我一直在search和testing了几天,现在已经用完了。 这是我的问题。 我有一个使用OpenSSL 1.0.2g的Microsoft Windows 2008 R2服务器上运行的Apache Lounge 2.4.18(Win32)VC14 Web服务器。 我们的企业安全团队扫描了我的服务器,发现RC4正在被利用。 (他们使用Rapid7的Nexpose)。 他们build议configuration服务器以禁用对RC4密码的支持,并build议使用下面显示的密码configuration。 他们还build议不要使用TLSv1,只能使用TLSv1.1和TLSv1.2。 我也运行SSLScan来复制结果,可以看到“TLSv1 128 bits RC4-SHA”被接受。 没问题我想,并改变了我的httpd.conf文件,如下所示,然后重新启动Apache2.4服务。 然后我让他们重新扫描服务器,他们收到了相同的结果。 我search了整个服务器,查找包含“SSLCipherSuite”或“SSLProtocol”的文件,并删除或重命名了除\ Apache24 \ conf \ httpd.conf之外的所有文件。 我有一个\ Apache24 \ conf \ openssl.cnf文件,但我不认为它执行任何操作,因为它仍然是Apache自带的默认文件。 我也做了大量的清理工作,并删除了所有旧版本的Apache,OpenSSL和PHP。 大约三个星期前,我从Apache 2.2和OpenSSL 0.9.x升级了Apache和OpenSSL,并且运行正常。 我在error.log或windows事件查看器中没有任何启动错误。 Apache / OpenSSL是否还有其他地方确定协议或密码套件? 是否有一个默认的地方会忽略我的SSL相关指令? 我的httpd.conf文件的内容(“MYDOMAIN”显然不是我的实际域名): <VirtualHost *:80> DocumentRoot "C:/Apache24/htdocs" ServerName www.MYDOMAIN.com </VirtualHost> <VirtualHost *:443> DocumentRoot "C:/Apache24/htdocs_apps" ServerName apps.MYDOMAIN.com […]
我一直在使用一段时间的API,而大多数情况下,大多数情况下,这些调用都是有效的(大约一个小时,一天1-2次,尽pipe这是完全不可预知的,何时和多久!)我得到以下错误信息: “发生错误:SSL:没有其他证书主题名称匹配目标主机名'api.xxxxx.com'” 我一直在监视我的服务器的计划调用和外部使用的扫描仪,也手动与邮递员的API。 当我的服务器调用有问题时,邮差并不表示这是我的问题。 仅供参考查询从PHP服务器的PHP使用PHP运行基本身份validationfile_get_contents和curl – 两种方法都显示相同的问题。 与超级有用的API所有者开发团队一起工作,看来在使用openssl命令时: 回声| openssl s_client -showcerts -servername api.XXXXX.com -connect api.XXXXX.com:443 2> / dev / null | openssl x509 -inform pem -noout -text 我的服务器以某种方式将api的域名指向我自己的域名,即,这个命令输出我自己的SSL证书,而不是api的。 有谁知道如何解决这个问题和/或阻止这种情况再次发生?
背景:Apache 2.4(服务器)和Windows 7 Internet Explorer(客户端)使用PKI; 两台机器都处于“黑暗networking”(没有互联网接入)。 问题:在SSL握手中,客户如何接收中间CA? 它不能使用Apache提供的吗? 我的尝试: Apache服务(1)服务器证书,(2)中间CA,(3)根CA到客户端 客户尝试通过互联网validation链,失败,本地检查 故障排除:我已经运行了Fiddler和netsh跟踪,客户端尝试 – 虽然明显失败 – 联系中间CA权限。 最终,SSL连接成功。 我试图了解客户端如何validation中间的CA没有互联网访问,没有本地保存的证书。
我使用的是7.2, 来自centos 7.2的版本是1.0.1, 我安装了1.0.2表格源码, 然后查看版本,但它仍然是1.0.1。 如果我想使用1.0.2,我应该怎么做? [root@i001 ~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Tue Mar 1 15:07:53 UTC 2016 platform: linux-x86_64 options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong –param=ssp-buffer-size=4 […]
我正在使用rabbitmq聊天。 我已经在机器上安装了ssl,这对于Android平台来说工作正常,但是iOS代理不能与机器build立连接并且总是显示SSL Handshake错误。 在做了一些研究之后,我发现iOS需要遵循椭圆曲线encryption(Elliptic Curve Encryption) 椭圆曲线:secp256r1(0x0017) 椭圆曲线:secp384r1(0x0018) 椭圆曲线:secp521r1(0x0019) 但是没有findrabbitmq是否支持椭圆曲线encryption?
