我正在使用来自Verisign / Symantec的EV证书的安全站点专业版,具有完整的SHA-2根链。 一切都很好 – 除了Mac OS 10.9(小牛),抱怨证书是由不受信任的权威机构签署的。 这在OS 10.10(优胜美地),Android,IE11或我testing过的任何其他环境中都不存在。 我已经尝试并在两个不同的完全独立的OS 10.9实例上复制错误。 这是我正在使用的中间证书: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR2054 其他人有这个问题? 我无法在Google上find任何参考。 编辑: 有问题的url是http://fundary.com
我一直在调查这个,它与Apache的SSL选项 SSLVerifyClient optional_no_ca 我有以下虚拟主机configuration。 NameVirtualHost *:443 <VirtualHost *:443> SSLEngine on SSLOptions +StdEnvVars SSLCertificateFile /root/test-https-certificate/test.company.com.crt SSLCertificateKeyFile /root/test-https-certificate/research.company.com.key SSLCACertificateFile /root/test-https-certificate/sub.class1.server.ca.pem SSLCARevocationPath /root/ssl-authentication/crl SSLCARevocationFile /root/ssl-authentication/crl/crl.pem SSLCADNRequestFile /root/ssl-authentication/client-cert-issuing-ca.crt <Directory /var/www/vhosts/test.com/httpsdocs/topsecret> SSLRequireSSL SSLVerifyClient optional_no_ca SSLVerifyDepth 10 </Directory> DocumentRoot /var/www/vhosts/test.com/httpsdocs/topsecret ServerName test.company.com </VirtualHost> 我现在的问题是,每个人有证书或不能访问我的受限制的文件夹,阅读关于Apache的mod_ssl文档我已经findSSLRequire选项,但我怎么能实现它,当我用它在我的标签redirect到我Apache的默认DocumentRoot 。 还有其他疑问..从安全的angular度来看,我所做的是正确的? 有自签名证书的客户和一个官方实体签署的服务器?
# apachectl -version Server version: Apache/2.4.7 (Ubuntu) Server built: Jul 22 2014 14:36:38 我已经configuration了SSLCipherSuite ( SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 )的SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 。 我也testing了各种组合。 我已经使用openssl ciphers检查了主机上可用的openssl ciphers ,并且有很多RSA密码。 这里是我的mod_ssl.so的依赖关系: # locate mod_ssl.so /usr/lib/apache2/modules/mod_ssl.so # ldd `locate mod_ssl.so` linux-vdso.so.1 => (0x00007fffb5dfe000) libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f915c0ba000) libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f915bce0000) [… omitted libpthread and libc …] /usr/bin/openssl上的ldd对libssl和libcrypto(v 1.0.0)产生相同的依赖关系。 我无法使用RSA密码获得连接。 我检查了使用openssl […]
我有Nginx作为基于主机名的请求的网关和反向代理。 但是,与LAN中的实际服务器的通信并不安全。 连接是否保持以下设置进行encryption,还是我应该在实际的Web服务器中保护Apache? 必须指出的是,局域网不能完全信任。 server { listen 443 ssl; ssl_certificate /etc/nginx/ssl/wildcard.xxxx.edu.ar.crt; ssl_certificate_key /etc/nginx/ssl/wildcard.xxxx.edu.ar.key; server_name tracker.yyyy.xxxx.edu.ar; location / { proxy_pass http://192.168.yy.xx:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } server { listen 80; server_name tracker.yyy.xxxx.edu.ar; return 301 https://$server_name$request_uri; }
首先,在terminal上使用以下命令获取localhost.csr,localhost.key和localhost.crt: 请求: openssl req -new -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr 证书: openssl x509 -req -days 365 -in localhost.csr -signkey localhost.key -out localhost.crt 我在这里跟着这个问题,并在httpd-ssl.conf上更新这些directives : SSLCertificateKeyFile "/Applications/XAMPP/xamppfiles/apache2/ssl-certs/localhost.key" SSLCertificateFile "/Applications/XAMPP/xamppfiles/apache2/ssl-certs/localhost.crt" 在MyApache中,启用了SSL。 当我重新启动本地主机,并转到http://localhost ,绿色标志出现,但我得到: Access Forbidden Error 403 You don't have permission to access the requested directory. There is either no index document or the directory […]
