我们使用AWS ELB来执行SSL终止,并且Chrome浏览器显示“https”时会出现问题,并显示删除线。 它说:“该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它。” 但它并没有明确地说出它不喜欢的设置。 我怎样才能找出什么铬有问题,使我们的用户会得到一个绿色的复选标记? 产生错误的示例URL如下: https : //aws.hatchlings.com/error/ 我通过SSL实验室运行我们的网站,它给了我们一个“A”等级:
我们有在线购物网站。 当我要结帐页面,我得到这样的错误“错误:14094410:SSL例程:SSL3_READ_BYTES:sslv3警报握手失败(35)” 从Apache的错误日志,我可以看到一些尝试连接到api.paypal.com。 这是我的Apache错误日志的一部分 * About to connect() to api.paypal.com port 443 (#0) * Trying 66.211.168.123… * connected * Connected to api.paypal.com (66.211.168.123) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure * Closing connection #0 当我试图连接到api.paypal.com使用curl我得到这样的错误 curl -iv https://api.paypal.com/ * About to connect() […]
有没有人知道当我的域networking中的根授权证书过期时,encryption/签名邮件会发生什么? 证书是否仍然可以从客户端进行validation,客户端是否可以在邮件encryption/签名时认识到证书是有效的? 分别将迁移到新的基础设施将发生什么,或者如果我安装一个新的根CA? 是否还需要迁移已过期的根证书?
我希望configurationOpenSSL,以便在运行openssl req -new生成新的证书签名请求时,系统会提示我在CSR上包含任何可选主题名称。 我已经将这行添加到了我的openssl.cnf的[req_attributes]部分: subjectAltName = Alternative subject names 这产生了所需的效果,现在我在生成CSR时提示您使用SAN: $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite […]
我需要在我的应用程序和Sql Server 2008之间实现SSL传输。 我使用的是Windows 7,Sql Server 2008,Sql Server Management Studio,而我的应用程序是用c#编写的。 我试图按照关于创build证书的MSDN页面, 这在“Encrpyt为一个特定的客户端”,但我无可救药的困惑。 我需要一些小小的步骤来成功实现encryption。 首先,我不明白MMC。 我在那里看到很多证书……这些证书是我应该用于自己的encryption还是被用于已经存在的事情? 另一件事,我假设所有这些证书文件都位于我的本地计算机上,为什么有一个名为“个人”的文件夹? 其次,为了避免上述问题,我做了一个自签名程序集的小实验。 如上面的MSDN链接所示,我使用了在SSMS中执行的SQL来创build一个自签名证书。 然后我使用下面的连接string来连接: Data Source=myServer;Initial Catalog=myDatabase;User ID=myUser;Password=myPassword;Encrypt=True;TrustServerCertificate=True 它连接,工作。 然后,我删除了我刚创build的证书,它仍然工作。 显然它从来没有做任何事情,但为什么不呢? 我怎么知道它是否真的在“工作”? 我想我可能会错过一个中间步骤(以某种方式)将文件从SSMS上传到客户端上? 我不知道我在做什么,所以任何帮助,build议,意见,引用你可以给我非常感激。 先谢谢你。 🙂
最近我已经将Apache从2.2升级到2.4,我无法弄清楚如何弃用SSLCertificateChainFile指令。 错误: me@jessie:~$ sudo apache2ctl configtest AH02559: The SSLCertificateChainFile directive (/etc/apache2/sites-enabled/https.conf:103) is deprecated, SSLCertificateFile should be used instead Syntax OK 我目前的设置: SSLCertificateFile /etc/apache2/cert/ssl.crt SSLCertificateKeyFile /etc/apache2/cert/ssl.key SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.sha2.ca.pem SSLCACertificateFile /etc/apache2/cert/ca.pem 证书由StartCOM签名。 手动说,现在整个链应该在一个文件,由SSLCertificateFile指令指定,但我不知道什么键和顺序我应该连接到这个文件。
