我在AWS Elastic Beanstalk上构build应用程序(这是一个负载平衡器,其中有一组实例在他身后工作)。 我想为我的弹性beanstalk添加子域并使用SSL。 我可以在负载平衡器上设置HTTPS。 但是,我也需要将其设置在他后面的实例上。 是否有可能将我的子域绑定到负载均衡器,并在他身后的实例上使用服务器证书? 我的理由是,我必须通过nginxvalidation我的实例上的客户端证书。 但是为了validation客户端证书,我还需要在服务器证书中使用SSL。 负载均衡器背后的实例是否有可能使用相同的服务器证书,而这些实例不在任何子域下 – 也不在服务器证书中注册的子域下面?
我试图使用nginx作为运行Tomcat的内部Web服务器的反向代理,该服务器托pipe着我们的ERP系统的前端。 它已经正常工作了:我可以完美地连接到nginx服务器(这是locking在我们的networking,不同的VLAN,防火墙等等等),然后反向代理到我的ERP服务器。 但是,我想要添加一个额外的保护层,要求用户在他们的计算机上有一个数字证书,以便他们可以访问第一个(nginx)服务器。 后端服务器不使用/不需要证书。 我已经通过这个教程http://nategood.com/client-side-certificate-authentication-in-ngi ,它允许我生成我的自签名证书和其他一切。 当在nginxconfiguration中使用ssl_verify_client可选时,我可以正常连接到我的后端服务器,但是不需要/不需要证书。 当我把它切换到ssl_verify_client时 ,所有的访问都被阻塞了 400 Bad Request No required SSL certificate was sent 无论使用哪种浏览器(Chrome,IE,Edge,Firefox)。 当然,我已经把所有的证书/链条放在我的客户端计算机上,但是在任何浏览器上都没有证书。 我错过了什么? 这里是我的完整的nginxconfiguration: server { listen 443; ssl on; server_name 103vportal; ssl_password_file /etc/nginx/certs/senha.txt; ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; ssl_client_certificate /etc/nginx/certs/ca.crt; ssl_verify_client on; location / { proxy_pass http://10.3.0.244:16030; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_read_timeout 300; […]
我想要做的是通过客户端证书到我的PHP页面。 为了testing,我在Linuxterminal上使用curl : curl –cert cert.pem 'https://example.com/test.php' 在test.php ,我已经设置为打印$_SERVER超全局: <?php print_r($_SERVER); ?> 在Apache中,我有以下选项: <IfModule mod_ssl.c> <VirtualHost _default_:443> … SSLVerifyClient optional_no_ca SSLVerifyDepth 1 SSLOptions +StdEnvVars +ExportCertData … </VirtualHost> </IfModule> 在执行我的curl命令后,我看到$_SERVER['SSL_CLIENT_CERT']variables是空的: Array ( [HTTPS] => on [SSL_TLS_SNI] => example.com [SSL_SERVER_CERT] => — REDACTED — [SSL_CLIENT_CERT] => [HTTP_USER_AGENT] => curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3 [HTTP_HOST] => […]
我面临非常奇怪的情况。 我已经在我的本地/ dev机器上使用keytool命令创build了keystore + CSR。 我从https://www.thawte.com/获得了SSL证书。 我已经成功导入了证书并在本地/ dev tomcat上进行了configuration。 它也显示证书信息,这意味着证书是好的。 但是,问题是当我将相同的导入密钥库configuration到AWS中的Tomcat时,Tomcat不响应请求。 有人能帮我一下吗 ? 谢谢
在Azure中尝试部署SSL证书时,我已经多次遇到这种情况。 我已经创build了应用程序服务并应用了自定义域名。 然后去应用服务证书,并填写所有的信息,包括域名设置。 但是,在进行validation域证书时,它指出不存在分配了域名的应用程序服务。 我检查了一下,确认我没有拼错任何东西。 我也尝试手动validation,但仍然不能看到TXTlogging更新。 最后一次发生这种情况,它成功地发送电子邮件validation电子邮件给pipe理员,所以我们能够解决它(这也validation在这种情况下使用了正确的域名),但在这种情况下,pipe理员电子邮件是域名注册公司默认地址。 这有人遇到过吗? 是否有另一个解决方法? MS支持已经痛苦地慢我的门票回应。
我试图在基于名称的虚拟主机中启用SSL。 从文档我明白,SNI不需要明确启用,它会自动发生,如果服务器和客户端都符合最低要求,我认为他们这样做: Apache / 2.4.25(Win32) OpenSSL的/ 1.0.2k Firefox / 51.0.1(x64) 我把configuration剥离到最低限度: Listen 80 LoadModule ssl_module modules/mod_ssl.so <VirtualHost *:80> ServerName localhost DocumentRoot "D:/Servidores/Apache/htdocs" </VirtualHost> Listen 443 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4 SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4 SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 SSLPassPhraseDialog builtin SSLSessionCacheTimeout 300 <VirtualHost _default_:443> ServerName localhost DocumentRoot "D:/Servidores/Apache/htdocs" SSLEngine on SSLCertificateFile "D:/DOS/Apache24/conf/server.crt" SSLCertificateKeyFile "D:/DOS/Apache24/conf/server.key" </VirtualHost> SSLRandomSeed […]
我有本地密钥服务器,我可以访问使用http://serveraddress:11371 。 我想在该密钥服务器上启用TLS,我应该如何继续?
我正在尝试在我的apache2 web服务器上设置SSL,但它似乎根本不起作用。 我已经按照教程创build了openssl cert文件,并正确configuration了/etc/apache2/sites-available/default-ssl.conf 。 每次我尝试使用https打开我的网站时,由于安全问题,我的浏览器拒绝连接。 它说我没有正确configuration我的网站。 在我的/var/log/apache2/error.log我得到错误,说我的服务器证书不包括一个与服务器名称匹配的ID。 [Mon Apr 10 11:03:24.041813 2017] [mpm_prefork:notice] [pid 1222] AH00169: caught SIGTERM, shutting down [Mon Apr 10 11:03:30.566578 2017] [ssl:warn] [pid 661] AH01909: 127.0.0.1:443:0 server certificate does NOT include an ID which matches the server name [Mon Apr 10 11:03:31.579088 2017] [ssl:warn] [pid 1194] AH01909: 127.0.0.1:443:0 server certificate […]
看来最新版本的Chrome,Firefox和Vivaldi不再使用由Active Directory证书服务生成的域名证书,因为它们缺lesssubjectAltName。 我的问题是如何生成一个包含subjectAltName的“请求证书”? 我宁愿使用IIS向导。
我已经按照goDaddy网站上给出的信息获取SSL证书并安装它,但不成功。 我创build了密钥库: keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore D:\certificates\tomcat.keystore 产生了CSR: keytool -certreq -keyalg RSA -alias tomcat -file D:\certificates\bimacsr.csr -keystore D:\certificates\tomcat.keystore 在goDaddy网站上传CSR后,下载的证书下载到一个包含3个以下文件的zip文件中 – gd_bundle-g2-g1.crt gdig2.crt.pem 1c1f16606d7eadb7.crt 然后使用下面的三行安装并将证书导入到密钥库: keytool -import -alias root -keystore D:\certificates\tomcat.keystore -trustcacerts -file D:\certificates\gd_bundle-g2-g1.crt keytool -import -alias intermed -keystore D:\certificates\tomcat.keystore -trustcacerts -file D:\certificates\gdig2.crt.pem keytool -import -alias tomcat -keystore D:\certificates\tomcat.keystore -trustcacerts -file […]