我正在尝试完成运行Windows 2012的Web服务器的自动构build脚本,并有两个SSL网站,每个网站都有自己的数字证书。 我正在使用SNI,当我手动设置它时工作正常,但是当我使用APPCMD设置相同的configuration时,我无法确定如何为绑定中的站点select证书。 使用手动方法有一个下拉列表,您用来select证书。 我正在寻找相当于从列表中select证书的命令行。 有谁知道你是怎么做到的?
我们运行一项服务,让我们的客户运行他们自己的CMS。 我们的客户希望使用自己的SSL证书,是自签名的,还是由其他公司签署的。 我们的应用程序运行PHP 我正在考虑一个反向代理技术,但是我们有太多的手动重新加载nginx 。 我们在gcloud运行,所以我们有能力拥有一桶SSL证书。 我们准备使用SNI ,从而放弃对WinXP支持。 我们需要接受SSL证书,并以非常less的基础设施交互(重新加载守护进程等)来实现它们。 我们愿意使用您推荐的任何networking服务器或反向代理技术。 我们不想使用UCC ,因为我们想让客户自带SSL。 IPv4很稀缺,因此我们想要限制我们select的IP地址。 我怎么会继续这样做呢? 编辑:我尝试OpenResty与他们的SSL插件,虽然性能不足。 如果有人有更好的主意,分享!
在我们设置Apache-2.2和通过其他设备代理的反向代理服务器时遇到问题。 stream程是:Apache A – > proxy.abc.net – > Apache B 我们在Apache B上遇到的错误是 通过SNI提供的主机名proxy.abc.net和通过HTTP提供的主机名backend.abc.net不同 当前configuration <VirtualHost frontend.abc.com:80> ServerName frontend.abc.com SSLEngine on SSLOptions +StrictRequire SSLProtocol -all +TLSv1 SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:HIGH:!ADH:!MD5 SSLCertificateFile conf/certs/cert.cer SSLProxyCACertificateFile certs/proxy.cer SSLCertificateKeyFile conf/certs/cert.pem SSLCertificateChainFile conf/certs/chain.cer DocumentRoot /foo/bar SSLProxyEngine On ProxyRequests Off ProxyPreserveHost off ProxyErrorOverride On SetEnv proxy-sendchunked 1 ProxyRemote "*" https://proxy.abc.net:8080 ProxyPass /foo […]
我怎样才能configurationSNI获得benifts ………..我使用openssl 1.0.0 beta5和apache 2.2.14。 任何人都可以告诉我完整的程序。 我在ssl.conf文件中configuration了虚拟主机,并且在Apache上托pipe的每个站点都有diff证书。 急需帮助
我正在使用stunnel处理多个域证书。 我有两个域test.int和test1.int,并给每个域和一个默authentication书多个证书。 我使用stunnel的sni选项来提供多个域证书。 使用javascript的websocket我想连接到安全的服务器,但日志文件输出显示 SNI: extension not received from the client 所以我不确定sni选项支持与否。 有没有人能帮我解释一下它的工作与否? “SNI:从客户端收到的扩展名”语句的含义是什么? 在此先感谢您的宝贵答案。 我的stunnel.config文件 output=/var/log/stunnel.log pid= debug = 7 fips = no compression = rle options = NO_SSLv2 syslog = no [websockets] cert = /usr/local/etc/stunnel/default.crt key = /usr/local/etc/stunnel/default.key accept = 0.0.0.0:9443 connect = 127.0.0.1:9000 [sni1] sni = websockets:mailxf.test.int cert = /usr/local/etc/stunnel/test.int.crt key = […]
我正在使用具有各种顶级域名的WordPress多站点networking。 我们目前正在为他们提供一台虚拟主机: <VirtualHost *:80> ServerName example.com ServerAlias * DocumentRoot /var/www/html/example.com/public </VirtualHost> 随着Let's Encrypt今年晚些时候来临,我们希望为我们的客户提供免费的HTTPS。 使用这个服务,我们将能够自动获得每个域的证书。 我希望能够将Apacheconfiguration为在证书的特定文件夹中查找,以便在添加新证书时,我们的自动脚本不需要更改Apacheconfiguration。 <VirtualHost *:443> DocumentRoot /var/www/html/example.com/public ServerName example.com ServerAlias * SSLEngine on # This line should find the cert that corresponds to the requested domain SSLCertificateFile /etc/pki/tls/certs/*.crt SSLCertificateKeyFile /etc/pki/tls/private/example_com.key SSLCertificateChainFile /etc/pki/tls/certs/example_com.ca-bundle </VirtualHost> 可以将Apacheconfiguration为为所请求的域select正确的证书, 而不需要单独的虚拟主机或为每个虚拟主机configuration更改 ? 如果需要的话,我们可以转换Apache版本或者安装一个知名的Apache模块。
从Apache 2.4 文档 : 基于SSL名称的虚拟主机的第一个(默认)虚拟主机必须包含TLSv1作为允许的协议,否则Apache将不会接受来自客户端的SNI信息,并且仿佛客户端根本不支持SNI。 我想在我的服务器上启用多个启用TLS的站点,每个站点都提供不同的证书。 出于安全原因,我只允许TLSv1.1和TLSv1.2。 有一个安全的方法来打开SNI? 从我的configuration一个片段: <VirtualHost *:80> ServerName www.example.com Redirect permanent / https://www.example.com/ </VirtualHost> <VirtualHost *:443> ServerName www.example.com DocumentRoot /var/www/example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 -TLSv1 [other SSL options] </VirtualHost> <VirtualHost *:80> ServerName www.example.org Redirect permanent / https://www.example.org/ </VirtualHost> <VirtualHost *:443> ServerName www.example.org DocumentRoot /var/www/example.org SSLEngine on SSLProtocol all -SSLv2 […]
让我暴露我的设置和问题。 也许你们中的一些人会有想法让我去testing。 build立 在数字海洋: 我有一个networking服务器在前面运行一个NGINX的网站(Ruby on Rails后面,但我认为这是不相关的) 我有端口80(http)和443(https)打开 我有一个有效的(就我的知识和最近的检查)来自StartSLL的SSL证书(在不久的将来会改变,但也是不相关的) 我有一个启用了严格SSL的免费Cloudflare CDN帐户。 这是一个有效的设置,因为我没有问题与我的浏览器访问http或https。 显示的证书是Cloudflare的SNI证书。 我的网站在可用的网站列表中。 问题 好吧,现在的问题是当我尝试将网站添加到社交networking。 尝试在Tumblr中添加照片或使用SSL版本的网站链接到Reddit。 我从两个系统都收到错误。 从我的理解,这些正在使用curl或Python脚本来获取资源和SNI SSL不是很好的支持。 随着Cloudflare的污染,很可能是他们的免费层次,我无法find关于这个问题的很多信息。 我没有任何运气浏览Google和几个堆栈交换站点。 这对任何人来说似乎都不是问题。 解决scheme 不要便宜,在CloudFlare上支付200美元/月的个人SSL(如果我每月能够赚到足够的钱,我会很乐意这样做) 完全下载CoudFlare并使用HTTPS对DigitalOcean服务器进行pipe理。 也许在上面添加清漆或其他优化。 stream量和带宽可能成为未来的一个问题。 完全删除HTTPS并保留CloudFlare。 这将工作,但谷歌与更多的点可以处理SSL和移动stream量的网站。 我也喜欢我的隐私。 我把我的Nginx / CloudFlareconfiguration设置搞乱了,我应该更加关注文档。 (我比Nginx更了解Apache,但在这种情况下,我喜欢使用Ruby on Rails更好的Nginx特性) 你可以告诉我,我过度devise了系统。 与此同时,我最终在一个500毫秒的响应时间内实现了一个超快速的网站,并在世界各地迅速分发了stream量。 (我有一个全球范围,而不是本地的) 任何想法都欢迎。
我在apache服务器上设置了SNI,我认为事情进展顺利。 我有两个指向同一站点的不同域的URL。 我有一个虚拟主机设置每个与每个适当的证书。 其中一个证书是有效的,但另一个是自签名的(在GoDaddy上等待真正的证书)。 如果我在Firefox中testing不同的URL,Safari和Opera都运行良好。 我没有得到有效证书的URL错误,我得到了另一个自签名警告。 但是,在Internet Explorer 8和Google Chrome浏览器中,这两个URL均会返回有效证书(即使该证书对于特定网站无效)。 所以对于一个网站,我得到一个有效的证书。 另一方面,我得到一个关于证书是不同的网站的警告。 我尝试切换虚拟主机的顺序,这没有什么区别。 我知道Chrome和IE都使用Window的HTTP堆栈,所以我明白为什么这两个行为是相同的。 我不明白的是为什么我看到这种行为。
有没有一些解决方法,所以我可以让SNI为Windows XP上的IE工作?