我正在一台服务器上运行CASauthentication,并在本地networking上的一台独立服务器上保护一个网站。 当我在同一台服务器上同时运行CAS和Apache时,它们运行良好。 当我把它们分成两个不同的物理主机时,他们不再工作了。 CASlogin工作正常,但是当我login后redirect到我的Apache,我得到这个在Apache的日志:: "mod_auth_cas: Could not perform SSL handshake with example.casserver.com (check CASCertificatePath)". 我检查了CASCertificatePath,并validation它指向正确的证书(CAS服务器的证书)。 我通过将其从cas-host复制到apache-host来获取证书,并validation该文件是可读的,并且urlparsing正确。 任何人都知道什么可能是错的? 由于我只在有限的本地networking中执行此操作,所以涉及到CA没有任何意义,所以CAS服务器使用的证书是由jdk-tool生成的简单自签名证书: keytool -genkey -keyalg "RSA" -dname 这是问题吗? mod_auth_cas是否需要证书进行CA签名,例如,使用TinyCA2为networking创build自己的CA?
在准备访问带有SHA1签名证书的SSL站点时,浏览器中将显示的警告即将出现,我希望获得所有已升级的证书。 我的一些基础设施运行在“传统”基于CentOS 5.X的服务器上。 而在这些服务器上,当我安装新的密钥和证书时,apache只是在启动时死掉。 在error_log中没有任何用处。 现在,DigiCert有一个兼容性页面说,对于Apache,需要以下几个版本。 httpd 2.0.63 + w / OpenSSL 0.9.8o + 在CentOS 5.X服务器上,完全更新的那些软件包我看到这个… httpd.x86_64 2.2.3-91.el5.centos openssl.x86_64 0.9.8e-27.el5_10.4 所以,蝙蝠我认为0.9.8e可能是一个问题。 但是我做了一点小小的研究,看上游openssl项目0.9.8o中引入的SHA相关变化是否被RH所支持,并且在RHEL / CentOS后台运行时,看起来好像SHA256相关的变化是被提交的。 我查看了openssl的git仓库,发现0.9.8o中的SHA 2相关更改 Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706 Add SHA2 algorithms to SSL_library_init(). Although these aren't used directly by SSL/TLS SHA2 certificates are becoming more common and applications that only call SSL_library_init() and not […]
我有这样的CA层次结构: 根CA ________ | _____________ | | testingCA生产CA _____ | _____ ____ | ____ | | | | TEST-SRV TEST-CLI PROD-SRV PROD-CLI 从PROD-SRV服务器证书所标识的生产服务器的angular度来看,如何设置Apache mod_ssl来要求由PRODUCTION-CA签署的PROD-CLI客户端证书,并且不允许客户端使用由TEST-CA? 目前我有: SSLCertificateFile prod_srv.crt SSLCertificateKeyFile prod_srv.pem SSLCADNRequestFile prod_ca.crt SSLCACertificateFile root_ca.crt 这看起来像是在工作,因为服务器向浏览器请求PROD CLI证书,但是如果我提供TEST CLI证书,则会构build一个有效的证书path,并将testing客户端接受到生产系统中。
我尝试了mod_spdy,我遇到了一个问题 – 它似乎与AJAX请求和mod_php不兼容,如下所示: https : //www.modspdy.com/blog/2012/04/15/using-mod_spdy -with-PHP / 解决scheme似乎是通过fastCGI运行PHP脚本。 现在我的第一个问题是,为什么呢? 有没有可能是某种解决方法? 这种不兼容性只是暂时的吗? 我不想将整个生产服务器切换到fastCGI。 那会有什么好处呢? 另外,我不明白为什么需要https。 为什么不能简单的说,从mod_spdy的静态,网站获得速度? 我在这里寻找简单的猜测 – 你认为mod_spdy将在没有mod_ssl要求的情况下可用,或者是架构如此不同以至于我不应该期待它? 我希望我能清楚地expression我的想法。 谢谢你的想法。
不太确定这是否是适当的SE发布此,但在这里:是否有一些在线参考什么SSL密码支持各种浏览器? 基本上,我感兴趣的是通过确保较低的密钥长度和旧的污垢algorithm(DES和3DES)不被用于与客户的通信来加固系统。 这样做的方式(至less在Apache mod_ssl中)似乎是控制服务器在握手期间给予的支持的密码。 我想能够回答像“如果我强迫AES256,哪些浏览器将打破?”的问题。 对于某些网站来说,这是可取的,因为它为我们保密的交谈提供了一些保证。 如果他们的浏览器只支持被认为是不安全的连接,我们希望会话中断,所以他们被迫使用更现代/强大的客户端。
