Articles of mod ssl

我从来没有遇到过这样的事情。 我试图简单地redirect页面到HTTPS版本，如果它确定HTTPSclosures，而是显示一个HTML页面，而不是实际redirect; 甚至更奇怪，它显示为文本/平原！ VirtualHost声明（sorting）： ServerAdmin [email protected] DocumentRoot "/path/to/files" ServerName example.com SSLEngine On SSLCertificateFile /etc/ssh/certify/example.com.crt SSLCertificateKeyFile /etc/ssh/certify/example.com.key SSLCertificateChainFile /etc/ssh/certify/sub.class1.server.ca.pem <Directory "/path/to/files/"> AllowOverride All Options +FollowSymLinks DirectoryIndex index.php Order allow,deny Allow from all </Directory> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule .* https://example.com:6161 [R=301] 页面输出： <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>301 Moved Permanently</title> </head><body> <h1>Moved Permanently</h1> […]

我正在尝试为通过SSL运行tomcatembedded式服务器的应用程序设置反向代理。 该应用程序需要在端口9002上运行SSL，所以我没有办法为这个应用程序“禁用SSL”。 当前的安装模式如下所示： [192.168.0.10:443 – Apache with mod_proxy] –> [192.168.0.10:9002 – Tomcat App] 在Google如何做这样的设置（和testing）之后，我碰到了这个： https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/861137 这导致我的当前configuration（尝试模拟wget的 – secure-protocol = sslv3选项） /etc/apache2/sites/enabled/default-ssl: <VirtualHost _default_:443> SSLEngine On SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key SSLProxyEngine On SSLProxyProtocol SSLv3 SSLProxyCipherSuite SSLv3 ProxyPass /test/ https://192.168.0.10:9002/ ProxyPassReverse /test/ https://192.168.0.10:9002/ LogLevel debug ErrorLog /var/log/apache2/error-ssl.log CustomLog /var/log/apache2/access-ssl.log combined </VirtualHost> 问题是错误日志显示错误：14077102：SSL例程：SSL23_GET_SERVER_HELLO：不支持的协议 完整的请求日志： [Wed Mar 13 20:05:57 […]

好吧，我已经花了整整一天的时间 我正在使用mod_ssl的Apache我试图采取一个现有的环境头，“％{SSL_CLIENT_S_DN_CN} s”，它看起来像“姓氏名Mi用户名”，并设置一个名为USERNAME的新标题，并设置等于只是用户名最后一个空格和string结尾之间的字符） 然后，我会反向代理该头到后端主机，将使用它来识别用户。 我尝试了很多不同的东西。 我不知道如果问题是我不明白Perl的正则expression式，或者如果我不明白的语法，或者我不把它放在正确的地方，或所有三个。 这是我尝试的一个例子： SetEnvIf SSL_CLIENT_S_DN_CN (.*\ )(.*) newhostname=$2 RequestHeader set HOSTNAME "%{newhostname}e" 我真正想要的是一个新的标题主机名等于DN_CN环境variables中的最后一个非空白字符。

我configuration了客户端证书并在Apache中工作。 我想将客户端的PEM编码的X.509证书传递给后端服务器。 我尝试了SSLOptions + ExportCertData。 这样做什么都不做，而文档声明它应该添加SSL_SERVER_CERT，SSL_CLIENT_CERT和SSL_CLIENT_CERT_CHAINn（n = 0,1,2，…）作为标题。 任何想法，为什么这个选项不工作？ 然后我尝试使用RequestHeader自己设置标题。 这适用于除SSL_CLIENT_CERT_CHAIN之外的所有variables。 它在标题中显示为空。 任何想法为什么证书链没有被填充？ 这是我的第一个Apacheconfiguration： <VirtualHost 192.168.56.100:443> ServerName www.test.org ServerAdmin webmaster@localhost DocumentRoot /var/www ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLProxyEngine on SSLCertificateFile /etc/apache2/ssl/certs/www.test.org.crt SSLCertificateKeyFile /etc/apache2/ssl/private/www.test.org.key SSLCACertificateFile /etc/apache2/ssl/ca/ca.crt <Proxy *> AddDefaultCharset Off Order deny,allow Allow from all </Proxy> <Location /carbon> ProxyPass http://www.test.org:9763/carbon ProxyPassReverse http://www.test.org:9763/carbon […]

我在Unix机器上有一个Apache服务器： Apache/2.2.29 (Unix) OpenSSL/0.9.8zg 我想将OpenSSL版本升级到1.0.2，这是我的系统上当前安装的版本： machine:/ user$ openssl version OpenSSL 1.0.2d 9 Jul 2015 我可以做到这一点，而不重新编译整个服务器？ 我是否必须重新编译mod_ssl因为它是使用LoadModule在httpd.conf加载的： LoadModule ssl_module modules/mod_ssl.so 我怎样才能做到这一点？

