Postfix默认使用端口25,465和587.在我的configuration中,我使用postfix的main.cf的选项smtpd_use_tls=yes启用了TLSencryption。 据我所知,这使得所有smtp通信都被encryption。 由于后缀只需要1个证书,不支持SNI ,我想用nginx作为代理,由基于SNI和域名的nginx作为代理,而不是由后缀来决定encryption。 我很困惑我必须在后缀做的变化,我会很感激你的帮助。 这是我的问题: 1)当我通过我的服务器发送电子邮件时,我使用端口25.但接收邮件又如何? 我应该改变这些后缀使用的端口(用nginxreplace它们)吗? 或者只是端口25就够了? 2)当我使用nginx作为代理时,我应该在postfix中禁用encryption吗? 如果我正确理解了这一切,那么nginx和postfix之间的内部代理通信不需要encryption,所以我应该禁用encryption,一旦我开始使用smtpd_use_tls=noconfiguration代理,对不对? 我需要任何额外的信息,请询问。
鱿鱼代理服务器提供的可能性,以提供多个SSL证书? 我有一个服务器与各种虚拟机运行Apache Web服务器为不同的客户。 作为向客户销售一个专用IP地址的经济替代scheme,我希望至less(解释和给出)在服务器机器的共享IP上使用sni的解决scheme。 假设我们有一个带有4个域的服务器: domain1a.com , domain1b.com , domain2a.com和domain2b.com 。 域domaina1.com和domainb1.com由虚拟机中的同一个Apache实例托pipe,其他两个域也是如此。 每个虚拟机都有一个NAT转换的本地IPv4 IP地址,请求应该发送到该地址。 所有HTTP(S)请求都将通过caching代理服务器来加速和共享服务器IP。 因此,解决scheme应该提供SSL终止和SNI。 早在2013年,对这个问题的回答就指出了乌贼不具备SNI的能力。 不过,由于Squid 3.5支持SNI, 据我了解,我用Squid的选项是 使用自签名的CA和dynamic证书生成 ,或者 使用具有多个SAN名称的证书,列出(物理)服务器上托pipe的所有域。 (1)显然不起作用,因为我们无法在每个网站访问者的电脑上安装自签名的CA证书(谢天谢地!)。 (2)对我不起作用,因为它非常不灵活,并且显示(物理)服务器机器上托pipe的每个域。 我在这里错过了什么吗? 我可以为SNI提供多个SSL证书吗? 如果这是不可能的:什么替代scheme将符合我的情况? 提前致谢!
我试图在同一个IP上使用两个域的stunnel。 我的conf是这样的: ;key = /etc/ssl/private/namecheap/server.key # See this link http://www.sysadminworld.com/2011/how-do-i-use-an-intermediate-certificate-with-stunnel/ # The intermediatev.pem is comodo-rsa-domain-validation-sha-2-w-root.ca-bundle # Restart /etc/init.d/stunnel4 restart cert = /etc/ssl/private/namecheap/stunnel.pem ;CApath = /etc/ssl/private/namecheap/www_soinfit_com.ca-bundle socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 output = /var/log/stunnel4/stunnel.log ; Protocol version (all, SSLv2, SSLv3, TLSv1) sslVersion = all ; no, we don't want SSLv2 ;options = […]
我试图通过添加[req.ssl_sni]来扩展自定义的haproxy日志格式。 在Ubuntu上使用的haproxy版本是1.6.3。 前端configuration如下: bind *:443 mode tcp tcp-request inspect-delay 5s tcp-request content accept if { req_ssl_hello_type 1 } tcp-request content reject log-format […]{%[req.ssl_sni]} 凡表示其他日志选项工作正常。 前端以TCP模式运行,转发TLS会话而不解密。 对于有效的TLS会话,预期的日志输出将类似于{my.server.com} 。 我看到的日志输出始终是{-} (破折号而不是服务器名称),即使TLS会话由后端服务器成功处理。 我需要更改什么来查看日志中的实际SNI值?
我发现谷歌应用程序引擎支持单个谷歌应用程序引擎应用程序的多个自定义域 可能可以使用多租户域/名称空间来完成。 我想用这些多个自定义域的SSL。 我发现它可能由SNI。 现在我的问题是: – SNI如何与谷歌应用程序引擎? – 我需要为每个域名购买单独的SSL证书,并将其上传到谷歌应用引擎,谷歌将这种机制称为SNI? 在这种情况下,每个域名的CSR生成过程如何? – 或SNI的东西,谷歌内部pipe理,以便我可以简单地添加我的域名,并从谷歌控制台应用SNI这些域名,它只是工作。 但我没有看到在SNI的谷歌控制台的任何部分。 不pipe是谷歌收取SNI还是收费。 有人可以简单地解释一下在谷歌应用程序引擎中的SNIconfiguration过程吗?
