有一些我无法理解Apache SSL conf上的SSLCACertificateFile参数。 举个例子,我有一个ROOT证书“A”,颁发了中间证书“B”。 然后,我用B产生了几个叶证书,比如说“L1”,“L2”。 现在,根据文档,如果我只想信任L1和L2,我应该把“B”和“A”放在SSLCACertificateFile指向的文件中(如果我只放了证书“B”,Apache给出一个无法find的文件,发行者错误)。 现在,让我们生成另一个从“A”(根)派生的证书“C”。 apache会信任使用证书C的对等方吗? 对我来说,这是一个“是的,它会的”,因为Apache会在SSLCACertificateFile里find“C”的发行者,那就是“A”! 但我不想信任C,我只想相信L1和L2。 我错过了什么吗? 非常感谢!
我试图设置一个MS SQL 2000服务器来使用服务器上已经安装的SSL证书。 我证实证书显示在使用证书MMCpipe理单元运行MSSQLSERVER服务的帐户的个人/证书文件夹中。 我还validation了CA的证书安装在受信任的根证书颁发机构下。 此外,为了确保它使用这个特定的证书,我在下面创build了一个types为REG_BINARY的证书registry值: HKEY_LOCAL_MACHINE \ SOFTWARE \微软\的MSSQLServer \的MSSQLServer \ SuperSocketNetLib 我将它设置为证书指纹,就像它提到的: http : //support.microsoft.com/kb/276553 最后,我打开了服务器networking实用程序,检查了强制协议encryption,单击确定,然后重新启动MSSQLSERVER服务。 不幸的是,它无法启动,查看事件日志失败: 19015: 请求encryption,但没有find有效的证书。 SQL Server终止。 我不知所措 有任何想法吗? 我哪里做错了?
我有一个IIS 6的网站,目录安全设置为要求安全通道(SSL)和要求128位encryption 。 此外, 客户端证书设置被设置为“忽略客户端证书”。 当我在Internet Explorer和Chrome中点击https:// servername /资源时,系统会提示input证书。 我可以取消提示,并加载资源,但我不想看到这个提示。 我查看了网站中的虚拟目录和资源,并且都设置了忽略的客户端证书。 可能有另一个设置,可能在metbase,这是重写网站的目录安全设置?
我正在尝试使用本教程设置一个自签名SSL证书,但是error 18 at 0 depth lookup:self signed certificate级证书创build(带有sign.sh脚本) error 18 at 0 depth lookup:self signed certificate的最后一步,我收到了这些错误error 18 at 0 depth lookup:self signed certificate和error 7 at 0 depth lookup:certificate signature failure 。 我该怎么做才能避免呢?
在使用客户端证书和FakeBasicAuth的Apache2时,如何引用AuthzSVNAccessFile用户? 用户名有一些有趣的字符,例如/CN=Damon Wischik ,authz不喜欢用户名中的=字符。 我的Apacheconfiguration有线 SSLVerifyClient require SSLOptions +FakeBasicAuth 这意味着用户提供了一个客户端证书,Apache从证书中获取主题行,例如/CN=Damon Wischik ,并将其作为用户名和“password”作为密码。 我已经为这个用户添加了一个htpasswd条目,他可以愉快地login。 现在我想添加细粒度的访问控制到存储库,我不能解决如何在AuthzSVNAccessFile引用这个用户名。 我开始了 [/] * = r 用户能够读取存储库的内容。 我试着写作 [/] * = "/CN=Damon Wischik" = r 并且用户得到“访问被禁止”,并且Apache错误日志说 [date] [error] [client ip] Failed to load the AuthzSVNAccessFile: The character 'D' in rule '"/CN' is not allowed in authz rules [date] [error] [client ip] Access […]
对于stream浪汉来说,我相当陌生,有人对这个(和傀儡)有更多的了解,能够解释一下stream浪testing机器如何处理与实际生产机器相同的节点定义时,stream浪者如何处理ssl证书? 我以主人/客户模式运行木偶,我希望启动我的木偶制作节点的stream浪版本,主要是为了testing新的木偶代码。 如果我的生产机器,比如说sql.domain.com,我启动一个stream浪的机器,比如说sql.vagrant.domain.com。 然后在vagrant文件中使用puppet_server提供程序,并给puppet.puppet_node条目“sql.domain.com”以获取相同的puppet节点定义。 在puppet服务器上,我在该节点条目上使用类似于/*.sql.domain.com/的正则expression式,这样stream浪机器和真实的机器都可以在puppet服务器上获得该节点条目。 最后,我在puppet的autosign.conf中为* .vagrant.domain.com启用了自动签名,所以stream浪机器得到了签名。 到现在为止还挺好… 但是,如果我的networking上的一台机器获得了root权限,比如unimportant.domain.com,那么怎样才能阻止攻击者将该机器上的主机名更改为sql.vagrant.domain.com,删除旧的puppet ssl cert,然后使用给定的节点名称sql.domain.com重新运行木偶? 新的ssl证书将由puppet自动签名,匹配节点名正则expression式,然后这个被黑客入侵的节点将得到所有准备用于sql机器的多汁信息?! 我能想到的一个解决scheme是避免自动签名,并将真正的生产机器的已知puppet ssl证书放入vagrant共享目录,然后有一个stream浪ssh作业将其移动到位。 这样做的缺点是我最终得到了每个生产机器上的所有ssl证书,这些证书都坐在一个git repo(我的stream浪回购)中,从而在每个开发人员的机器上 – 这可能是也可能不是问题,但听起来不像正确的做法。 tl; dr :其他人如何处理stream浪汉和傀儡ssl证书用于开发或testing生产机器的克隆?
