我有一个通过HTTPS服务的网站。 我需要这个网站是这样的,因为它被configuration为与服务人员一起工作。 这个网站需要从组织中运行的本地服务请求一些信息,但问题是这个本地服务有一个自签名证书,所以chrome拒绝连接。 这个网站的想法是,如果你从一个组织进入,它应该显示一些信息,如果你从其他组织进入它,你应该看到另一个信息。 这取决于你进入网站的位置。 问题是每个组织都有自己的networking,所以在一个组织中,这个服务可能运行在192.168.1.106,在另一个组织中,这个服务可能在10.0.1.9。 问题是:有没有办法通过HTTPS运行这个服务? 我不希望用户在他的系统上安装证书。 谢谢!
我有一个集群基础结构。 我使用nginx在清漆前面进行SSL终止。 varnish的后端是apache web服务器。我也有一个haproxy作为负载平衡器,它直接发送HTTPS请求到nginx,并直接发送HTTP请求到清漆服务器。 问题是,当我启动nginx时,一切都可以,但是在浏览ssl网站的浏览器中,我得到了too_many_error_redirects! 我认为我的configuration有问题,但我不知道哪个configuration(nginx或varnish)是这个错误的原因。 当我直接向Web服务器转发请求时,一切正常,因此可能是清漆configuration有问题。 这里是我的configuration: Nginx config:domain_name.conf server { listen 443; server_name mydomain.com; ssl on; ssl_certificate /etc/nginx/ssl/domain_name_bundle.pem; ssl_certificate_key /etc/nginx/ssl/my_key.key; ssl_session_cache shared:SSL:20m; ssl_session_timeout 10m; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4"; add_header […]
有一个内部网站,我们从XAMPP堆栈到W2008 R2上的apache / php / mysql – 最新从他们的网站。 有趣的是在我们的生产环境中做了同样的事情,一切顺利……而不是内部服务器。 唯一不同的是生产是W2012。 所以httpd和httpd-ssl上的所有设置都是一样的。 从Windows的angular度来看,这些文件是在我的apache文件夹中的文件夹,我只是移动证书,并通过Windows安装程序重新安装。 起初,用户实际上正在看到我的CAauthentication哈希 – 这是没有什么大不了的,因为没有从互联网上的访问…现在他们得到SEC_ERROR_UNKNOWN_ISSUER。 The apache log gives – AH01909: localhost:443:0 server certificate does NOT include an ID which matches the server name 我可以向你保证,它是完全一样的XAMPP安装,没有重复的服务器名称,没有hosts文件的问题…所以我感到茫然,特别是令人沮丧,因为它花了15分钟才能获得SSL证书工作第一次。
所以,我正在关注为我的服务器设置ssl的这篇文章 。 但是我在configurationnginx的.conf文件时感到困惑。 这是我的conf文件: user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr – $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; #tcp_nopush on; keepalive_timeout 65; #gzip on; include /etc/nginx/conf.d/*.conf; } 但是,如何configuration它来创buildconfiguration,将端口80(http)请求转发到端口443(https)的侦听器,并包含适当的path?
我正在尝试为jenkins独立的windows服务器build立SSL连接。 我的configuration是 <executable>%BASE%\jre\bin\java</executable> <arguments>-Xrs -Xmx256m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\jenkins.war" –httpPort=8080 –webroot="%BASE%\war"</arguments> <arguments>-Xrs -Xmx256m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\jenkins.war" –httpPort=-1 –httpsPort=443 –httpsKeyStore="%BASE%\secrets\keystore\automate.jks" –httpsKeyStorePassword=Pass –webroot="%BASE%\war"</arguments> 如果使用这个我只能看到这个日志 INFO: Started ServerConnector@110d5b6{HTTP/1.1,[http/1.1]}{0.0.0.0:8080} 所以它不听443如果我删除端口8080线我的服务不启动,我的Jenkins.err.log不显示任何条目。 不知何故,我已经与上述configuration运行,我可以通过443连接,看到我在configuration中添加的证书。 然后,我不得不重新启动服务器,它不再正常工作