我们在AWS上运行了几个LAMP服务器,其中有几十个网站,客户支付我们devise,构build和托pipe。 他们是Ubuntu 14.04服务器,包括Varnish,Apache和PHP。 目前,如果客户想为自己的网站使用SSL / TLS,我们会在服务器前放置一台Amazon ELB负载均衡器,以卸载TLS连接,这样Varnish仍然可以caching内容。 因此,每个服务器最终都由六个ELB(每个TLS客户或站点一个)提供,而非TLS站点则由服务器直接处理。 为了降低成本并简化设置,我们希望消除所有ELB,并直接在服务器上终止所有TLS连接。 通过使用Let's Encrypt和SNI在Varnish前面运行反向代理,可以轻松实现此目的。 像Hitch,Traefik或Nginx。 有些网站尚未准备好用于TLS。 他们需要工作来解决混合内容的警告,并防止SEO下降,并不是所有的客户都有预算。 我可以在服务器上打开端口443,并为所有“就绪”站点运行安装有TLS证书的反向代理。 不幸的是,客户仍然可以连接到“未准备好”的网站,虽然他们会得到证书错误(通用名称不匹配,自签名等)。 当然,我们不打算链接到“未准备好”网站的HTTPS版本,但是仍然可以inputhttps:// 。 我想要阻止所有网站的search引擎优化排名的损失,主要是在谷歌。 我被告诫Googlebot会发现HTTPS版本的“未就绪”网站,并将其编入索引,尽pipe存在证书错误,尽pipe它们没有被宣传为HTTPS。 这会给这些链接的访问者带来可怕的体验,以及严重的排名损失。 search引擎优化排名很难获得,但容易失去。 Googlebot(也可能是类似的机器人)如何处理HTTPS版本的“未就绪”网站? 他们会被索引,尽pipe被打破,而不是被广告? 当通过SNI部分启用HTTPS时,如何减轻不必要的副作用?
我试图在基于名称的虚拟主机中启用SSL。 从文档我明白,SNI不需要明确启用,它会自动发生,如果服务器和客户端都符合最低要求,我认为他们这样做: Apache / 2.4.25(Win32) OpenSSL的/ 1.0.2k Firefox / 51.0.1(x64) 我把configuration剥离到最低限度: Listen 80 LoadModule ssl_module modules/mod_ssl.so <VirtualHost *:80> ServerName localhost DocumentRoot "D:/Servidores/Apache/htdocs" </VirtualHost> Listen 443 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4 SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4 SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 SSLPassPhraseDialog builtin SSLSessionCacheTimeout 300 <VirtualHost _default_:443> ServerName localhost DocumentRoot "D:/Servidores/Apache/htdocs" SSLEngine on SSLCertificateFile "D:/DOS/Apache24/conf/server.crt" SSLCertificateKeyFile "D:/DOS/Apache24/conf/server.key" </VirtualHost> SSLRandomSeed […]
我试图在运行Ubuntu 8.04的服务器上安装openssl 0.9.8g和apache 2.2.8。 我知道我需要mod_gnutils或openssl 0.9.8j(我认为)来支持SNI。 有没有可能在Ubuntu 8.04下做到这一点,而无需重新编译Apache? 如果没有,我想我会感觉更好,只需将我的服务器升级到10.04。
对于熟悉RFC 4366 TLS “服务器名称指示”(SNI)扩展名(允许在同一IP地址上使用多个SSL证书)的用户 ,可以使用以下scheme: URL: http : //puny.it/serverfault02 (redirect到实际的HTTPS URL。) 如SNI所允许的,服务器在同一个IP地址上有多个证书。 此站点的证书不是默认的非SNI / IP特定的证书 浏览器: Firefox / 3.6.10 (全新安装) 客户端操作系统: Windows XP 已知此版本的Firefox可在Windows XP下与SNI一起使用。 ( 符合标准的浏览器列表 ) 它适用于许多configuration,但在这种情况下浏览器报告: 当前连接不可信任 您已经要求Firefox安全连接到example.com ,但我们无法确认您的连接是否安全。 通常情况下,当您尝试连接安全时,网站将显示可信的身份certificate,以certificate您要去正确的地方。 但是,这个网站的身份无法validation。 我该怎么办? 如果您通常连接到这个网站没有问题,这个错误可能意味着有人试图模仿该网站,你不应该继续。 有关如何解决这个问题和/或具体不兼容的地方的build议?
假设我在nginx服务器后面有两个Apache服务器(每个虚拟主机一个)。 问题是,我希望Apache做的客户端证书的身份validation。 nginx是否可以执行SSL的SNI部分(因此它知道要转发到哪个Apache实例),然后将其余部分转发给Apache?