我试图运行两个域名,一个使用通配符证书,另一个使用来自一个IP和一个nginx的常规证书。 安装程序:example1.com,带有常规证书的通配证书example2.com 我目前的通配符设置的nginxconfiguration看起来像这样(我还没有开始添加第二个域): /etc/nginx/sites-available/example1.com: server { listen 443 default_server ssl; server_name _; ssl_certificate /etc/nginx/ssl/example1.com/example1.com.crt; ssl_certificate_key /etc/nginx/ssl/example1.com/example1.com.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # Perfect Forward Security ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4"; } server { […]
有关系吗? 我们从Thawte购买了我们的证书,而且我没有看到针对SQL Server的特殊types的证书,而是您为Web服务器购买的证书。 如果这是一个愚蠢的问题,请对我温柔。 我是一名开发人员,而不是服务器专家。
为什么Apache在我的日志中给我这个错误信息? 这是一个误报吗? [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) 我最近从Centos 5.7升级到6.3,并由此升级到更新的httpd版本。 我一直使我的SSL虚拟主机configuration如下。 在共享相同证书的所有域(主要是/总是通配证书)共享相同的IP的情况下。 但是从来没有得到这个错误信息(或者我有,也许我没有看到足够的日志?)从我所学到的这应该工作没有SNI(服务器名称指示) 这里是我的httpd.conf文件的相关部分。 没有这个VirtualHost,我不会收到错误信息。 NameVirtualHost 10.101.0.135:443 <VirtualHost 10.101.0.135:443> ServerName sub1.domain.com SSLEngine on SSLProtocol -all +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNull:!EDH:!DH:!ADH:!eNull:!LOW:!EXP:RC4+RSA+SHA1:+HIGH:+MEDIUM SSLCertificateFile /opt/RootLive/etc/ssl/ssl.crt/wild.fareoffice.com.crt SSLCertificateKeyFile /opt/RootLive/etc/ssl/ssl.key/wild.fareoffice.com.key SSLCertificateChainFile /opt/RootLive/etc/ssl/ca/geotrust-ca.pem </VirtualHost> <VirtualHost 10.101.0.135:443> ServerName sub2.domain.com SSLEngine on SSLProtocol […]
为了certificateSSL证书和可链接的密钥的性质,我可以根据为通配符子域颁发的主域证书和密钥生成子域的证书吗? 这里的做法是,我必须为一个子域设置一个新的完全不同的远程(物理)服务器,并且要将主证书和密钥的风险最小化,以防万一。 我可以使用openssl实用工具来提供我的主域名,通配符证书和密钥吗?还是应该再次由CA来辞职? 如果可以,怎么样? 谢谢
编辑:我真的很抱歉,不得不说,这个问题魔术般地修复自己,我不知道为什么。 作为对其中一个答案的回应,我从CA链中删除了所有的EKU,但它不起作用。 休假回来后,我一次创build了证书链1, RootCA->VPN然后是RootCA->IntermediateCA->VPN ,最后是RootCA->IntermediateCA->ServerCA->VPN ,它仍然工作! 我不知道为什么这是工作,但我很激动。 只是为了确定这是解决EKU的问题,我回去了,把EKU随机添加到了CA的链中,然后瞧,它仍然有效……这是绝对令人愤慨的,我很抱歉所有试图帮助的人。 我发誓,绝对没有其他改变,没有人在我不在的时候触及任何东西。 结束编辑 当试图连接OpenVPN客户端(Android或Windows 7/10)到我的testing服务器时,我收到以下错误: VERIFY ERROR:深度= 1,错误=不支持的证书目的:C = CA,ST = QC,L =蒙特利尔,O =公司,OU = PKI,CN =服务器authentication中心 我在OpenBSD上运行OpenVPN 2.3.7。 我正在使用使用XCA创build的以下PKI CA层次结构: RootCA -> IntermediateCA -> ServerCA 我为我的ServerCA签署的VPN服务器创build了一个证书。 请注意深度= 1 。 这似乎不是最终的VPN服务器证书的问题。 OpenVPN正在抱怨VPN服务器证书的颁发者。 即使错误消息中的CN是ServerCA NOT的VPN服务器。 就我所能确定的,连锁中的CA没有任何其他目的而不是签署证书的要求。 这是VPN服务器的证书configuration。 请注意,根据OpenVPN的要求,旧的Netscape服务器扩展在那里: nsCertType=server, email extendedKeyUsage=serverAuth, nsSGC, ipsecEndSystem, iKEIntermediate keyUsage=digitalSignature, keyEncipherment, dataEncipherment, keyAgreement authorityKeyIdentifier=keyid, […]
我有一些iDRAC7 Enterprise服务器,我想为我的域添加现有的通配符SSL证书,以便在加载iDRAC网页时获得有效的证书。 我试过“上传服务器证书”选项,但我似乎无法find所需的格式。 如果这是可能的,我会认为格式将是PEM或PKCS12,这包括关键以及证书。 并允许中间证书,但我似乎无法弄清楚。 另一个想到的是IDRAC7不支持使用现有的证书,你必须使用内置的密钥生成一个新的证书,但这似乎是一个无用的function。 Edit:当我尝试上传包含:key / cert / intermediate certs的PEM文件时,出现以下错误:“RAC0508:发生意外错误,等待几分钟并刷新页面。如果问题仍然存在,请联系service供应商“。 那么,是否可以使用iDRAC7将现有的证书上传到服务器,如果是这样的话?
