我试图使用Nginx作为反向代理,具有负载均衡和SSL卸载function,我需要购买适当的硬件。 在某些情况下,我需要一个高吞吐量的SSL卸载,我想知道Nginx是否使用Intel Core i7 (或者至强Nehalem CPU产品线)的硬件AESfunction! 使用Nginx与这样的CPU获得更多的SSL卸载吞吐量,还是浪费钱?
我只是将我的debian wheezy服务器更新到最新版本的openssl软件包,它已修复了心跳错误。 我确实在我的服务器上支持SSL,但只能使用snakeoil证书。 我只是想知道是否实际上有任何安全问题关于更新snakeoil证书,或者我可以离开它,因为它是反正snakeoil证书? 这个问题可能来自我对ssl缺乏的知识……但是如果我要改变我的snakeoil证书,提前感谢任何解释,如果是的话,为什么:)
OpenSSL刚刚宣布了内存例程中的另一个新漏洞。 您可以在这里阅读所有内容: https : //www.openssl.org/news/secadv_20141015.txt 解决方法是禁用SSLv3。 这将完全禁用我们网站上的HTTPS? 还有什么客户依赖SSLv3,应该关心支持他们吗?
我有幸每周处理5个SSL CSR,在将它们传递给我们的CA之前检查其有效性。 我在Ubuntu机器上使用OpenSSL来检查它们是否有效,testing诸如正确的OU名称,合理的CN,密钥大小> = 2048位等等,因为我们的请求有时是不正确的。 有一天,我收到一个IIS7机器的更新请求。 我不知道如何阅读这个,使用OpenSSL。 这是有效的,因为我的CA已经接受了… 'file(1)'表示这是一个“RFC1421安全证书签名请求文本”,这就是我说的约50%的CSR(其余是“PEM证书请求”)。 $ head iis7rcsr —–BEGIN NEW CERTIFICATE REQUEST—– MIIQsQYJKoZIhvcNAQcCoIIQojCCEJ4CAQExCzAJBgUrDgMCGgUAMIIJegYJKoZI hvcNAQcBoIIJawSCCWcwggljMIIIzAIBADCB2zELMAkGA1UEBhMCTloxDTALBgNV BBEMBDkwNTQxDjAMBgNVBAgMBU90YWdvMRAwDgYDVQQHDAdEdW5lZGluMRwwGgYD … … openssl req ,它读取CSR(PKCS#10)无法理解它… $ openssl req -in iis7rcsr -text unable to load X509 request 5156:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1316: 5156:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509_REQ_INFO 5156:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:748:Field=req_info, Type=X509_REQ 5156:error:0906700D:PEM routines:PEM_ASN1_read_bio:ASN1 lib:pem_oth.c:83: 本文来自MSDN博客上的Andreas Kleinbuild议IIS7更新CSR是一个PKCS#7容器,具有基于当前证书的CSR和签名…但是我仍然无法读取它。 […]
我想在一个服务器上编译和安装一个Heartbleed容易受到攻击的OpenSSL版本,这个服务器是为团队networking安全挑战而设置的(因为这些无法从Ubuntu的仓库安装,原因很明显)。 我使用提供的说明(运行./config ,然后make和make install )从源代码OpenSSL 1.0.1f下载并编译,然后尝试从我的PC 上运行GitHub中公开的可用的Heartbleed POC,但是脚本不禁止我已经收到心跳响应,并且服务器可能不易受到攻击。 运行openssl version产生以下输出: OpenSSL 1.0.1f 2014年1月6日 。 我当然安装了一个SSL证书,并且SSL访问在服务器上工作。 安装OpenSSL以与Apache 2.4.7一起工作。 谁能帮忙?
警告: SSLv3已过时 。 考虑完全禁用它 。 我正在尝试将Stunnel设置为服务器作为SSLcaching。 一切都很顺利,而且大部分都按devise工作。 然后我在日志文件中遇到错误: SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number 并不是所有的客户都会触发这个事情 使用链接从CentOS连接 – 错误显示(尝试多台机器)。 使用链接从Ubuntu连接 – 没有错误。 尝试使用wget,并与TLSv1一切顺利,但错误显示与SSLv3。 同时,wget报道: OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 无法build立SSL连接。 这是我的configuration: pid = /etc/stunnel/stunnel.pid debug = 3 output = /etc/stunnel/stunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 verify=3 ; fixing "fingerprint does not match" error fips=no [https] accept=12.34.56.78:443 connect=127.0.0.1:80 TIMEOUTclose=0 […]
我想为网站创build自签名证书。 旧证书前几天过期了。 系统上有多个NameVirtualHosts托pipe。 我用来创build证书的命令来自一个教程网站,它们是: openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.key server.key.org openssl rsa -in server.key.org -out server.key openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 在ssl.conf文件中,我已经在VirtualHost部分下指定了其他pipe理员完成的旧设置 SSLEngine on SSLCertificateFile <full_path>/server.crt SSLCertificateKeyFile <full_path>/server.key 在启动服务器时,我收到日志文件中的消息,服务器无法启动。 在error_log文件中有消息 [Mon Jun 01 23:52:46 2009] [notice] suEXEC mechanism enabled […]
我有一个.p7b格式的SSL证书,我需要转换为.pfx。 如果我通过Windows证书pipe理来尝试这个选项,专家作为.pfx被禁用。 尝试openssl我已经find了以下两个命令来做转换: openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer 但是我不确定使用第二个命令或CACert.cer引用什么证书的关键。 如何将此密钥转换为.pfx格式?
我有一个我个人使用的Postfix / Dovecot / Roundcube设置,以及提供给其他用户。 我正试图将这整个设置转移到一个新的框,但有一些问题。 邮件接收工作正常,(只在内部进行testing,域名尚未传输),以及使用TLS / SSL(例如Thunderbird)的外部IMAP和SMTP, 问题是,我的圆形立方体,它可以使用IMAP到127.0.0.1,并显示用户的电子邮件奇妙,但不能发送电子邮件,只是声称: "SMTP Error (220): Authentication failed." 奇怪的是,在我的当前服务器上使用相同的Postfix / Dovecotconfiguration,Roundcube不能再在我的新服务器上访问它。 以下是相关的roundcubeconfiguration: $config['smtp_server'] = 'tls://localhost'; // Log SMTP conversation to <log_dir>/smtp or to syslog $config['smtp_debug'] = true; // SMTP port (default is 25; use 587 for STARTTLS or 465 for the // deprecated SSL over SMTP (aka SMTPS)) […]
我们的一个业务合作伙伴要求我们使用TLS SHA256证书连接到他们的API。 我不知道如何生成这些请求。 过去我使用过openssl来创build这些请求,但是它使用SHa1生成了一个SSL证书。 我可以使用openssl来产生这个请求吗? 如果不是我如何产生他们所要求的? 我不是这个领域的专家,所以我甚至不知道我问的是否合理。