像大多数其他人一样，我们的存储库服务器需要尽快禁用SSLv3（和v2）。 然而，这样做似乎打破了我们的客户端 – 至less在RHEL5上（从我的FreeBSD桌面连接工作正常）。 即使最近的git（2.1.2）也失败了，并且从供应商升级OpenSSL库到最新的版本都没有帮助。 不过 ！ 同样的git-client在github.com上工作得很好 – 而且github.com已经禁用了SSLv3。 通过试验和错误，我设置了我们的服务器（Apache）SSLconfiguration以匹配github的configuration： SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite "AES128-SHA AES256-SHA RC4-SHA" 通过运行sslscan对我们的服务器和github，我得到相同的密码列表接受和拒绝。 但git继续失败： % git clone https://git.example.net/git/puppet-hiera Cloning into 'puppet-hiera'… * Couldn't find host git.example.net in the .netrc file, using defaults * About to connect() to git.example.net port 443 * Trying 10.89.8.27… * connected * […]

我有两台服务器，一台是可在公司本地networking内部访问的开发服务器，另一台是面向公众的Web服务器。 开发服务器托pipe了几个工具，我们用来pipe理我们的项目在内部，但现在我们需要在外部访问它们，同时保持安全。 我使用ProxyPass和ProxyPassReverse指令在外部服务器上设置了mod_proxy，将外部请求映射到内部服务器。 我还在这些外部虚拟主机上设置了身份validation，以提供外部访问的安全性。 我还需要使用SSL进行外部访问，但理想情况下，希望内部工具可以通过简单的HTTP访问内部网中的人员。 是否有可能实现这种行为，如果有的话，我应该使用哪些指令和Apache模块，以及在哪些服务器上安装？

我正尝试在CentOS6上安装Apache，并使用SSL作为开发服务器。 我一直在这里发布的指示，以获得SSL工作： http : //wiki.centos.org/HowTos/Https （注：Apache工作正常，直到我试图启用SSL。） 当我开始重新启动Apache时，服务器无法启动。 我只是得到一个错误，如下所示： [Mon Feb 13 18:31:36 2012] [error] (13)Permission denied: Init: Can't open server certificate file /etc/pki/tls/certs/ca.crt 我看到报告的证书是由我的用户和我的小组所有，所以我将其更改为root:root但没有任何区别。 我不知道还有什么要尝试或看什么。 谢谢。 注意：我的问题与此类似，但错误不同。

Ubuntu 14.04 Apache 2.4.7 w / mod_ssl 我正在尝试安装（单个）域证书。 出于某种原因，apache不接受它，并拒绝启动，如果相关的网站启用。 尽pipe大量使用Google，但我无法理解错误信息。 为什么说没有configuration证书？ 它设置在虚拟主机中，并指向正确位置的crt文件。 error_log中 [Tue May 19 18:11:08.123857 2015] [ssl:emerg] [pid 10040:tid 140146576725888] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] ((null):0) [Tue May 19 18:11:08.123894 2015] [ssl:emerg] [pid 10040:tid 140146576725888] AH02312: Fatal error initialising mod_ssl, exiting. 我曾尝试过： 重新检查虚拟主机语法和证书和密钥的path 双重证书是chmoded 644和key是chmoded 600 […]

PCI合规性扫描build议我们禁用Apache的MEDIUM和LOW / WEAK强度密码以确保安全。 有人可以告诉我如何禁用这些密码？ Apache v2.2.14 mod_ssl v2.2.14 这是他们告诉我们的： 简介：远程服务支持使用中等强度的SSL密码。 说明：远程主机支持使用提供中等强度encryption的SSL密码，目前我们认为密码长度至less为56位，小于112位。 解决scheme：尽可能重新configuration受影响的应用程序，以避免使用中等强度的密码。 风险因素：中/ CVSS基础评分：5.0（CVSS2＃AV：N / AC：L / Au：N / C：P / I：N / A：N）[更多] 简介：远程服务支持使用弱SSL密码。 说明：远程主机支持使用提供弱encryption或根本不encryption的SSL密码。 另请参阅： http : //www.openssl.org/docs/apps/ciphers .html解决scheme：尽可能重新configuration受影响的应用程序以避免使用弱密码。 风险因素：中/ CVSS基础评分：5.0（CVSS2＃AV：N / AC：L / Au：N / C：P / I：N / A：N）[更多]