我真的很新,所以请好好:) 我想知道是否有人有Zevenet负载平衡器的经验。 我已经设置了社区版本(V4)。 我有两个Web服务器复制内容,我有一个虚拟的IP设置在系统中,指向Web服务器的2个IP地址。 负载均衡器正确地处理HTTP和HTTPS通信,但在尝试通过HTTPS访问服务器时显示证书错误。 我想通过向负载平衡器添加证书来解决这个问题。 要做到这一点,我已经按照这些步骤: https://www.zevenet.com/knowledge-base/howtos/manage-certificates-with-zen-load-balancer/ (忽略从SofIntel购买证书,因为我们使用JISC为我们的证书) 基本上我在负载均衡器中创build了一个证书,生成了CSR,通过上传负载均衡器生成的CSR,从JISC购买了一个证书。 然后我从JISC下载了包含该域的crt的ZIP文件,以及在ZIP中也需要的根证书。 我尝试上传ZIP到负载平衡器,它popup一个错误,显示证书需要以PEM格式创build。 然后我在这里find这个: Create Certificates in PEM format 我不太确定这是什么要求我做…这是否意味着我产生的原始CSR是不相关的? 上述链接的说明指出,PEM文件需要如下: —–开始RSA私钥—–私钥(无密码)—–结束RSA私钥—– —– BEGIN CERTIFICATE —–证书(CN = www.mydomain.com)—– END CERTIFICATE —– —– BEGIN CERTIFICATE —– Intermediate(中级CA,如果存在)—– END CERTIFICATE —– —– BEGIN CERTIFICATE —– Root(ROOT CA,签名证书)—– END CERTIFICATE —– 现在基本上我已经有了来自JISC的域名证书,中间和根目录。 但有什么办法可以从负载平衡器获取私钥,以便我可以手动创buildPEM文件。 对不起,如果这似乎是一个非常愚蠢的问题,相当新的证书的东西,不知道为什么它不会让我上传的zip文件。
我有一个在Amazon Linux服务器上运行的Spring Boot应用程序。 我使用Apache HTTP服务器作为这个应用程序的代理服务器。 最近,我安装了Let's Encrypt SSL证书,并在Apache上添加了一个虚拟主机条目。 但是,我无法正确使用Spring Boot。 没有SSL版本似乎工作正常。 我观察到的是,当用户调用https版本的时候,请求来到了Spring Boot应用程序,但是用户收到来自Apache的HTTP 404错误。 例如,这工作正常: http : //example.com/oauth/token但这不起作用,并返回404: https : //example.com/oauth/token 我发布了下面的configuration文件,我错过了什么? vhosts.conf <VirtualHost *:443> ServerName example.com ServerAlias www.example.com ServerAdmin [email protected] DocumentRoot /var/www/example.com/public_html ErrorLog /var/www/example.com/logs/error.log CustomLog /var/www/example.com/logs/access.log combined RewriteEngine On RewriteCond %{DOCUMENT_ROOT}%{REQUEST_URI} -f [OR] RewriteCond %{DOCUMENT_ROOT}%{REQUEST_URI} -d RewriteRule ^ – [L] RewriteRule ^(/api/v1) – [L] […]
一位客户要求我build立一个自动备份系统,其中一台机器通过FTP传输一些重要数据(.sql转储)。 他不需要SFTP,只需要FTP。 所以我最终做了三件事情: 我使用FTPS协议与TLS禁用SSLv2和SSLv3 我encryption.sql转储之前与gpg转储 我将每个IP列入黑名单,但只有那台备份机器才能连接到FTP服务器 现在传输应该是安全的,即使不使用SFTP。 在提交工作之前,我想问你的意见: 还有其他有用的提示更安全吗? 这种方法是否足够安全地传输敏感数据(SFTP不是一个选项)? 我使用“curl”做FTPS转移和vsftpd作为FTPS服务器。 谢谢 DRO
我已经安装到我的服务器的mailcow dockerized解决scheme,我想我的邮件服务器的域名从mail.example.ml更改为mail.example。 tk但是当我做了它,当我访问它的http://mail.example.tk时,我的浏览器抱怨错误的证书。 此外,pipe理应用程序运行在作为反向代理运行的nginx之后,具有以下更新的虚拟主机configuration: server { listen 80; server_name mail.thundermail.tk; location /.well-known { proxy_pass http://127.0.0.1:8080/.well-known ; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; client_max_body_size 100m; } location / { rewrite ^(.*) https://$server_name$1 permanent; } } server { listen 443 ssl; server_name mail.thundermail.tk; ssl_certificate /opt/docker-mailcow/data/assets/ssl/cert.pem; ssl_certificate_key /opt/docker-mailcow/data/assets/ssl/key.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; […]
我希望拥有覆盖传统域的SSL证书(DNS将指向所有域到单个Web服务器,我们的交换也将处理来自多个域的传入电子邮件)。 我发现“SAN中的多个通配符”SSL提供程序。 SSL提供商声明: 默认情况下,此产品将保护2个通配符域(例如:* .yourdomain.com和* .domain.com),并且必须具有列为基本域的非通配符域(例如:yourdomain.com)名称(我将需要“添加另一个通配符域”的明显购买,因为我需要3个通配符域) 至于为提供者生成REQ(使用IIS 7.5),我是否会在SAN中生成一个带有通配符的正常SAN请求? 例如,我需要覆盖* .mydomain1.com * .otherdomain1.org和* .yetanotherdomain.net 所以我猜我需要一个“适当的”通用名称 – mydomain1.com然后添加通配符作为SANs: * .mydomain1.com * .otherdomain1.org * .yetanotherdomain.net 我的问题; 我的方法是否正确?