我们正在为已经拥有SSL证书的客户开发一个站点,并且已经有一个使用它的网站和域名。 我们将在运行Apache的服务器上托pipe新站点,该站点上的其他站点使用相同的IP。 该网站的域名将其Alogging更改为我们的服务器。 现有的证书是由Comodo授予的。 另一个可能很重要的事实是,他们现有的网站托pipe的公司将不会回到我们的证书方面。 我已要求他们给我一个“SSL证书和私钥的导出副本”,但已被忽略。 问Comodo和我们的其他网站托pipe的公司,我真的很困惑! 我从来没有真正处理过SSL。 所以我的问题是: 将此证书转移到当前托pipe服务提供商的唯一途径吗? 如果他们没有回应,我的下一步是什么? 一个域名可以有两个证书(如果我们购买一个新的)? 我道歉,如果我使用不正确的术语,但提前感谢!
我们目前正在使用Ubuntu 10.04,并且基于PCI合规性结果,我们被告知升级我们的OpenSSL。 我试图做这个使用这个参考和这个 。 不幸的是,他们没有为我工作。 而当我试图删除旧版本的安装之前,它看起来像在系统中打破了几个。 Steve Gordon的文章似乎对我很有用,但是当我运行openssl version命令时,它仍然读取它是旧版本。 我想知道如果有人对我应该做什么有什么build议。 修复:按照从史蒂文·戈登的步骤后,请确保您重新启动Apache和/或重新启动您的计算机(我做了两个,但我相信一个简单的重新启动将解决它)。
使用以下方法查看证书的详细信息: openssl x509 -noout -text -purpose -in mycert.pem 我发现了一堆目标标志(我发现它们是通过连接到证书的各种扩展设置的)。 其中一个目的标志是“任何目的”。 我似乎无法find此标志上的任何文档,为什么或为什么不设置。 你们有没有人知道我在哪里可以find更多关于这个目的的信息? 谢谢,
我最近设置了一个基于Node.js的web套接字服务器,经过testing,它可以在一个小的EC2实例(m1.small)上每秒处理大约2000个新的连接请求。 考虑到m1.small实例的成本以及将多个实例放在支持WebSocket的代理服务器(如HAProxy)后面的能力,我们对结果非常满意。 但是,我们意识到我们还没有使用SSL进行任何testing,因此查看了许多SSL选项。 很明显,在代理服务器上终止SSL连接是理想的,因为代理服务器可以检查stream量并插入诸如X-Forward-For之类的头部,以便服务器知道请求来自哪个IP。 我看了一下Pound,stunnel和stud的SSLterminal解决scheme,所有这些解决scheme都允许443端口的连接被终止,然后通过端口80上的HAProxy传递到Web服务器。 不幸的是,我发现在c1.medium(High CPU)实例上向SSL终止代理服务器发送stream量很快就消耗了所有的CPU资源,并且每秒钟只有50次左右的请求。 我尝试过使用上面列出的全部三种解决scheme,并且他们都执行了大致相同的操作,而我仍然使用OpenSSL。 我尝试使用64位非常大的高CPU实例(c1.xlarge),发现性能只能随成本线性缩放。 所以基于EC2定价,我需要支付每秒200个SSL请求的大约600美元/米,而不是每秒2000个非SSL请求的60美元/米。 当我们开始计划每秒钟接受1,000或10,000次请求时,以前的价格变得经济上不可行。 我也尝试使用Node.js的https服务器终止SSL,性能与Pound,stunnel和stud非常相似,所以没有明显的优势。 所以我希望有人可以帮忙的是build议我如何解决这个荒谬的代价,我们必须吸收以提供SSL连接。 我听说SSL硬件加速器提供了更好的性能,因为硬件是专为SSLencryption和解密而devise的,但是由于我们目前在所有服务器上使用Amazon EC2,所以使用SSL硬件加速器不是一种select,除非我们有单独的数据以物理服务器为中心。 我只是努力想知道,如果亚马逊,谷歌,Facebook的成本如此之高,通过SSL可以提供所有stream量。 那里一定有更好的解决办法。 任何意见或想法将不胜感激。 谢谢Matt
我在Unix机器上有一个Apache服务器: Apache/2.2.29 (Unix) OpenSSL/0.9.8zg 我想将OpenSSL版本升级到1.0.2,这是我的系统上当前安装的版本: machine:/ user$ openssl version OpenSSL 1.0.2d 9 Jul 2015 我可以做到这一点,而不重新编译整个服务器? 我是否必须重新编译mod_ssl因为它是使用LoadModule在httpd.conf加载的: LoadModule ssl_module modules/mod_ssl.so 我怎样才能做到这一点?
