我们目前有一个nginx服务器作为4-5个Apache服务器的后端代理运行。 我的问题是,在安装ssl证书后,我testingssl连接时出现以下错误:openssl s_client -connect xxx.xxxxxxxxx.xxx:443 | 更多 Verify return code: 21 (unable to verify the first certificate) SSL是通过RapidSSL购买的。对于SSL代理,nginx的configuration如下: server { listen 443 ssl; server_name _; access_log /var/log/nginx/ssl-access.log; error_log /var/log/nginx/ssl-error.log; ssl on; ssl_certificate ssl/wildcard-xxxxxxx.xx.xx.crt; ssl_certificate_key ssl/wildcard-xxxxxxx.xx.xx.key; keepalive_timeout 60; location / { proxy_pass https://backend; } } 我可以validation后端服务器返回ssl连接正常 Verify return code: 0 (ok) 如果任何人能够给我一个头或一个指出将不胜感激。 Thnx,David
当用户使用ssh-keygen创buildRSA密钥对时,默认密钥长度为2048位。 你可以用-b参数在命令行中覆盖它,但是很less有用户会打扰。 如本文所述,如果您需要超过2030年的安全性,build议使用3072或更大的密钥长度。是否有办法使3072(或4096)成为所有生成密钥的默认长度? 我没有看到它在ssh_config或sshd_config手册页。 还是需要重新编译程序?
这是情况:我有一个安全的服务器,但我只想提供访问那些具有某些证书文件。 我已经安装了apache(请参阅如何提供对不支持SSL的Web服务器的HTTPS访问? )。 我想知道如何创build不同的证书来validation我自己的CA. 此外,我可以在Firefox / Chromium等浏览器中导入这些证书文件吗? (我当然希望所有这些使用openssl) 编辑:httpd.conf的一部分 httpd.conf # require a client certificate which has to be directly # signed by our CA certificate in ca.crt SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile conf/ssl.crt/ca.crt
我在PfSense 2.0上设置了OpenVPN,现在我想知道是否应该使用“auth-user-pass”选项,在openssl键上设置密码。 两者都需要有效证书旁边的额外密码,但我不知道是否有一种方法比另一种更安全。 似乎只有“auth-user-pass”方法在PfSense Web界面中直接支持,所以使用passhrase意味着每个证书都需要额外的步骤(为openssl命令添encryption码)。
休斯顿,我有一个问题。 我在一台机器上有一个Apache (httpd)实例,使用mod_ssl和openssl而mod_jk指向其他物理机器上的多个tomcat实例。 Apache是真的在这个盒子上运行的唯一的东西。 它被configuration为每个连接使用单独的进程来隔离它们,并设置为使用/dev/urandom启动和builtin连接。 处理请求是闪电般的。 我得到的问题是SSL握手的缓慢。 查看一个tcpdump ,有服务器从客户端接收字节的实例(假设这是尝试build立SSL连接),但Apache(mod_ssl)不响应。 客户端再次尝试〜3秒钟后,没有得到任何回应。 在实际发送证书之前,这可以重复几次。 握手成功后,工作顺利。 问题在于浏览器没有足够频繁的重试,用户很快得到响应,用户声称“系统缓慢”。 我需要弄清楚为什么Apache(或者mod_ssl)简单地忽略或者永远处理证书请求。 有任何想法吗? 提前致谢。
我正在尝试将我的Apache Traffic Serverconfiguration为使用ECDSA证书/密钥。 但是,当与openssl s_client连接时,我得到以下错误信息 例程:SSL23_GET_SERVER_HELLO:sslv 3警报握手 如果我尝试直接使用Firefox连接,系统会提示没有可用的通用密码。 我很确定证书/密钥是正确生成的,因为我可以使用openssl s_server和openssl s_clientbuild立与同一证书/密钥的连接。 所以这让我想知道是否需要专门编译ATS来使用ECDSA证书。
我们在Apache安装中遇到一个相当奇怪的问题。 这里是一个简短的总结: 目前我正在用https和服务器证书设置Apache。 这是相当容易的,可以直接使用,就像预期的那样。 这是此设置的configuration: Listen 443 SSLEngine on SSLCertificateFile "/progs/apache/ssl/example-site.no.pem" SSLCertificateKeyFile "/progs/apache/ssl/example-site.no.key" SSLCACertificateFile "/progs/apache/ssl/ca/example_root.pem" SSLCADNRequestFile "/progs/apache/ssl/ca/example_intermediate.pem" SSLVerifyClient none SSLVerifyDepth 3 SSLOptions +StdEnvVars +ExportCertData RequestHeader set ssl-ClientCert-Subject-CN "%{SSL_CLIENT_S_DN}s" RewriteEngine On ProxyPreserveHost On ProxyRequests On SSLProxyEngine On … <LocationMatch /secureStuff/$> SSLVerifyClient require Order deny,allow Allow from All </LocationMatch> … <Proxy balancer://exBalancer> Header add Set-Cookie "EX_ROUTE=EB.%{BALANCER_WORKER_ROUTE}e; path=/" […]
我一直在关注这个教程: http://www.exratione.com/2012/12/websockets-over-ssl–haproxy-nodejs-nginx/ …但我一直有问题通过HAProxy通过SSL连接到Nginx。 我得到Error 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL protocol error. 在Chrome之后的HTTP到HTTPSredirect和(Error code: ssl_error_rx_record_too_long)在Firefox中。 我认为这与文件串联来创build.pem文件有关。 我试过的东西: 禁用HAProxy并直接使用SSL来访问Nginx 在HAProxy上不使用SSL来访问Nginx,这也可以 按照以下步骤创build新的SSL证书: http : //wiki.nginx.org/HttpSslModule 检查SSL证书文件的权限 我的Nginxconfiguration: server { listen 8080 ssl; ## listen for ipv4; this line is default and implied root /usr/share/nginx/www; index index.html index.htm; server_name localhost; ssl_certificate /etc/ssl/certs/server.crt; ssl_certificate_key /etc/ssl/private/server.key; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; […]
我想在thunderbird中设置自签名证书,但在尝试发送消息时收到了一些警告: Unable to put a digital signature. Make sure that the certificates specified in the account settings are valid and reliable. 我已经做了下一步: 1.创buildCA证书: openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 365 -config ./openssl.conf 2.为用户制作pkcs#12容器: openssl req -new -nodes -out $name-req.pem -keyout private/$name-key.pem -days 365 -config ./openssl.conf openssl ca -out $name-cert.pem -days […]
一些algorithm有几种实现,它们使用CPU指令,这些指令可能在当前系统上可用,也可能不可用。 只是启用(在内核,而不是模块)所有这些是好主意 – 即在当前的CPU上可用的最快的实现将被自动select? 另外,OpenSSL是否会开始自动使用内核提供的优化实现,或者应该以某种方式进行configuration?