我有一个时间得到一个SSL证书与在CentOS上运行的Apache一起工作。 这是我第一次试图让SSL工作,所以我需要一些帮助。 我已经做了很多的阅读和尝试,并尝试不同的解决scheme,但我卡住了 我有一个域名,并从GoDaddy的域名SSL证书。 我相信在经过一些试验和错误之后,证书已经正确安装,但是当我导航到我的域时,我在Chrome和Firefox上都遇到了错误。 奇怪的是他们给我不同的错误。 要清楚,我正在浏览www.mydomain.ca。 Chrome提供了一个“ERR_CERT_COMMON_NAME_INVALID”错误。 Firefox提供了一个“SSL_ERROR_BAD_CERT_DOMAIN”错误。 我不知道常见的名称的问题,但我敢肯定,bad_cert_domain发生,因为httpd不是用域名replace地址栏中的IP地址。 我认为这是一个重写规则。 我已经添加到我的httpd.conf文件的末尾。 如果有帮助,我可以包含更多的文件。 我不太了解重写规则,并从教程中解除了这个问题。 我已经尝试了许多不同的版本,包括有一个单独的站点可用的文件夹与conf文件,但结果是一样的。 <VirtualHost *:443> ServerName www.MYDOMAIN.ca ServerAlias MYDOMAIN.ca DocumentRoot /var/www/html/ RewriteEngine On RewriteCond %(HTTP_HOST) !^MYDOMAIN.ca$ RewriteRule /.* https://MYDOMAIN.ca/ [R] </VirtualHost> 我的问题是,为什么httpd没有用域名replaceIP地址,为什么Chrome会报告通用名称错误? 谢谢
我正在尝试使用encryptionhttps://certbot.eff.org/来生成SSL证书。 使用这个命令,我可以生成certificate.pem和私钥: certbot certonly –manual 我使用http(webroot)文件完成了testing。 之后,我已将证书文件复制到另一台服务器,并将其configuration为使用它们。 这另一台服务器是运行在证书域上。 这是Apache的configuration: <IfModule mod_ssl.c> <VirtualHost *:443> ServerAdmin webmaster@localhost DocumentRoot /var/www/html ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLCertificateFile /root/fullchain.pem SSLCertificateKeyFile /root/privkey.pem SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA$ SSLHonorCipherOrder on SSLCompression off SSLOptions +StrictRequire LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined LogFormat "%v %h %l […]
这是我的第一篇文章,是的,在这篇文章之前我已经阅读了很多其他的话题,我也尝试了很多次。 我的情况如下,我有2个公司的Apache服务器,networking请求到达路由器,它转向服务器1(Centos 6.5),服务器1redirect到服务器2(7)的一些链接。 像图像: https://imgur.com/GeEPTRf 我有一个服务器上安装了SSL的网站,我需要configurationWeb请求通过服务器1并redirect到它,但我不能。 目前我的configuration如下: 虚拟主机服务器1: ServerName www.relici.org.br ServerAlias relici.org.br * .relici.org.br SSLProxyEngine On <Location /> ProxyPass https://www.relici.org.br/ # (proxy for server 2) ProxyPassReverse https://www.relici.org.br/ </ Location> 服务器2上的虚拟主机: ServerName www.relici.org.br DocumentRoot /home/www/sites/relici/2_3 SSLEngine On SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem SSLProxyEngine on <Directory "/home/www/sites/relici/2_3"> Options FollowSymLinks Includes AllowOverride None Allow from all Order allow, deny […]
我在我的nginx错误日志中间歇性地看到如下的错误: OCSP responder timed out (110: Connection timed out) while requesting certificate status, responder: ocsp.comodoca.com 我需要做些什么来解决这些问题? 我觉得在comodoca.com的服务器是可靠的,所以这可能是一些其他的configuration错误? 我正在使用来自第三方CA的公共证书。 我在这里 我附上我的nginx conf如下: server { server_name example.com; listen 443 ssl; ssl_certificate /etc/nginx/ssl/cert_chain.crt; ssl_certificate_key /etc/nginx/ssl/server.key; ssl_session_timeout 1d; ssl_session_cache shared:SSL:1250m; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP'; # OCSP Stapling — ssl_stapling on; ssl_stapling_verify on; […]
我正在尝试在我的centos机器上安装golang。我在我的forticlient vpn上安装了这个centos机器。 这是我正在尝试 wget https://storage.googleapis.com/golang/go1.7.linux-amd64.tar.gz 它抛出我的错误 –2017-09-26 22:55:10– https://storage.googleapis.com/golang/go1.7.linux-amd64.tar.gz Resolving storage.googleapis.com (storage.googleapis.com)… 172.217.26.80, 2404:6800:4003:80d::2010 Connecting to storage.googleapis.com (storage.googleapis.com)|172.217.26.80|:443… connected. ERROR: cannot verify storage.googleapis.com's certificate, issued by '/C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=FG100D3G16834071/[email protected]': Self-signed certificate encountered. To connect to storage.googleapis.com insecurely, use `–no-check-certificate'
我正在将一些站点从IIS 7.5 Web服务器(2008 R2)移动到IIS 8.5服务器(2012 R2),特别是给我一个合适的过程。 该网站使用客户端证书进行身份validation。 用户信息存储在数据库中,应用程序根本不连接到AD。 我将SSL设置为需要SSL,而客户端证书也设置为需求。 根CA证书位于本地计算机的受信任根CA中,该站点具有有效的SSL证书,并正确提示用户提供其客户证书。 但是,我收到403.16响应,抱怨服务器不信任客户端证书。 我确定所有非自签名证书都从受信任的根CA移到中间CA,比较了两个服务器之间的站点configuration,并试图在registry中设置SendTrustedIssuerList = 0。 这些似乎都没有伎俩。
Google正在通过SSL安全地托pipe所有网站,并使用“恐吓手段”(例如突出显示该网站为“不安全”)来创造更大更大的推动力。 我相信他们最终会在排名中增加安全网站的重量。 我的技术问题是我有一个网站引擎作为Azure云服务的一部分在IIS中作为单个站点托pipe。 我有1000多个不同的域名(不是子域名)指向网站,引擎决定向客户展示哪个网站。 这一切都很好。 然而,获得一个对应于1000个域名的SSL证书目前是不可用的(据我所知最多的是250),所以我试图find一种方法来解决这个问题。 我对如何做到这一点有一些想法,但没有一个看起来很理想。 另一个需要考虑的因素是网站可以来来去去,所以SSL证书的更新将会在合理的时间间隔内被要求。 有没有人处理过类似的事情,或者对于我可能进一步调查的方向有任何巧妙的想法?