如何使用由LetsEncrypt生成的证书文件与Neo4j实例一起使用? 由LetsEncrypt生成的文件是: cert.pem chain.pem fullchain.pem privkey.pem 我试过通过OpenSSL进行转换,目前还没有运气,使用从PEM到DER的转换。 Neo4j抱怨在开始时没有find证书。 问题是如何将LetsEncrypt证书转换成Neo4j可以使用的东西。 安装细节: 证书放置在名为neo4j.{cert,key} ,权限为600 ,由neo4j:nogroup拥有的/var/lib/neo4j/certificates/ 。 所有这一切似乎都是根据文件 。 在configuration中,我有这一行来指定证书path: dbms.directories.certificates=/var/lib/neo4j/certificates 在configuration中,我也通过启用HTTPS的远程访问: dbms.connector.https.address=0.0.0.0:7473 当重新启动Neo4j时,我得到以下错误信息: WARN Illegal character 0x16 in state=START for buffer HeapByteBuffer@5a260174[p=1,l=193,c=8192,r=192]={\x16<<< SEVERAL_LINES_OF_HEX_JIBBERISH_HERE } WARN badMessage: 400 Illegal character 0x16 for HttpChannelOverHttp@5d682358{r=0,c=false,a=IDLE,uri=-}
我在网上search了一个清晰而简洁的答案,但是却无济于事。 所以在这里: 我有一个Web服务需要SSL支持authentication页面。 根级域没有“www” – 即secure://domain.com – 但本地化页面使用“language-code.domain.com”,即secure://ja.domain.com 所以我至less需要一个支持secure://*.domain.com的通配符SSL证书 但是,我们在sandbox.domain.com上也有一个公用的沙箱环境,我们也需要在本地化的域下支持 – 这样安全://ja.sandbox.domain.com也需要工作。 以前的pipe理员设法为.domain.com购买通配符SSL证书,但是使用“domain.com”的主题备用名称。 所以,我正在考虑试图获得SANs定义为“domain.com”和“ 。*。domain.com” 的通配符证书 。 但现在我感到困惑,因为似乎有单独的SAN证书,也被称为UCC证书。 有人可以澄清是否有可能获得通用证书与额外的SAN领域,最终是什么最好的方式来支持: secure://domain.com secure:// .domain.com secure://。*。domain.com 用最less(也是最便宜的)数量的SSL证书? 谢谢!
当使用openssl 0.9.8创build一个新的自签名证书+密钥时,有一个-nodes参数可以用来告诉openssl不encryption它创build的私钥。 例如: openssl req -x509 -nodes -days 365 \ -subj '/C=US/ST=Florida/L=Jupiter/CN=test.com' \ -newkey rsa:1024 -keyout mykey.pem -out mycert.pem 但是在新的openssl v1.0.1中,好像忽略了-nodes参数。 从我可以告诉,私钥总是encryption。 我使用openssl错了吗? 有没有一个不同的参数,我应该使用呢? -nodes参数logging为: if this option is specified then if a private key is created it will not be encrypted 资料来源: http : //www.openssl.org/docs/apps/req.html#item__nodes 更多细节问: 使用openssl 0.9.8,key + cert可以直接导入到其他第三方设备,我们期望未encryption的密钥和证书。 这工作没有任何问题。 但是当使用openssl 1.0.1时,这些第三方设备抱怨这个键是无效的。 确切的错误信息是: […]
我已经按照这些步骤来创build和签署我自己的SSL证书: openssl genrsa -out server.key 1024 openssl req -new -key server.key -out server.csr openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 在Firefox中,我收到了这些警告消息: 证书不可信,因为它是自签名的。 证书对于任何服务器名称无效。 当然,我得到了前者的警告,但后者呢? 在产生企业社会责任方面,我被问到很多问题,我给了空白答案。 虽然他们似乎没有提到域名。 Country Name (2 letter code) [AU]:se State or Province Name (full name) [Some-State]:. Locality Name (eg, city) []:. Organization Name (eg, company) [Internet Widgits Pty […]
我试图用openssl生成我自己的自签名SSL证书,所以我可以在购买之前在nginx上的开发服务器上testing它们。 我创build了server.key,但是当我运行openssl req -key server.key -out server.csr命令时,它只是在input密码短语后挂起 有任何想法吗 ?