我想只在SSL中使用我的网站,但与cloudflare我所有的子域不受信任(我认为是因为不在“cloudflare”DNS(logging由橙色混浊))。 如果我手动添加子域名示例“test.website.com”橙色混浊SSL正常工作。 我已经订购了一个边缘证书,但没有解决我的问题。 如何在没有Cloudflare DNS(橙色混浊)的情况下在所有子域名上使用通配符SSL? (我尝试SSL“灵活”和“严格”,我已经在我的nginx上添加了证书,目前我使用“严格”的SSL)
我正在运行一个拥有多个子域的网站,每个都有自己的SSL证书。 现在是更新的时候了,尽pipe当前的证书使用SAN,并且每个子域都有一个条目,但我质疑这种方法的便利性 – 因为我可以find三个单独的SSL证书,显然比单个具有3xSAN条目的SSL更便宜。 我正在使用IIS 8.5。 去多个单独的SSL有什么特别的缺点?
我正确地从Windows www.omniservice2.it服务器上的Aruba Business购买了我的域名www.omniservice2.it的SSL证书。 我正确地在IIS 8上安装了每个站点和Web应用程序中的证书,事实上它们中的每一个都可以从https正确访问。 现在,我需要在IIS 6中为我的SMTP服务器设置相同的设置。SMTP基本身份validation正常工作,但显然我想要encryption凭据。 所以,我在其属性下激活了标签访问中的标志“需要TLSencryption”。 此外,在根控制台中,我做了以下检查证书安装在个人存储(否则IIS 6将不会检测到文档说)文件 – >添加/删除pipe理单元 – >select证书 – >计算机帐户 – >本地计算机 – >确定在控制台根目录下,我看到证书(本地计算机) – >个人 – >证书正确的RapidSSL SHA256 CA我买了正确的截止date。 问题是,在“安全通信”一节中,我仍然读“TLS不可用没有证书”我也应该在哪里安装该证书,以便IIS 6检测到它?
我正在使用ssl-cert-check来跟踪我的域名证书列表。 在我的crontab中,我将它设置为静默运行,并通过电子邮件将域名过期,但是我用来debugging的命令是: ssl-cert-check -f ssldomains.txt -x 21 -i 它正确读取文件并检索整个列表的证书,但它似乎没有得到由LetsEncrypt.org颁发的证书的正确失效date 其他证书提供者似乎不受此问题的影响。 例如,2017年3月24日我浏览器中检查的证书将于2017年1月15日到期。 我正在用nginx服务。 为什么CLI工具会检索错误的失效date,我该如何纠正?
以下是我所做的: 我用我的SSL证书/密钥安装nginx,一切运行良好。 我得到了我想要的安全连接。 在其他一些安装过程中,我必须回到没有证书的普通http。 我又转回到ssl。 现在发生的是 如果我使用新的PC(甚至是新的浏览器),我可以毫无问题地进入网站,证书在所有浏览器上都是有效的和可识别的。 但是,在我的工作站上,我不能,我猜是因为我之前在Chrome中input了它(步骤1之后)。 安装Firefox,我也没有得到错误。 重复步骤2和3,Firefox声明给出了相同的错误。 所有SSL证书检查器均显示网站的有效SSL状态。 我将不胜感激任何帮助。 谢谢!