我的网站的SSL证书前几天刚过期,我想续约。 我最初是在两年前使用我的Windows 2008证书颁发机构发布的,而且它的工作一直很顺利,所以我希望尽可能简单地更新证书,以确保所有依赖该证书的应用程序继续工作。 我可以打开一个MMC实例,并为本地计算机添加证书pipe理单元。 我可以在Personal下find相关的证书,但是我无法更新。 当我用新密钥select续订证书时,我收到以下消息: Web服务器状态:不可用 证书模板上的权限不允许当前用户注册这种types的证书。 您无权申请此types的证书。 但是,我无法理解这一点,因为我作为域pipe理员login,我在提升模式下运行MMC实例。 我已经检查了Web服务器证书模板,并且域pipe理员具有此模板上的“ 注册”权限。 FWIW,我也尝试重新启动服务器。 我怎样才能更新证书?
在Nginx Web服务器上实现证书authentication后,我想在Dovecot邮件服务器上做同样的事情。 这个想法是创build自己的CA和pipe理证书(发行和撤销)。 要validation客户端证书,您需要您的根CA证书和CRL。 为了build立安全连接,可以使用由真实CA签名的证书(如果您不想在每个工作站上导入您自己的根CA证书)。 到目前为止,我已经从Dovecot官方维基阅读这些页面: http://wiki2.dovecot.org/SSL http://wiki2.dovecot.org/SSL/DovecotConfiguration 哪些让我到这个configuration文件: listen = *,[::] protocols = imap pop3 auth_mechanisms = plain login disable_plaintext_auth = no log_timestamp = "%Y-%m-%d %H:%M:%S " mail_privileged_group = vmail ssl = required ssl_cert = </etc/postfix/smtpd.cert ssl_key = </etc/postfix/smtpd.key ssl_ca = </etc/postfix/ca.pem ssl_cert_username_field = emailAddress ssl_verify_client_cert = yes ssl_require_crl = yes auth_ssl_require_client_cert = yes […]
我需要用两个不同的SSL证书来configurationHAProxy www.example.com api.example.com 现在我从serverfault( 在Haproxy中configuration多个SSL证书 )的post中学习了如何使用2个证书,但是服务器继续使用两个域中提到的第一个证书。 configuration: frontend apache-https bind 192.168.56.150:443 ssl crt /certs/crt1.pem crt /certs/cert2.pem reqadd X-Forwarded-Proto:\ https default_backend apache-http backend apache-http redirect scheme https if { hdr(Host) -i www.example.com } !{ ssl_fc } redirect scheme https if { hdr(Host) -i api.example.com } !{ ssl_fc } … 如何根据URL告诉HAProxy使用哪个证书? 完整configuration: global log /dev/log local0 log […]
我正在尝试在apache中设置一个Virtualhost一部分来要求客户端身份validation。 所讨论的VirtualHost也充当实际Web服务器的反向代理。 这是我所做的: 在我用作CA的服务器上创buildca.crt , ca.csr和ca.key 。 修改VirtualHost的configuration看起来像这样: … ProxyPass / http://xxx.xxx.xxx.xxx:80/ ProxyPassReverse / http://xxx.xxx.xxx.xxx:80/ ProxyPassReverseCookiePath / / SSLEngine On SSLCertificateFile "/private/etc/apache2/server.crt" SSLCertificateKeyFile "/private/etc/apache2/server.key" SSLCertificateChainFile "/private/etc/apache2/ca_bundle.crt" SSLCACertificateFile "/private/etc/apache2/self_ca.crt" SSLVerifyClient none SSLOptions StrictRequire SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL <Location /clientauth> # These options force the client to authenticate with a client certificate. SSLVerifyClient require SSLVerifyDepth 1 […]