我想知道在代理上启用SSL是否足够,而不是在被代理的服务上。 当通信应该是https时,会不会有外部的问题(在客户端)?
对于SNI Apache的设置: 是否可以: 为所有带有别名的虚拟主机使用一个安全证书 和 有没有区别: 为所有带有别名的虚拟主机使用一个安全证书 和 使用每个虚拟主机的安全证书
随着简单,免费让我们encryption证书和IE8不再是一个问题了,我打算在一个Apache服务器上启用SSL数千个主机名。 Apache是否缩放? 在这一点上,将Apache切换到别的东西不是一种select。 我的第一个testing表明, service apache restart ,实际服务页面是快速的几千个自创的证书和他们的中间体。 有什么需要注意的吗? 我担心可能出现的缩放瓶颈只能在实际生产中出现,因为退回“否,我们没有这样的证书”的情况有点迟。 PS。 有没有捷径生成一个列表的<VirtualHost>的configuration文件… CertificateFile (除了mod_macro )? 我正在考虑像“只要find/etc/letsencrypt/live/ ”指令中的所有证书。
最近有一个SSL证书给我们的外部域,并添加到交换,外部客户端工作正常,内部客户端打开Outlook时得到安全警告,说明我们的内部server.domain.local“安全证书上的名称是无效的”,并查看该证书显示我们的外部域。 我如何解决这个问题? 内部和外部主机名都设置为自动发现的外部url。
如果您在服务器上安装了数字证书,那么在将一个数字证书及其密钥replace为另一个时,是否存在任何潜在的问题? 有什么隐藏的后果吗? 我正在build立一个网站,将保存敏感数据。 我有一个运行Nginx的networking服务器,一个通过提供静态文件的NFS交叉装载的文件服务器,以及一个PostgreSQL数据库服务器。 理想情况下,我想购买商业/组织validation通配符证书,但它们非常昂贵。 我正在考虑的是购买带有域validation的证书来启动,然后弄清楚如何在所有三台服务器上运行SSL。 一旦我了解了这个过程,并开始获得客户,我会用BOV证书replaceDV证书。 如果我采取这种方法,会遇到什么问题?
我们正在使用Win 2008 R2机器的虚拟机环境中工作。 对于其中一个POC,我需要限制对给定机器列表的特定端口的访问。 所以我正在尝试为此目的生成SSL证书。 我在一台虚拟机上安装了Active Directoryauthentication服务,并将其作为本地根CA. 从这里,我想颁发证书到2或3其他虚拟机。 我能够从第二台虚拟机生成CSR并创buildCSR。 然后,我转到本地CA VM上的certsrv站点,提交base 64请求,然后转到待定证书并颁发证书。 然后,我可以下载颁发的证书。 在所有这些步骤中,没有我被要求的私钥。 所以,如果我安装这个证书,我没有得到任何选项将证书导出到将有私钥的PFX文件。 我只能select将其导出到只有公钥的p7b文件。 那么请让我知道如何使用私钥生成证书? 最后,我的要求是获取PFX证书并将其转换为每个单独VM的JKS密钥库文件,并创build包含所有证书的组合Truststore JKS文件。 请让我知道我该如何去做这件事。 感谢askids
我正在使用有效的证书,但是我无法获得客户端证书。 lighttpd服务失败,错误: (connections-glue.c.200)SSL:1错误:140890C7:SSL例程:SSL3_GET_CLIENT_CERTIFICATE:对等方没有返回证书 我的configuration是这样的: $SERVER["socket"] == ":443" { protocol = "https://" ssl.engine = "enable" ssl.disable-client-renegotiation = "enable" #server.name = "mywebsite.com" ssl.pemfile = "/etc/lighttpd/ssl/mywebsite.com.pem" ssl.ca-file = "/etc/lighttpd/ssl/mywebsite.com.csr" ssl.ec-curve = "secp384r1" ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable" ssl.honor-cipher-order = "enable" ssl.cipher-list = "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS" # HSTS(15768000 seconds = 6 months) #setenv.add-response-header = ( # "Strict-Transport-Security" => "max-age=15768000;" #) […]
我们其中一个站点的SSL证书已过期,我已被授予续订任务,尽pipe不是任何types的服务器pipe理员。 我已经完成证书请求并将其添加到服务器证书。 然后,我将这个新证书分配给相关站点的https绑定。 当我查看证书时,它显示了从Entrust提供者到2020年期满,使用sha256 hash和sha1指纹。 如果我在我们公司的networking上访问网站,我可以看到正确的新证书。 但是,此networking以外的任何用户(包括如果断开连接)都将收到“证书不可信”错误。 在检查了正在服务的证书之后,它将显示旧的SHA1哈希过期证书。 我已经使用DigiCertUtil检查了certlog,并validation了没有与现有有效证书相对应的SSL哈希值。 也没有其他与此网站相关的HTTPS绑定。 我在这里错过了什么?
我正在使用NodeJS托pipeHTTPS Express服务器。 我的服务器configuration如下: var options = { key: fs.readFileSync('domain_com.key'), cert: fs.readFileSync('domain_com-bundle.crt') } https.createServer(options, app).listen(8082, function() {…} ); 我按照这个网站的说明连接了.crt和.ca-bundle文件。 更新:更新我的代码,但它仍然给出了相同的错误 var options = { key: fs.readFileSync('domain_com.key'), cert: fs.readFileSync('domain_com.crt'), ca: fs.readFileSync('domain_com.ca-bundle') } https.createServer(options, app).listen(8082, function() {…} ); 有了这段代码,我没有按照上一个链接的指示,而是将每个文件分别包含到NodeJS的https模块中 现在,当我尝试在移动Android上使用Chrome 56访问我的网站时,出现了问题。 一切工作就像应用在桌面上的Chrome应该。 我运行了一个SSL分析器,这是返回: 破碎的证书链 简单的说,我可能试过每个key / cert / bundle组合都可能试图让它工作,但是chrome仍然给出了ERR_CERT_AUTHORITY_INVALID。 我不完全确定我在做什么,因为这是我第一次设置和SSL证书,所以只要告诉我,如果你需要任何其他信息。
我一直在做SSL证书,现在我的组织正在考虑使用通配符证书,还是现在使用的多域证书。 我需要知道的是为什么我们不应该去通配符证书路线? 我知道他们是如何工作的,但我需要把这个卖给他们。 我知道优点和缺点。 我一直在研究为什么不使用,唯一不利的地方就是每个站点或者人们说的唯一缺点:“如果.key被攻破,那么WCS就是”。 我需要一个更好的理由为什么不使用它,那么,因为多领域是相同的方式明智的。 我们已经可以采取措施使这个更安全。 我们所看到的是从1 UC统一域与数百个SAN,并通配符分解。 这也将通过NetScaler SDX 11500运行。我不是一个大的NetScaler人,但我明白这一点。 如果我们启用了SNI,我们可以加载不同的证书和密钥? 你也知道更多的步骤,使其更安全。 谢谢