我有两个域example.com和example.org 。 两个域指向同一个静态IP的服务器。 第一个configuration文件(例如example.com ): # /etc/nginx/sites-enabled/example.com.conf # Catchall for all non-existent domains server { return 404; } # Should redirect http://example.com to https://example.com server { listen 80; server_name example.com; return 301 https://$server_name$request_uri; } # Should redirect http://www.example.com to https://www.example.com server { listen 80; server_name www.example.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; […]
我正在将configuration从单个主机切换到nginx服务器上的多个虚拟主机。 直到我的更改,ssl工作正常,但添加几个虚拟主机,每个具有独特的域名和 – 因此,不同的证书,ssl不希望工作。 我原来的configuration是: # fragment of nginx.conf file http { # … ssl_certificate_key /path/to/privkey.pem; ssl_certificate /path/to/fullchain.pem; ssl_dhparam /path/to/dhparam; # … } 所以,这是nginx服务器的单个证书。 添加几个虚拟主机后,我希望他们为他们的域提供自己的,正确的证书。 所以我从主nginx.conf文件中删除了所有与ssl相关的参数,并将它们添加到虚拟主机文件中: # fragment of sites-enabled/my.server.com file server { listen 443 ssl; root "/var/www/my.server.com/"; server_name my.server.com www.my.server.com; location / { try_files $uri $uri/ /index.html; } ssl_certificate_key /path/to/my/server/com/privkey.pem; ssl_certificate /path/to/my/server/com/fullchain.pem; ssl_dhparam /path/to/my/server/com/dhparam; […]
我的公司已经向默认使用http的客户提供了基于Tomcat / MySQL的应用程序。 在客户的要求下,我通过创build一个自签名证书来启用它。 这在使用自签名证书时受到预期的浏览器错误的影响。 在笔testing后,他们决定我们需要禁用一些弃用的SSL协议和密码,所以我修改了我的tomcat server.xml中的ssl连接器,如下所示: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_WITH_AES_128_GCM_SHA256" keystoreFile="/path/to/keystore/file" keystorePass="password" /> 这满足了笔testing和应用程序继续在所有三个主要的浏览器(铬,火狐和IE)工作。 然而,钢笔testing也标志着我们理想情况下不应该使用自签名证书,所以通过遵循这些 指南 ,我创build了一个CSR,并让客户创build一个签名到他们内部域的证书(服务器可以被访问几个不同的URL,因此需要创build一个与SAN的CSR)。 我将证书添加到一个新的密钥库,并适当地修改了server.xml文件中的path。 现在,当我尝试连接时,我得到以下错误(这是来自Firefox,但所有浏览器产生类似的错误): 安全连接失败 连接到172.31.1.36:8443期间发生错误。 无法与对等端安全通信:没有常用的encryptionalgorithm。 错误代码:SSL_ERROR_NO_CYPHER_OVERLAP 您尝试查看的页面无法显示,因为收到的数据的真实性无法validation。 请联系网站所有者告知他们这个问题。 我的理解是,证书不能控制什么密码或协议应该使用,所以我不明白为什么会发生这种情况。 这是我在制作CSR时犯的一个错误,还是客户在生成证书时犯的错误? -编辑- 我似乎在任何地方都会遇到错误。 如果我试图将密钥导入到密钥库,我得到这个: cat <keyfile> | openssl pkcs12 -export -out <keystore>.p12 Enter pass phrase: unable to load certificates 或这个: keytool […]
假设我们在2 apache前面有haproxy: +—-> Apache (10.0.0.2) Haproxy (10.0.0.1) –| +—-> Apache (10.0.0.3) Haproxy被configuration为负载平衡基于URI的stream量(需要看到URI,所以必须看到HTTP的内容) Apache正在托pipe大量的域名 每个域都可以通过haproxy通过HTTPS访问,卸载SSL并启动到Apache的HTTP连接 每个域都有自己的SSL证书(无SAN或通配证书) 我看到Haproxy允许我们提供一个包含许多证书的目录,但是我没有设法使用另一个单一的证书。 这是我的(简化)configuration: global […] # Default SSL material locations ca-base /etc/ssl/certs crt-base /etc/ssl/private # Default ciphers to use on SSL-enabled listening sockets. ssl-default-bind-options no-sslv3 ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS # For backends connections ssl-default-server-options no-sslv3 ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS frontend https_frontend bind 10.0.0.1:443 ssl crt […]
是否有可能在用户连接到RDP时更新Windows Server 2012 R2上的远程桌面服务使用的证书而不断开连接? 我认为对现有的连接是透明的,新的证书将用于新的连接,但我不确定。