我正在评估2012年的RDS,我想使用远程应用程序,让家庭工人访问一个应用程序 这是目前单一的服务器设置 服务器名称acmeVDI.acme.co.uk – 具有从Evalusation下载安装和configuration的RD Web访问,RD网关,RD许可,RD连接代理和RD会话主机下载 我已经从VeriSign的证书中进行了试用,这里的FQDN是vdi.acme.co.uk,主题替代品名为acmevdi.acme.co.uk。证书全部在“pipe理证书”区域签出,所有四个条目正在使用相同的证书 这完全适用于我的networking,我可以通过远程应用程序和桌面连接控制面板项连接,也可以通过Web界面内部连接,url为https://vdi.acme.co.uk/rdweb/ 在外部,我可以使用相同的URL https://vdi.acme.co.uk/RDWeb/连接到Web界面,但… 然后我可以input我的用户名和密码,我的已发布应用程序列表出现,然后我可以点击我想要启动的应用程序。 提示我打开打开或下载RDP文件,我select打开 然后我看到“你信任这个远程连接的发布者”,我说Connect 出现正常的RemoteApp起始屏幕,显示我的应用程序的名称,几秒钟后,我收到一条错误消息,标题为“远程桌面断开连接” 该消息将显示“计算机无法连接到远程计算机,因为生成terminal服务网关服务器证书的证书颁发机构无效,请与您的networkingpipe理员联系以获得帮助” 有一个查看证书button,显示我的Verisign证书是有效的,证书path也是有效的 防火墙被configuration为NATclosuresHTTP和HTTPSstream量…这是努力得到这一点 我想我是如此的亲密,但是我试过的东西在远程连接的这一点上并没有成功,远程PC并不是一台域PC,从来没有。 请问我需要什么来检查 谢谢
我们需要使用SQL Serverencryption,所以我们启用了ForceEncryption。 根据文档,如果没有提供证书,SQL Server将生成自己的内部证书来执行encryption。 我们需要了解它提供的encryption级别。 我认为我们通常使用2048位的证书。 内部/后备证书位于哪个证书商店? 我们如何获得encryption级别?
我正在照顾安装了IIS 6的传统win2k3(sp2)。 我有一个非常奇怪的问题,让我把头发拉出来。 有5个网站被configuration为在特定的networking服务器上运行。 其中3个具有SSLfunction的证书(以及自己专用的IP,SSL服务于:443) 其中一个网站有以下问题: 当w3svc服务首次启动时(通过重启或networking停止/启动),到该特定网站的SSL服务的初始连接立即失败,并返回ERR_SSL_PROTOCOL_ERROR。 我将在下面提供进一步的诊断信息。 现在列出完全莫名其妙的症状和尝试的补救措施: 如果我单击IIS中的“停止”图标,然后开始备份该网站(而不是w3svc服务本身),问题就会消失。 如果我将443以外的SSL端口分配给网站,问题就不会出现 如果我为网站分配不同的SSL证书,问题依然存在 我从头开始创build一个全新的网站来testing这个问题,问题再次出现 我可以在事件pipe理器(应用程序,系统或安全)和w3svc日志文件中看到没有相关的日志信息。 Filemon不显示任何奇怪的东西,我可以告诉(访问被拒绝或文件没有find任何types),无论我怀疑证书实际上是从文件中获取。 我已经使用wget和SSLDiag工具进行了其他testing,所有这些工具都提供了更多相同的信息,而没有任何实际的进一步的诊断信息。 线鲨鱼检查显示连接简单地被丢弃: 226字节“客户端Hello”数据包由客户端发送到服务器 一个[FIN,ACK]数据包立即被服务器发送回客户端 当服务器使用上述停止/启动方法“补救”时,服务器响应正常(不发送这种FIN / ACK数据包)。 以上让我想知道是否突然出现页面错误,在任何日志logging或任何事情完成之前立即终止线程。 我不知所措,我花了8个多小时来处理这个bug,但仍然找不到解决的办法。 如果有人真的知道发生了什么,我会很喜欢它,但我实际上只是希望得到一些关于如何进一步debugging/检查以确定问题根源的想法。 注意:有一些我无法避免的限制,比如重装服务器或升级服务器目前不是选项。
我有下面的问题,只是与Windows。 我试过用Linux,它工作正常。 当我运行: .\logstash-forwarder-master.exe -config .\logstash-forwarder2.conf 用logstash-forwarder2.conf: { "network": { "servers": [ "10.0.1.136:5034" ], "ssl key": "C:\\Program Files (x86)\\logstash-forwarder-master\\certs\\logstash-forwarder.key", "ssl certificate": "C:\\Program Files (x86)\\logstash-forwarder-master\\certs\\logstash-forwarder.crt", "ssl ca": "C:\\Program Files (x86)\\logstash-forwarder-master\\certs\\logstash-forwarder.crt", "timeout": 15 }, "files": [ { "paths": [ "C: \\logs\\example.log" ] } ] } 我收到以下错误: Failed to tls handshake with 10.0.1.136 tls: Server selected unsupported protocol […]