所以经过两天的尝试,我发现似乎适用的所有解决scheme,我仍然在挠头。 必须有我缺less的东西。 我正尝试在SuiteCRM中使用php imap_open( imap_open()连接到postfix / dovecot邮件服务器(它只使用imap,pop3不是一个选项)。 我可以从命令行openssl s_client -connect mail.mydomain.com:143 -starttls imap或openssl s_client -connect mail.mydomain.com:993 。 我可以发出命令,列出收件箱和注销。 如果我尝试使用php imap_open我得到各种错误取决于传递的参数。 问:为什么不能用imap_open进行连接? 这似乎是一个PHP的问题。 我已经检查邮件服务器上的phpinfo,它有支持ssl的imap。 邮件服务器在ubuntu 14.04 LEMPconfiguration上运行。 PHP版本5.5.9-1ubuntu4.9。 ssl证书是通配证书。 imap IMAP c-Client Version 2007f SSL Support enabled Kerberos Support enabled openssl OpenSSL support enabled OpenSSL Library Version OpenSSL 1.0.1f 6 Jan 2014 OpenSSL Header Version OpenSSL […]
我今天在使用file_get_contents或类似的fopen函数在我们的服务器上运行的php脚本有一些麻烦。 我认为这是一个openssl或防火墙的错误,但我很新的服务器pipe理员的东西,所以我需要一些帮助debugging它。 我正在修改iptables和csf firewall设置,并试图在突然停止工作时使用proftpdconfigurationsftp。 一个简单的testing:(这个gif文件通过浏览器加载) echo file_get_contents("https://www.this-domain.com/logo.gif"); //…failed to open stream:HTTP request failed! HTTP/1.1 404 Not Found… //However both of the following work absolutely fine: //a local request to the same file: echo file_get_contents("/home/user/domains/this-domain.com/private_html/media/logospin.gif"); //an external absolute url: echo file_get_contents("https://www.google.com/"); 在php.ini中,我有: allow_url_fopen = on & extension=php_openssl.dll 。 有任何想法吗?
我们在天青网站上托pipe一个网站。 我们托pipe的服务有6个实例。 在该服务上,我们添加了一个覆盖该站点的证书,并具有如下所示的身份validation链: our certificate Comodo RDAOrganisation Validation Secure Server CA (2014 – 2029) Comodo RSA certification Authority (2000 – 2020) USERTrust (2000 – 2020) 我们可以在浏览器中看到我们所做的任何请求,这个链似乎正确存在,SSL握手可以完成。 我们有一位客户报告说他们有一些问题远程连接到我们。 他们一直在使用openssl来validation这个来源。 如果我的知识在解释这个输出的时候出现,我想知道是否可以帮助我们找出差异,或者确定下一步 – 无论是为我们还是我们的客户。 运行的命令是 $ openssl s_client -CApath /etc/ssl/certs/ -connect <our service uri> 成功案例的输出结果如下: CONNECTED(00000003) depth=3 C = SE, O = AddTrust AB, OU = AddTrust External […]
我试图在Ubuntu 14.10上使用OpenSSL创build一个自签名证书。 我一直在成功地生成一个包含正确扩展的CSR。 当我使用CSR生成证书时,SAN信息无法通过。 openssl.cnf中 [ ca ] default_ca = CA_default [ CA_default ] dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. new_certs_dir = $dir/newcerts # default place […]
我试图在CentOS7上安装ruby 1.8.6并成功完成,但是ruby无法加载openssl。 我的安装步骤如下。 从源代码安装openssl 0.9.8。 wget http://www.openssl.org/source/openssl-0.9.8zb.tar.gz tar xzf openssl-0.9.8zb.tar.gz cd openssl-0.9.8zb ./config –prefix=/usr/local shared make && make install openssl version OpenSSL 0.9.8zb 6 Aug 2014 cd 从源代码安装ruby1.8.6。 # Fix timeout.rb:59: [BUG] Segmentation fault export CFLAGS="-O2 -fno-tree-dce -fno-optimize-sibling-calls" wget ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p420.tar.gz tar xvfvz ruby-1.8.6-p420.tar.gz cd ruby-1.8.6-p420 ./configure make && make install ruby -v ruby 1.8.6 (2010-09-02 […]