我尝试在我的nginx中设置没有SSLv3的SSL证书,但SSL实验室说,我的服务器有SSLv3如何禁用它。 我的configuration: add_header Strict-Transport-Security max-age=31536000; add_header X-Frame-Options DENY; ssl_session_cache shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED"; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';
我有一个运行在SSL后面的服务器( https://es.content-index.oustatic.com:8443 )。 我们从某人那里得到一个certificateSSL证书不好的报告: 但是,我们的目标看起来不错。 我把它插入到一个SSL检查器( https://www.sslshopper.com/ssl-checker.html#hostname=es.content-index.oustatic.com:8443 ),它显示证书是好的。 客户端机器上是否有一些configuration错误? 为什么他的机器会抱怨证书?
在通常的SSL证书上使用通配符SSL证书有什么内在的不安全感吗? 我们正在寻求实现一个subdomained的web应用程序(la FreshBooks和BaseCamp,用户select一个子域),我们的一个团队成员担心通配符SSL方法不够安全(如果是的话,FreshBooks和BaseCamp如何做它?!?)。 替代解决scheme是使用一个单一的子域名,如https://ssl.domain.com ,当用户inputhttp://user.domain.com我们在会话中设置子域名,并立即redirect用户的未来请求到“ https://ssl.domain.com ”,并使用会话信息来显示用户的信息。 我担心的是,如果用户想将链接发送到他们的域名的朋友,他们将复制/粘贴到浏览器(现在https://ssl.domain.com ),这将是我们的主要网页,而不是用户的主页。 顺便说一句,如果我错过了这种情况下的主要最佳做法,请让我知道。
我正在尝试configurationIIS 7.5下托pipe的网站,以便对特定位置的请求需要客户端证书身份validation。 使用我目前的设置,当使用我的客户端证书访问位置时,我仍然收到“401 – 未经授权:由于证书无效而导致访问被拒绝”。 这是设置的web.config片段: <location path="MyWebService.asmx"> <system.webServer> <security> <access sslFlags="Ssl, SslNegotiateCert"/> <authentication> <windowsAuthentication enabled="false"/> <anonymousAuthentication enabled="false"/> <digestAuthentication enabled="false"/> <basicAuthentication enabled="false"/> <iisClientCertificateMappingAuthentication enabled="true" oneToOneCertificateMappingsEnabled="true"> <oneToOneMappings> <add enabled="true" certificate="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"/> </oneToOneMappings> </iisClientCertificateMappingAuthentication> </authentication> </security> </system.webServer> </location> 我在Web浏览器中使用的客户端证书与我在web.config中放置的内容匹配。 我在这里做错了什么?
我正在构build一个具有两个不同内部名称且只有一个外部URL的Exchange 2013服务器的实验室,命名架构如下所示: 内部名称: exchange1.local.example.com exchange2.local.example.com 外部url: exchange.example.com 在这个模式中, local.example.com是AD域, example.com是我的外部域。 两台服务器都使用私有IP地址,并且有端口转发,以使服务器exchange1能够与WAN通信。 我现在的问题是如何在Exchange控制面板上configuration内部和外部URL以避免configuration错误和证书错误。 互联网上的很多指南都说使用外部名称来使两个URL相等,但是我不确定这是否是正确的方法。 有一个DAG与两台服务器,我很担心这将工作在不同的服务器上设置相同的内部和外部URL。 另一件让我困惑的事情就是证书。 我为这些域有两个通配符证书: *.local.example.com *.example.com Exchange如何将这些证书与不同的URL模式进行匹配? 在证书select中,我必须select哪些服务将由证书保证,但我无法为ECP上的单个服务器使用多个证书。 networking上的一些指南说,证书将相应地匹配,但这不是真的发生了什么事情。 提前致谢,
有什么办法可以configurationWindows 7 RDP来要求客户端证书login。 所以用户需要使用证书和密码(就像SSH或HTTP中的客户端证书一样) 如果有的话,你能指点一下我的文章吗?