我正在使用Apache 2.2.22-1ubuntu1.4和OpenSSL 1.0.1-4ubuntu5.11运行最新的Ubuntu 12.04 LTS 。 我已经configurationApache使用https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_Ciphersuite中的密码套件列表 它看起来像这样: <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key SSLCACertificateFile /path/to/all_ca_certs SSLProtocol all -SSLv2 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK SSLHonorCipherOrder on SSLCompression off </VirtualHost> 该命令显示所有可用的OpenSSL密码。 # openssl ciphers -v 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK' |column -t ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA […]
我正在尝试为运行Debian 8(Jessie)的lighttpd web服务器设置ssl(即https)。 lighttpd.conf中的相关行是: server.modules = ( "mod_access", "mod_alias", "mod_compress", "mod_redirect", "mod_ssi", "mod_fastcgi", "mod_auth", "mod_rewrite", "mod_proxy", "mod_ssl", ) $SERVER["socket"] =~ "111.11.22.33:443" { server.document-root = "/var/www/html" ssl.engine = "enable" ssl.pemfile = "/etc/lighttpd/ssl/mydomain.com/mydomain.com.pem" } 文件mydomain.com.pem是自行发布的。 然后我开始服务,并检查是否一切正常: # /etc/init.d/lighttpd restart [ ok ] Restarting lighttpd (via systemctl): lighttpd.service. # systemctl status lighttpd.service ● lighttpd.service – Lighttpd Daemon Loaded: […]
我正在尝试在我的服务器上安装mod_ssl: yum install mod_ssl 我得到的回应是: Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: centosv4-msync-dvd.centos.org * extras: centosq4-msync-dvd.centos.org * updates: centosv4.centos.org Setting up Install Process No package mod_ssl available. Error: Nothing to do 我试图安装一个自签名的SSL证书,当我找不到ssl.conf文件时,我意识到我缺lessmod_ssl。 我怎样才能安装mod_ssl? Repolist repo id repo name status base CentOS-6 – Base 5,932+362 extras CentOS-6 – Extras 4 updates CentOS-6 […]
在Apache和modssl上执行升级之后,当访问我在Apache服务器上的网站时,我在Chrome的URL栏的安全标识中收到安全警告: 该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它。 我已经检查证书包含SHA1和SHA256指纹,并且没有过期。 用Firefox浏览时,没有问题。 然而,与Qualys的一个检查显示签名algorithm为SHA1与RSA而不是SHA256。 此外,连接正在使用TLS 1.2。 这种警告的原因是什么?如何解决? 对不起,我只是意识到: 这个正在使用SHA1的站点没有这样的警告,但是这个站点确实如此。
我有一个centos 7服务器。 我使用IUS存储库( https://ius.io/ )从apache 2.4.6切换到apache 2.4.25。 我的目标是通过一个IP来支持多个SSL证书。 我已经安装了: Apache / 2.4.25(CentOS) httpd24u-了mod_ssl,2.4.25-3.ius.centos7.x86_64 的OpenSSL 1.0.1e-60.el7_3.1.x86_64 现在apache是否启用了SNI? 或者我必须用./configure –with-ssl = / path / to / your / openssl从头开始构build它,就像在文档中一样( https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI )? 感谢您的时间。