所以我正在寻找编程方式使用ruby ldap lib从ruby创build活动目录中的用户。 但我遇到了这个问题,似乎我不能在389端口上创build密码。从谷歌search似乎设置密码的唯一方法是在端口636.但我似乎无法弄清楚如何连接(甚至有自签名证书)。 我已经下载了我的本地Windows Server 2003上的ldp.exe,我没有问题连接到389,但636我只是结束了一个Server error: <empty> & Cannot open connection 。 所以我有两个问题: 我发现有关在636上创build密码的信息是否正确? (我们只能在端口636上为用户创build密码吗?) 没有任何证书可以连接到端口636吗?
我们正在使用nginx来提供Web服务。 客户已经build立了一个从他们的子域指向的CNAMElogging: sub.example1.com到我们域sub.example2.com上的子域(使用通配符SSL证书进行保护) 目前,当您尝试查看: sub.example1.com ,错误: The certificate is not valid (host name mismatch). 被显示并且不匹配错误必须被忽略继续。 我曾尝试为子域sub.example1.com生成一个SAN证书并单独提供服务,但他们确实在查看sub.example2.com并导致相同的错误。 我们是否可以将SAN添加到通配符证书中以避免这种不匹配错误? 是否有其他可能的解决scheme来解决不匹配? 我们可以在相同的证书上保护这个二级子域吗? 谢谢! 编辑主nginx.conf,网站启用/ sub.example1.com和example2.comconfiguration示例: http ://pastebin.com/7AKLag4w 通过上面的configuration,我仍然收到一个不匹配的主机名证书错误。 curl -I导致: curl: (60) SSL certificate problem: Invalid certificate chain sub.example1.com证书是使用letsencrypt包括sub.example1.com和sub.example2.com SAN)创build的,而example2.com.crt是由标准颁发机构创build的,作为通配符ssl证书。
所以我们目前有一个embedded式的5.5环境,并且正在考虑将这些angular色分开来满足推荐的6.0升级的拓扑结构。 我可以看到,我需要启动SSOangular色的新服务器,打破多个vCenter中心环境的链接模式,然后将各种服务重新分配给新的SSO服务器。 没有什么我可以find提到在这个过程中使用的证书。 我们目前已经将内部CA签署的证书部署到vSphere的各个部分。 我正在努力解决什么时候提供SSO的新证书,同时跳到外部SSO服务器。 许多用于注册SSO证书的方法要求将服务注册到vCenter,但迁移路由在重新注册/注册之前似乎需要SSO被启动。 那么 – 是否应该使用自签名证书部署新的SSO,然后一旦发生了重新分配,就会丢弃新的证书? 还是应该在新的服务器上安装新的证书并分配给SSO,然后再进行切换? 如果有人最近在向平台服务控制器迁移之前将SSO服务外化,我将非常高兴收到您的消息。
我在HPUX / Apache服务器上收到以下错误消息: 证书validation:错误(20):无法获取本地发行者证书 当我查看我的根证书时,我在服务器上包含了DoD根CA-2根证书。 我的站点证书具有DoD根CA-2 – > DoD CA-28 – >证书链。 当我做到以下,我收到一个错误: -bash-4.3$ openssl s_client -connect mysite:443 -showcerts CONNECTED(00000003) depth=0 /C=US/O=US Government/OU=DoD/OU=PKI/OU=USN/CN=mysite verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /C=US/O=US Government/OU=DoD/OU=PKI/OU=USN/CN=mysite verify error:num=27:certificate not trusted verify return:1 depth=0 /C=US/O=US Government/OU=DoD/OU=PKI/OU=USN/CN=mysite verify error:num=21:unable to verify the first certificate verify return:1 20509:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 […]
我正在为Intranet构build一个openssl证书颁发机构。 我有root.crt ,由root签名的intermediate.crt和由中间者签名的server.crt 。 我可以根据根来validation中间件 #> openssl verify -CAfile root.crt intermediate.crt && echo ok ok 在Ubuntu上,我可以安装根证书 #> mv root.crt /usr/local/share/ca-certificates/my-root.crt #> update-ca-certificates Updating certificates in /etc/ssl/certs… 0 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d… done. done. 但是,如果我试图validation服务器对中间,它失败 #> openssl verify -CAfile intermediate.crt server.crt && echo ok error 2 at 1 depth lookup:unable to get […]