我按照本指南的第1B部分创build了一个证书并自行签名,并设置了Apache来使用该证书,但每当我尝试安全地查看我的网站时,Firefox都会吐出这个错误: 安全连接失败 在连接到animuson.com期间发生错误。 SSL收到的logging超出了允许的最大长度。 (错误代码:ssl_error_rx_record_too_long) 我先用4096试了一下。 然后,而不是使用指南中的4096,我用1028(而我认为是正常的大小使用)。 我在CentOS 5上使用APache2 … 从“/etc/httpd/conf/extra/httpd-ssl.conf”(当然压缩在一起): Listen 443 SSLEngine On SSLCertificateFile "/etc/httpd/conf/ssl/server.crt" SSLCertificateKeyFile "/etc/httpd/conf/ssl/server.key" 有任何想法吗? 编辑 我从默认的ssl.key和ssl.crt目录中移动了几英里,而我做了一些我不记得的东西,这似乎是有效的。 它开始显示“添加exception”页面,我通过根证书安装到我的浏览器,现在它显示以下错误: 安全连接失败 在连接到animuson.com期间发生错误。 SSL对等端无法协商一组可接受的安全参数。 (错误代码:ssl_error_handshake_failure_alert) 我不知道这意味着什么,或者你可能需要什么信息来帮助我。
就在最近我发现一台服务器可以使用authentication来检查一个客户是否是他们所说的那个人。 我知道如何签署和启用服务器authentication,但我如何让服务器检查客户端authentication在Apache上是否有效?
我最近在我的服务器*.key和*csr文件中创build了一个SSL证书。 然后我用Comodo创build了*crt和*.ca-bundle 。 我有2个当前的虚拟主机: 虚拟主机 – http://www.example.com NameVirtualHost *:80 <VirtualHost *:80> ServerAdmin [email protected] DocumentRoot "/home/example/public_html/example.com/httpdocs" ServerName example.com ServerAlias www.example.com </VirtualHost> 虚拟主机https://www.example.com NameVirtualHost *:443 <VirtualHost *:443> SSLEngine on SSLCertificateFile /etc/ssl/certs/example_com.crt SSLCertificateKeyFile /etc/ssl/certs/server.key <Directory /home/example/public_html/example.com/httpdocs> AllowOverride All </Directory> DocumentRoot /home/example/public_html/example.com/httpdocs ServerName example.com </VirtualHost> 问题是,当我去https://www.example.com我得到一个404 我不知道虚拟主机是否正确,或者为什么我得到了404。有没有人见过这个? 我已经启用mod_ssl并重新启动apache 非常感谢
设置IIS以要求客户端证书并使用匿名身份validation 我有一个WCF Web服务供我们的客户使用。 我想要使用客户端证书来保护这一点。 我也将使用客户证书来识别客户。 我已经使识别部分工作,但我不能让IIS要求客户端证书。 如果我将IIS设置为接受客户端证书,则通信将起作用,并且可以使用以下命令获取客户端标识: ServiceSecurityContext.Current.PrimaryIdentity.Name 但是我也可以访问没有客户端证书的网站。 我不确定没有其他人可以做什么,而不是阅读WSDL,但我不希望没有可信任证书的人能够获得任何信息。 如果我将IIS设置为需要客户端证书,那么应该有权访问的testing客户端会收到错误消息: 客户端身份validationscheme“匿名”禁止HTTP请求。 我想只允许那些有服务器信任的客户端证书的用户访问。 其他人将被拒绝。 服务器WCFconfiguration: <system.serviceModel> <behaviors> <serviceBehaviors> <behavior name="DefaultBehavior"> <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true" /> <serviceDebug includeExceptionDetailInFaults="true" /> <serviceCredentials> <clientCertificate> <authentication certificateValidationMode="ChainTrust" /> </clientCertificate> <serviceCertificate findValue="64343ee2c8338518e78ba698f3936dc92c90db57" x509FindType="FindByThumbprint" /> </serviceCredentials> </behavior> </serviceBehaviors> </behaviors> <bindings> <wsHttpBinding> <binding name="DefaultBinding"> <security mode="TransportWithMessageCredential"> <transport clientCredentialType="Certificate" /> <message clientCredentialType="Certificate" /> </security> </binding> […]