在准备用于生产的新的Windows 2012R2服务器时,我需要为支持我们的应用程序的网站安装(GlobalSign域名)SSL证书。 我通过生成一个证书请求,提交给GlobalSign,然后使用PEM格式化的证书完成请求。 通常情况下,我还需要去获取相关的GlobalSign DomainSSL中间证书并安装。 然而,相关的中间证书似乎得到自动安装,只要我configuration我的IIS站点绑定。 我知道,中间证书不在本地计算机证书存储中: Intermediate Certification Authorities -> Certificates …在证书MMCpipe理单元中。 我先检查,然后奇迹般地出现,我跑过我的SSL证书.pfx导入和IIS绑定configuration在一个virgin 2012R2服务器上,并确认中间证书确实已自动安装。 我不记得Windows 2008 / R2发生这种情况。 这是一个新的function,或者默认情况下打开的东西是不是以前? 更新: HBruijn的回答解释了上述我的第二个“处女”服务器上中间证书的外观。 我确实将证书导出为.pfx文件并将其导入到其他服务器上。 使用openssl工具进行检查可以发现根证书和中间证书的存在。 但是…在原始服务器上,我完成了一个挂起的证书请求,只加载了“PEM”格式的证书。 这不包括根/中间证书(我用openssl检查过)。
我不知道为了用Starfield Wildcard SSL证书来debugging这个问题,我还有什么可以尝试的。 问题是,在某些浏览器(例如Safari或最新版本的Chrome OS X 10.5.8)中,证书即使在根域上也不可信。 我的服务器设置/背景信息: 一般LAMP设置 – CentOS 6.3 – 在Godaddy VPS上 Starfield Technologies通配符SSL证书 按照godaddy支持页面的指示安装 ssl.conf行基本上如下: SSLCertificateFile /path/to/cert/mysite.com.cert SSLCertificateKeyFile /path/to/cert/mysite.key SSLCertificateChainFile /path/to/cert/sf_bundle.crt 一切似乎工作正常,直到有一天晚上,当我注意到在OS X的问题,我认为它是更多的浏览器版本相关,但只能够在该特定的机器上复制它。 我曾经尝试过: 从godaddy的证书库和Starfield的版本库更新sf_bundle.crt 在Jim Phares之后的这个ServerFault的答案 – 从Starfield的仓库中将ChainFile行更改为sf_intermediate.crt 在我的url上使用http://www.sslshopper.com/ssl-checker.html 它表示该域在证书上正确列出,但出现一个错误, 该错误消息证书在所有Web浏览器中都不受信任。 您可能需要安装中间体/链式证书才能将其链接到受信任的根证书。 我可以尝试下一步来解决不可信的证书问题? 让我知道是否有任何其他信息可能有助于debugging此问题。 提前致谢! 解: My problem ended up being that I had forgotten to add the SSLCertificateChainFile line […]
我们正在使用客户端证书来validation我们的客户之一。 我们的设置是这样的:我们有一个Django应用程序前面的nginx。 在我们的nginxconfiguration中,我们有必要的参数来获得实际的客户端证书validation( ssl_client_certificate , ssl_verify_client等)和 uwsgi_param X-Client-Verify $ssl_client_verify; uwsgi_param X-Client-DN $ssl_client_s_dn; uwsgi_param X-SSL-Issuer $ssl_client_i_dn; 这意味着我们将这些variables的值传入我们的Django应用程序。 Django应用程序然后使用这些信息来确定哪个用户正在连接并授权他们。 我们已经成功地使用了几个月,没有任何问题,突然间我们开始收到关于人们无法使用证书login的报告。 事实certificate, $ssl_client_s_dn和$ssl_client_i_dn值的格式已经从斜线分隔的格式改变了: /C=SE/O=Some organziation/CN=Some CA 以逗号分隔的格式: CN=Some CA,O=Some organization,C=SE 解决这个问题很简单,但我不明白为什么。 所以我的问题是: $ssl_client_s_dn的值从哪里来? 它是由nginx设置的吗? 客户端? 有没有这个值的格式的文件/规范,它有一个名字?
我正在尝试在nginx中设置SSL客户端身份validation。 我创build了一个自签名的根CA. 使用这个,我创build了一个子CA。 我使用这个子CA为客户端创build一个证书。 我将子CA和根CA连接成一个新文件。 我validation了客户端证书如下: $ openssl verify -purpose sslclient -CAfile auth-root.crt testcert.crt testcert.crt: OK auth-root.crt是级联的子级和根级CA; testcert.crt是客户端证书。 我使用ssl_client_certificate将nginx指向auth- ssl_client_certificate 。 当我使用testcert.crt证书发出HTTP请求时,nginx失败。 我打开debugging日志,可以看到以下内容: 2012/06/21 22:58:47 [debug] 8901#0: *2 verify:0, error:2, depth:1, subject:"/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA",issuer: "/C=US/ST=Florida/L=tampa/O=Test org/OU=Test OU/CN=Root TestCA" 2012/06/21 22:58:47 [debug] 8901#0: *2 verify:0, error:27, depth:1, subject:"/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA",issuer: "/C=US/ST=Florida/L=tampa/O=Test org/OU=Test OU/CN=Root TestCA" […]