到目前为止,我为我的Exchange使用了一个本地CA签名证书,但是所有的foregin用户都不能信任与他们的Outlook或浏览器到OWA webapp的连接。 我为我的公共域mydomain.com(与本地域名mydomain.local不同)购买了通配符证书,我想将其用于Exchange服务。 我了解到,我不能使用不同的证书进行内部/外部连接,所以我专门让本地用户使用外部地址,并在本地DNS中创build区域。 所以每个人都使用一个名字来访问Exchange服务器: mbox.mydomain.com 我将我的OutlookProvider从旧的CertPrincipalName msstd:mbox.mydomain.com更改为新的通配符名称: Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.mydomain.com Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:*.mydomain.com 然后,我在Exchange的Web ECP接口加载的新通配证书中激活了IIS服务。 我等了几个Outlookprovier刷新(TTL = 1小时) 现在…. 外部连接工作,但我有我所有的本地Outlook客户端的代理错误: 目标站点是服务器的本地path。 我错过了什么?
我刚刚添加了一个NAS(networking附加存储)到我的局域网,我想通过HTTPS访问它。 一切正常,除了当我浏览它时,chrome在地址栏中以“不安全”响应,URL的“https”协议部分有一条删除线。 我与Mozilla Firefox有类似的问题。 脚步 在运行Linux Mint 17.3的PC上,我通过执行sudo /usr/lib/ssl/misc/CA.sh -newca创build了一个根证书颁发机构。 我使用httplogin到NAS并创build了一个CSR(证书签名请求),然后将其下载到我的PC。 该文件具有.csr扩展名。 然后我使用命令sudo openssl ca -out myCert.pem -infiles myCert.csr来签署.csr文件。 我使用它的Web界面将证书myCert.pem导入NAS。 我将我的PC上的CA证书myCaCert.pem添加到证书库,方法是将其移动到/usr/share/ca-certificates/extra/myCaCert.crt ,然后运行sudo dpkg-reconfigure ca-certificates 。 然后通过运行openssl verify myCert.pem检查最终证书myCert.pem文件openssl verify myCert.pem 。 输出是“myCert.pem:OK”。 然后我将根证书myCaCert.pem文件导入到Mozilla Firefox和chrome中。 完成这些步骤之后,Firefox和chrome都显示通过https的NAS的url是不安全的。 为了提供文件,是否需要在具有myCaCert.pem文件的PC上设置服务? 不确定在这一点上做什么… 编辑 正如dave_thompson_085所build议的那样,我在开发者工具中检查了Chrome中的安全错误。 以下两个错误正在显示: (1)缺less主题替代名称:本网站的证书不包含包含域名或IP地址的主题备用名称扩展名。 (2)证书错误:网站的证书链有问题(net :: ERR_CERT_COMMON_NAME_INVALID)。 我认为主题替代名称是可选的….我会尝试生成另一个CSR与SAN ….
我正在尝试使用我们的ubuntu服务器VPS的Apache HTTPD和TOMCAT服务的encryption证书。 我发现letsencrypt存储的证书在Apacheconfiguration中的位置,它是由certboot脚本编写的,Apache正在使用这个证书。 我为tomcat server.xmlconfiguration使用相同的链接,但是我的日志中有一个权限被拒绝的错误: SEVERE: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"] java.lang.Exception: Unable to load certificate key /etc/letsencrypt/live/mysite.org/privkey.pem (error:0200100D:system library:fopen:Permission denied) at org.apache.tomcat.jni.SSLContext.setCertificate(Native Method) at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:657) at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:742) at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:458) at org.apache.catalina.connector.Connector.initInternal(Connector.java:960) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.core.StandardService.initInternal(StandardService.java:568) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:851) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.startup.Catalina.load(Catalina.java:580) at org.apache.catalina.startup.Catalina.load(Catalina.java:603) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) […]