我有一个受SSLRequire规则保护的根文件夹; 说: SSLRequire %{SSL_CLIENT_S_DN_Email} =~ m/^.+@foobar\.com$/ 但是,我想这个根文件夹的子文件夹受到完全不同的保护,如下所示: SSLRequire %{SSL_CLIENT_S_DN_Email} =~ m/^.+@frobnicate\.com$/ 到目前为止,我没有改变规则的运气,访问总是失败,日志告诉我,一个规则不匹配。 即使SSLRequire true我也会收到消息。
我已经设置了一个位置来启用基于x509证书的客户端身份validation: <Location /authenticate> SSLRequireSSL SSLVerifyClient require SSLVerifyDepth 10 </Location> 身份validation通过使用PIN解锁智能卡完成。 当用户需要更多的30秒来解锁他的智能卡时,响应是“没有收到数据”。 点击重新加载button,但是大多数用户在看到默认的浏览器错误页面时会遇到困惑。 我如何修改超时以允许更长的超时? 谢谢!
我在Amazon EC2上运行CentOS服务器,并安装了WebDAV,Apache和mod-ssl。 我首先通过端口80testing了我当前的configuration,并且能够顺利地连接到dav。 然后我创作了自己的SSL证书,并相应地更改了configuration。 Httpd运行时没有任何问题,每个连接到dav的尝试都是有效的或无效的,都logging在SSL日志中。 问题是,当我从用户terminal设备连接时,我只是抛出一个无法连接错误,我似乎无法弄清楚是什么问题。 也许是因为我自己写了证书? 请让我知道是否有任何其他信息,你需要我提供来帮助诊断这个问题。
出于某种奇怪的原因,mod_nss使客户端DN看起来像这样: SSL_CLIENT_S_DN = C = SE,DC = FOO,serialNumber = 123456789012,CN = BAR BAZ 然而,Mod_ssl使它看起来像这样: SSL_CLIENT_S_DN = / CN = BAR BAZ / serialNumber = 123456789012 / DC = FOO / C = SE 我认为这可能是什么打破了应用程序; 它用mod_ssl工作得很好。 什么是最简单的方法来扭转秩序?
我正在尝试configuration一个新的Web服务器来托pipe一个网站/ PHP应用程序。 所有到这个服务器的networkingstream量应该是通过https。 我已经阅读了大量的教程以及关于如何设置的Apache文档和wiki。 我最近也在SF上发布了一个关于在本地计算机上testing这个模拟设置的问题(我提到这只是为了指出我确信我不会重复同样的错误)。 该服务器运行Ubuntu 12.04 64位与Apache2 v2.2.22,目前只需要主持这一个网站/ PHP应用程序。 我的问题是,设置后(我得到一个证书从CA,启用mod_ssl,编辑虚拟主机configuration,为httpstream量设置httpsredirect,重新启动apache等等),当我去我的浏览器中的服务器(Chromium运行在Linux Mint上14)我只是得到一个SSL错误107: SSL connection error Unable to make a secure connection to the server. This may be a problem with the server, or it may be requiring a client authentication certificate that you don't have. Error 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL protocol error. 这里是我可以收集我的configuration和错误的所有信息: 我的ports.conf: # If […]
我遵循这个教程 (虽然它是为5.2,我想我会没事的)。 我必须做的改变似乎已经奏效了: 将ca.csr重命名为ca.cslr(这是生成的命令) 在ssl.conf中将其列为ca.cslr而不是ca.csr 我在httpd.conf中有以下内容 <VirtualHost *:80> DocumentRoot /etc/test ServerName site.com </VirtualHost> <VirtualHost *:433> SSLEngine on SSLCertificateFile /etc/pki/tls/certs/ca.crt SSLCertificateKeyFile /etc/pki/tls/private/ca.key <Directory /etc/test> AllowOverride All </Directory> DocumentRoot /etc/test ServerName cryptokings.com </VirtualHost> /test其中包含一个文件夹,可通过http://site.com/test/foo访问,但通过https://site.com/test/foo试图访问它 警告证书不可信(自签名,不要大写) 一个404错误。 Chrome的证书抱怨如下: The identity of this website has not been verified. • Server's certificate does not match the URL. • Server's certificate […]
我们最近设置了一个新的开发服务器,并且在尝试通过SoapClient实例连接API时遇到了问题。 我想我已经缩小了这个问题,因为新服务器无法使用HTTPS协议build立与网站的连接。 我们有服务器上的中间证书包。 mod_ssl被启用 OpenSSL已启用 当试图做一个安全连接的wget我得到以下错误: [root@x ~]# wget –http-user=xxxxx –http-passwd=xxxxx –no-check-certificate 'https://www.xxx.com/dev/aspapi/api.asmx?wsdl' –2014-01-23 11:22:26– https://www.xxx.com/dev/aspapi/api.asmx?wsdl Resolving www.xxx.com… xxx.xx.xxx.xx Connecting to www.xxx.com|xxx.xx.xxx.xx|:443… connected. Unable to establish SSL connection. [root@x ~]# 当从我们的一台生产服务器运行相同的wget ,响应如预期。 我错过了什么? 如上所示,请参阅下面的s_client的输出: 带有-debug选项的s_client openssl s_client -debug -connect www.xxx.com:443 CONNECTED(00000003) write to 0x1fa8690 [0x1fa9ed0] (263 bytes => 263 (0x107)) 0000 – 16 03 01 […]
我有一个最新的运行Apache 2.2.22-1ubuntu1.4 Ubuntu 12.04服务器。 对于每个HTTPS请求,我的Apache日志都会logging与encryption连接有关的错误消息。 自签名证书是根据来自Ubuntu 12.04的指令生成的»Ubuntu服务器指南»安全»证书 Qualys SSL Labs显示服务器configuration(自签证书除外)没有问题。 Apacheconfiguration的相关部分是: <VirtualHost *:443> ServerName site.domain.net:443 …snip… SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.crt SSLCertificateKeyFile /etc/apache2/ssl/apache.key SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCompression off </VirtualHost> 错误日志显示与此类似的条目: [Wed Feb 19 10:47:01 2014] [info] [client xx.xx.61.4] Connection to child 2 established (server site.domain.net:443) [Wed Feb 19 10:47:01 2014] [info] Seeding PRNG […]
我有点混淆openssl和mod_ssl之间,所以经过数小时的谷歌search和阅读文档,我必须发布我的查询在这里..我在Apache 2里面有SSL内置,所以我在哪里可以检查哪个openssl版本正在使用..是它是Apache正在使用的机器的openssl,或者是与mod_ssl捆绑在一起的东西 $ openssl version OpenSSL 1.0.0-fips 29 Mar 2010 $ uname -a Linux &当我点击的URL显示下面的回应: Server:Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/1.0.0.e 还有当在mod_ssl.so中的grep时: $ strings mod_ssl.so | grep -i openssl OpenSSL 1.0.0e 6 Sep 2011 那么为什么版本的差异以及从哪里select版本。
我用SPDY(和PHP-FPM)configurationApache。 一切工作正常。 但是,spdycheck.org显示我以下错误: HTTP不支持SSL 本网站仅支持SSL上的SPDY,并且不在其NPN扩展中通告HTTP。 没有SPDY支持的Web浏览器可能无法访问此网站 请注意,我不希望支持HTTP。 但是,我确实需要在没有SPDY的情况下支持SSL。 我不知道要在conf文件中做什么改变。 任何指针将不胜感激?