ww.xx.yy.zz:443 for TLS-SNI-01 challenge 我已经validation了入站TLS没有被运行openssl的s_server命令阻塞,并成功地从外部位置连接到s_server “server”。 查看/var/log/apache2/error.log我看到一个可疑的警告(我认为) certbot-auto暂时试图设置不被发现的docroot: [Tue Dec 06 00:34:02.306032 2016] [mpm_prefork:notice] [pid 19521] AH00171: Graceful restart requested, doing […]
浏览我们使用Firefox托pipe的HTTPS网站时,出现了一个非常奇怪的问题。 我对大多数页面(我们使用的是PHP / FreeBSD)没有任何问题,但是其中一些当用最新版本的Firefox(3.0.x)访问时,是随机的(并不总是)抛出这个SSL错误: 连接到myserver.mydomain.com期间发生错误。 SSL收到一条错误的消息authentication码的logging。 (错误代码:ssl_error_bad_mac_read) 我不知道是否有问题,但我的服务器有两个网卡: EXTERNAL_IP_ADDRESS(公共IP) INTERNAL_IP_ADDRESS(LAN IP) 我通过INTERNAL网卡访问页面时看到错误。 我没有看到最新的IE,Safari或Chrome的错误。 我的SSL证书是由GoDaddy发布的。 最奇怪的部分是,无论何时发生错误,在Firefox显示完整新页面上的错误之前,我可以看到正确的页面几分之一秒。 非常感谢。
我正在使用基于表单的身份validation而不使用SSL来部署Exchange 2003上的Outlook Web Access(pipe理要求 – 他们已经接受了这个风险,这一点不会改变) 除了更改密码function之外,我已经将所有内容都运行良好。 我已经在网上跟随了所有的“标准”文档: 创build了IISADMPWD虚拟目录 设置DisablePassword = 0registry项 设置AllowRetailHTTPAuthregistry项 设置PasswordChangeFlags = 1元数据库条目 唯一剩下的问题是,OWA的Options页面上的Change Passwordbutton试图redirect到一个以HTTPS开头的URL,而不是HTTP,而且用户得到一个服务器超时错误(我们甚至没有听到HTTPS端口) 。 https://ourdomain.com/iisadmpwd/aexp2b.asp?http://ourdomain.com/exchange/whois/?Cmd=close 这需要redirect到相同的地址,但没有SSL http://ourdomain.com/iisadmpwd/aexp2b.asp?http://ourdomain.com/exchange/whois/?Cmd=close 任何接受者? 我错过了什么? 谢谢Tom 编辑:我已经发现,虽然这似乎工作,PasswordChangeFlags设置为1导致应用程序池的Outlook Web Access崩溃与HTTPERR日志中的Connection_Abandoned_By_AppPool。 因此,我不得不放弃这一点,我不会build议任何人尝试相同的。
我寻找一个解决scheme,根据请求url转发http / httpsstream量到后端networking服务器。 我们目前的设置: Webserver1(Sharepoint) Webserver2(Reporting Services) 两者都运行Windows Server 2008和IIS7。 Webserver1接收端口80和443上的所有stream量,并托pipe一个名为www.example.com的网站 现在我想让Webserver2可以访问www.example.com/Reports。 不幸的是,我们没有任何先进的边缘防火墙,可以根据请求的URL来路由stream量。 所以我想知道是否有一种方法来configurationWebserver1转发所有stream量,如果它匹配www.example.com/Reports。 任何方式IIS7可以做到这一点? build议欢迎..
直接问题:是否有任何东西有很好的资源,以改变IE6和IE7之间的细节,特别是可能使IE6无法连接到基于IIS7(Windows 2008)的Web服务器上的HTTPS资源? 我们的假设是,服务器只接受比IE6无法应付的更新的协议版本/变体,但我们无法find可能configuration的位置。 长话短说: 我们遇到了一些运行客户端应用程序的Web服务器的问题。 由于客户有渗透testing人员检查configuration,导致一堆本地策略更改和其他registry设置被更改,因此Internet Explorer 6拒绝通过HTTPS连接到该站点(报告的错误是默认的“找不到服务器”或“ DNS错误“消息)。 IE7和IE8是好的,我们尝试过的其他浏览器(Windows上的FireFox,Ubuntu上的FF,链接,…),虽然这是一个有争议的问题,因为许多用户或多或less使用IE6。 IE6很高兴通过HTTP在相同的IIS安装上访问相同的资源。 通过logging的变化,我们发现没有什么明显的情况下,甚至将所有的变化应用到我们的testing服务器上也不会产生问题,这些变化之一就是在引入非易失性所以我怀疑这是问题出在哪里。 我找不到任何有用的信息(许多站点logging了如何在Web服务器上执行最基本的SSLconfiguration,并获得客户端应用程序等所信任的证书,但没有明显涉及这个问题的词),在浏览Microsoft的Web服务器的本地策略文档时,也没有发现任何明显的迹象。 告诉客户从IE6升级,不幸的是,不是一个选项。 我不愿意告诉他们简单地重buildnetworking服务器,并且更加小心他们下一次点击的那个checkbox,但是它正在成为我们推荐的地方。