我有nginx,并希望它来validation客户端证书。 所以我买了服务器的商业证书,而非客户的商业证书。 基本上我已经用easy-rsa脚本生成了客户端证书。 连接与客户端证书validation禁用按预期工作。 连接“ssl_verify_client on” 代码400失败,没有错误信息或访问日志。 nginx -V输出: nginx version: nginx/1.8.0 built with OpenSSL 1.0.2a 19 Mar 2015 TLS SNI support enabled configure arguments: –prefix=/etc/nginx –conf-path=/etc/nginx/nginx.conf –sbin-path=/usr/bin/nginx –pid-path=/run/nginx.pid –lock-path=/run/lock/nginx.lock –user=http –group=http –http-log-path=/var/log/nginx/access.log –error-log-path=stderr –http-client-body-temp-path=/var/lib/nginx/client-body –http-proxy-temp-path=/var/lib/nginx/proxy –http-fastcgi-temp-path=/var/lib/nginx/fastcgi –http-scgi-temp-path=/var/lib/nginx/scgi –http-uwsgi-temp-path=/var/lib/nginx/uwsgi –with-imap –with-imap_ssl_module –with-ipv6 –with-pcre-jit –with-file-aio –with-http_dav_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_realip_module –with-http_spdy_module –with-http_ssl_module –with-http_stub_status_module –with-http_addition_module –with-http_degradation_module –with-http_flv_module –with-http_mp4_module […]
我已经build立了一个Ubuntu的(14.04.2)apache2(2.4.7)服务器的SSL,但似乎没有find证书。 Ubuntu运行在具有静态IP的EC2实例上,启用了443端口,域名为theaudioserver.com,DNSlogging为该静态IP。 以下是我如何设置我的服务器: 创build键: openssl genrsa 2048 > privatekey.pem 生成的证书请求: openssl req -new -key privatekey.pem -out csr.pem 用csr购买了一个CA SSL证书,并将密钥保存到server.crt和server_bundle.crt 在/ etc / apache2 / sites-available中添加ssl.conf文件,该文件configuration为SSL: SSLStaplingCache shmcb:/tmp/stapling_cache(128000) <VirtualHost *:443> SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff SSLCompression […]
我一直在使用LetsEncrypt在Windows 2012 R2服务器上为我的网站生成证书。 它工作得很好,直到最近我更新证书。 LetsEncrypt最近做了一个改动,他们把名字为“Let's Encrypt Authority X1”的中间证书换成名字为“Let's Encrypt Authority X3”的证书。 问题是,更新证书的权限密钥保持不变。 https://community.letsencrypt.org/t/upcoming-intermediate-changes/ 所以,当我更新服务器证书时,他们现在是“X3”权威的问题,但是由于密钥是一样的,Windows证书商店似乎build立了证书链,find了第一个结果(按字母顺序)成为旧的“X1”证书。 这是问题出现的地方。 对于某些客户端/浏览器(如Chrome)来说,这很好,他们只看中间证书的关键。 但是,其他客户端更严格,也检查名称,然后失败(X1而不是X3)。 我解决这个问题的第一步是取消X1中间证书,并确保我的所有服务器证书已更新为由X3颁发。 现在事情看起来是正确的,至less在Windows中的证书存储(链正确显示根授权 – > X3 – >服务器证书)。 我现在卡住的问题,似乎无法弄清楚,为什么客户继续显示错误的证书链(X1)。 中间证书甚至不存在在我的服务器上,我可以看到。 我尝试了通常的重新启动服务器,也偶然发现了这个类似的post,尝试了几次没有任何运气的步骤 – https://serverfault.com/a/706278/182874 任何线索我可能会失踪? IIS高速caching证书链似乎有一些问题,因为我尝试连接多个客户端/机器,都有相同的问题。 只是没有线索如何清除这个“证书链高速caching”,或者如果它甚至存在。
我已经用SSL和letsencrypt证书设置了nginx。 但是,我无法使OCSP勉强工作。 从我在网上find的,它应该使用下面的configuration,不幸的是它没有。 我的nginx虚拟主机看起来像这样: server { … # SSL Certificates ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; # Allow Nginx to send OCSP results during the connection process ssl_stapling on; ssl_stapling_verify on; resolver $DNS-IP-1 $DNS-IP-2 valid=300s; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 10s; … } 当我用https://www.ssllabs.com扫描我的域名时,它会报告: OCSP stapling No 我在configuration中缺less什么?