我试图validation一个特定的用户,我已经颁发了一个证书来使用所提到的证书来validation我的Web代理。 我想我已经尝试了几乎20种以下选项的组合,而且没有任何东西可以用于我。 在Apache文档页面中,ssl客户端authentication的所有示例通常基于<Location>指令。 我的情况是从来没有提到,在这一点上,我想知道是否有可能: <VirtualHost *:8080> ProxyRequests On SSLCACertificateFile /etc/apache2/myca/ca.cer <Proxy "*"> SSLVerifyClient Require SSLVerifyDepth 10 SSLOptions +FakeBasicAuth +StrictRequire SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ and %{SSL_CLIENT_S_DN_O} eq "MyComp" \ and %{SSL_CLIENT_S_DN_OU} eq "IT" \ and %{SSL_CLIENT_S_DN_Email} eq "[email protected]") </Proxy> ErrorLog ${APACHE_LOG_DIR}/proxy_error.log CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined </VirtualHost> 通过上面的configuration代理工作,但不要求authentication,每个人都可以使用它。 我试图把SSLVerifyClient Require放在Proxy指令之外,没有任何改变 我已经删除了SSLRequire ,没有任何改变 我已经删除了SSLOptions ,没有任何改变 我已经在Proxy指令中添加了Require ssl-verify-client […]
我在我的服务器上安装了一个Nginx安装程序。 我只通过客户端authenticationauthentication设置了对资源的限制访问权限。 (参考RFC6101)。 现在,当用户访问证书时,他的客户端执行“TLS握手”交换一些消息。 这些消息可以用来certificate特定用户的访问。 看起来( 这是问题 )Nginx不允许恢复或保存这些信息,永远丢失它们。 我想保存(作为一个文本文件,或在数据库,或其他一切)握手消息客户端和服务器之间交换。 目标是certificate用户执行了成功的访问。 更具体地说,我需要保存证书validation以及用于生成证书的所有相关消息。 (参考RFC6101#CertificateVerify )
我公司开发了一个基于.NET的应用程序(依靠SChannel),目的是在TLS1.2双向authentication会话中,在同一个SW的两个实例(一个作为客户端,另一个作为服务器)之间执行TLS1.2双向authentication。 客户端和服务器的SW实例都部署在不同的Windows OS服务器(2008R2和2012R2)上。 我们已经成功testing了Windows Server 2008 R2操作系统上的应用程序(在WIN 2008R2操作系统上运行的“客户”和“服务器”SW实例); 在这种情况下,服务器在“证书请求”部分下的TLS1.2握手的初始“服务器问候”消息中提供与“受信任的根CA证书存储”(本地)内容匹配的“专有名称”计算机)运行在同一台服务器上,按照TLS1.2 RFC标准。 但是,在Win2012 R2操作系统环境中运行相同的应用程序(使用相同的证书集)时,在服务器问候消息期间,证书请求部分会一直返回一个空的DN列表(即列出的0证书),即使受信任的根CA存储(本地计算机)中提供了同一组受信任的根CA. 当SW作为TLS1.2握手中的客户端,运行在2008R2或2012R2上时,SW能够成功地使用在本地计算机 – >个人 – >证书下提供/安装的客户端身份validation证书。 我并没有参与程序encryptionfunction的代码开发,但是我有一种感觉,当从2008R2移动到2012R2时,我可能会错过操作系统级别的一些额外设置,而不是软件问题 – 所以我想知道是否任何人都可以build议可能需要修改的操作系统设置。 谢谢
我正在使用与Java 1.8.0_77-b03和Jetty 9.3.3.v20150827捆绑在一起的应用程序。 一切正常,直到我将我们的encryption证书导入Jetty JKS。 一旦我这样做,Jetty崩溃开始与错误: Exception: Starting Jetty failed: java.net.BindException: Address already in use [… stackdump …] 我已经确认端口是免费的,我有权绑定到这些端口。 如果我启动没有HTTP的Jetty,或者如果我使用由我的应用程序生成的默认,自签名证书,那么一切工作正常。 我的让我们encryption证书与Nginx一起工作。 我使用https://gist.github.com/xkr47/920ffe94f6a4c171ee59或类似的(pem – > pkcs12 – > jks)方法导入证书。 有什么我失踪,会导致docker像这样崩溃? 我问过谷歌我能想到的一切,什么也没得到。 谢谢! 🙂 如果重要的话,我在Arch Linux上做这个。 而应用程序是方面CXP 15.再次感谢!
我正在尝试为即将到来的Chrome“非安全显示”v56版本做准备。 我运行一个网站服务: example.com 我给每个客户一个子域的服务: cust1.example.com , cust2.example.com等 几年前,我将服务configuration为接受www.cust1.example.com , www.cust2.example.com等。主要是因为客户总是将“www”添加到所有内容的前面。 我想确保他们得到他们的网站,而不是一个“无效域”的消息。 我购买了通配符SSL证书*.example.com来覆盖客户网站。 显然,这不适用于www.cust1.example.com等。我的大多数客户没有使用HTTPS,所以这不成问题。 现在的浏览器现在迫使https成为一个问题。 我已经尝试使用mod_rewrite来解决这个问题。 RewriteCond %{HTTP_HOST} ^www\.([^\.]+)\.example\.com$ [NC] RewriteCond %{SERVER_PORT} =443 RewriteRule ^(.*)$ https://%1.example.com/$1 [R=302,E=nocache:1,L] 注意:在testing解决scheme时,我使用了302,所以我不会无意中将redirect推入浏览器的caching,并且不能再次更改。 问题是,当您在浏览器中使用HTTPS启动时,从服务器提供的redirect仍然会触发ERR_CERT_COMMON_NAME_INVALID错误,然后才能redirect以删除“www”并转到具有有效证书的页面。 如何在不触发浏览器的不安全响应的情况下删除HTTPSstream量上的“www”前缀?