我正在尝试构build自己的ElasticSearch集群,并决定使用名为Search Guard的开源插件。 它需要生成客户端和主机/节点证书。 在它的演示中,有一个脚本可以生成一个根ca,客户端和节点证书,这些证书是用生成的root ca签名的。 我的问题是,我想用我的通配符SSL证书。 我如何使用通配符ssl证书创build客户端和节点证书? 这是他们的演示页面,解释如何生成证书,但不幸的是无法pipe理它。
我试图拉相互authenticationscheme中的客户端证书属性,并将其设置为后端请求中的HTTP标头。 见下面的fig 1 。 图。1 [用户证书正确] | | 1.提供具有正常v1属性的证书 | 有额外的“扩展”属性 | 含。 包含“主题名称” | “用户主要名称”(UPN看起来像一个电子邮件地址) | [example.com:443 haproxy] –app1 / app2 CNAMEd到example.com | | 2.阅读主题备用名称 | 3.正则expression式或parsing出UPN | 4.将REMOTE_USER头设置为UPN | 5.传递给后端(S) | ┌——————┬ | | | | | | | | VV [app1svr:80] [app2svr:80] 通常,这很容易,你只需要使用内置的function就可以得到你想要的属性: 前端https 绑定*:443名称https ssl crt ./server.pem ca-file ./ca.crtvalidation必需 http-request set-header […]
自从昨天以来,我已经将OpenSSL-1.0.2h应用于我的Nginx服务器,我从源代码重新编译。 对于OpenSSL部分,我已经遵循了这个指南: https : //syslint.com/blog/tutorial/how-to-upgrade-openssl-on-centos-7-or-rhel-7/ 。 事后编译Nginx比较容易: ./configure –prefix=/etc/nginx … –with-openssl=/usr/local/src/openssl-1.0.2h 背景信息 $ openssl version OpenSSL 1.0.2h 3 May 2016 $ which openssl /usr/bin/openssl $ ls /usr/bin/openssl /usr/bin/openssl -> /usr/local/ssl/bin/openssl $ find / -name "openssl" … /usr/include/openssl /usr/local/src/openssl-1.0.2h/apps/openssl /usr/local/src/openssl-1.0.2h/include/openssl /usr/local/src/openssl-1.0.2h/.openssl/include/openssl /usr/local/src/openssl-1.0.2h/.openssl/bin/openssl /usr/local/ssl/include/openssl /usr/local/ssl/bin/openssl … $ nginx -V nginx version: nginx/1.11.1 built by gcc 4.8.5 20150623 […]
我在WAMP上的openSSL上有这个奇怪的组合。 我的Windows命令提示符openssl version返回库版本 – > OpenSSL 1.0.2h 2016年5月3日 而我的PHPcurl调用 – echo "openssl version text: " . OPENSSL_VERSION_TEXT . "\n"; echo "openssl version text: " . OPENSSL_VERSION_TEXT . "\n"; 返回标题版本:openssl version text:OpenSSL 1.0.1t 2016年5月3日 我想知道如何更新OpenSSL头版本,因为我需要1.0.2为了APNS工作,因为我还在 HTTP / 2客户端前言string丢失或损坏。 接收字节的hex转储:504f5354202f332f6465766963652f613433646466376235 我正在使用Windows Server 2008 Windows NT OMEGA 6.1 build 7601(Windows Server 2008 R2企业版服务包1)AMD64 WAMP Apache / 2.4.17(Win64)Apache显示Apache / […]
我们正在使用nginx来提供Web服务。 客户已经build立了一个从他们的子域指向的CNAMElogging: sub.example1.com到我们域sub.example2.com上的子域(使用通配符SSL证书进行保护) 目前,当您尝试查看: sub.example1.com ,错误: The certificate is not valid (host name mismatch). 被显示并且不匹配错误必须被忽略继续。 我曾尝试为子域sub.example1.com生成一个SAN证书并单独提供服务,但他们确实在查看sub.example2.com并导致相同的错误。 我们是否可以将SAN添加到通配符证书中以避免这种不匹配错误? 是否有其他可能的解决scheme来解决不匹配? 我们可以在相同的证书上保护这个二级子域吗? 谢谢! 编辑主nginx.conf,网站启用/ sub.example1.com和example2.comconfiguration示例: http ://pastebin.com/7AKLag4w 通过上面的configuration,我仍然收到一个不匹配的主机名证书错误。 curl -I导致: curl: (60) SSL certificate problem: Invalid certificate chain sub.example1.com证书是使用letsencrypt包括sub.example1.com和sub.example2.com SAN)创build的,而example2.com.crt是由标准颁发机构创build的,作为通配符ssl证书。