我注意到,如果服务器上的时间不同步,那么到安全服务器的连接就会被重置。 我相信时间同步协议可以和外部时间服务器的networking延迟顺序一样精确,时间服务器的延迟时间可能高达几百毫秒。 TLS连接和证书validation的时间精度要求是什么?
我已经安装了证书并设置了HTTPS绑定。 但是,当我在HTTPS上加载站点时,它不会加载。 我已经看了所有的设置,但一切似乎正确。 我已经多次重启服务器。 证书存储在本地计算机的“个人”>“证书”下。 我有证书的私钥。 港口(443)是开放的。 如果我尝试https://localhost在服务器上,该网站加载,但与域错误(即,它是localhost而不是example.net )。 但https://example.net不加载。 我真的不知道为什么HTTPS URL没有加载。
我只是移动主机,我寻找一个体面的指导如何将我的旧主机的SSL证书移动到新的。 我惊讶于有多less简单无用的“指南”或“教程”在那里。 任何人在他的最爱中有任何链接,或者知道如何移动证书的简单步骤指南? 我在Ubuntu上,它是一个不受pipe理的服务器,所以没有cPanel / plesk,只是根ssh。 谢谢!
我只购买了一个SSL证书来保护/启用一台服务器上的多个虚拟主机上的一个域。 我打算如下所示进行configuration(非SNI)。 另外,我还想通过服务器的IP地址安全地访问phpMyAdmin。 下面的configuration工作吗? 我只有一个镜头来使这个工作在生产中。 有没有多余的设置? —apache ssl.conf file— Listen 443 SSLCertificateFile /home/web/certs/domain1.public.crt SSLCertificateKeyFile /home/web/certs/domain1.private.key SSLCertificateChainFile /home/web/certs/domain1.intermediate.crt —apache httpd.conf file—- … DocumentRoot "/var/www/html" #currently exists … NameVirtualHost *:443 #new – is this really needed if "Listen 443" is in ssl.conf??? … #below vhost currently exists, the domain I wish t enable SSL) <VirtualHost *:80> ServerAdmin […]
我一直试图让Postfix和Dovecot成立好几天,我想我已经解决了所有的问题,除了刚刚出现的问题之外。 当我尝试重新启动Dovecot时,出现以下错误消息: doveconf: Fatal: Error in configuration file /etc/dovecot/dovecot.conf: ssl enabled, but ssl_cert not set [….] Restarting IMAP/POP3 mail server: dovecotdoveconf: Fatal: Error in configuration file /etc/dovecot/dovecot.conf: ssl enabled, but ssl_cert not set 当我检查dovecot.conf时,没有什么关于ssl的,所以我认为错误是引用了10-ssl.conf的设置。 我注意到这些设置被注释掉了: # ssl = no # ssl_cert = </etc/ssl/dovecot.pem # ssl_key = </etc/ssl/private/dovecot.pem 我知道这些在之前没有注释过,但是如果我现在取消注释,我会在启动时发现10-ssl.conf中出现意外值ssl的错误。 从Dovecot wiki这个值必须设置,即使它被其他地方的特定协议覆盖。 如果我把ssl值注释掉了,我会得到关于ssl被启用但是没有设置的第一个错误信息。 早些时候,我使用OpenSSL创build了一个自签名证书,并没有收到任何有关未configurationssl的错误消息。 事实上,我能够login到另一台客户端机器的popup窗口,并给出了关于证书不受信任的通常警告。 但我注意到,证书引用了一个不正确的主机名,这是我重build我的VPS之前造成的,并愚蠢地安装并configuration了不正确的主机名的Dovecot。 那么我清除所有文件,并重新安装。 […]
我有一个服务器,它有一个自我签名的证书,我试图安全地访问。 我通过查看openssl s_client -connect <ip>的输出获得了证书,并将其复制到testcert.pem,然后我试着使用curl –cacert testcert.pem <url> 。 然而,这并没有工作,我的研究已经导致我相信,问题可能是证书中的行,读取Subject: CN=id23946 。 显然,我需要存储一个别名在我的系统链接id23946到IP地址,但我找不到任何信息如何做到这一点。 那么,我该怎么做呢? 如何使curlvalidation此证书有效? 编辑:我知道,我可以连接到服务器通过添加<ip> id23946到我的主机文件,然后使用id23946作为地址,但我真的希望能够直接连接到服务器的实际地址,而不必修改服务器证书。 有没有办法做到这一点?