我需要在我的apache2 ubuntu上安装一个ssl,不知道我错了什么,但事实是,我没有得到…我有相关的文件:一个.key文件和两个.crt文件。 起初在编辑apache2configuration文件的时候添加对应的ssl虚拟主机; 重新启动Apache,我返回错误:键值不匹配。 因此,我运行以下命令来检查密钥: openssl x509 -in -noout -modulus your_domain_com.crt | openssl md5 openssl rsa -in -noout -modulus your_domain_com.key | openssl md5 我的错误是,我没有采取正确的.crt文件。 解决这个错误之后,现在证书似乎安装正确,但是当我去的url: https://midominio.com 浏览器告诉我,证书是错误的:地址错误。 我看到了证书的详细信息,事实certificate,颁发证书的域名是不同的域名! …而不是我的域名…所以我检查我的Windows系统(我的笔记本电脑)的证书,它说证书颁发的域是正确的域… 这是怎么回事? 任何帮助? 非常感谢你提前。
我试图设置stunnel来提供一个TLS包装到HTTP本地支持TLS的服务。 没有使用TLS客户端证书,我可以很好地工作。 添加客户端证书configuration时: CAfile = /path/to/trusted.crt verify = 4 我似乎无法连接使用openssl s_client 。 (请注意,我有点作弊 – 使用我的TLS服务器的证书作为客户端证书,但证书说,它有一个X509v3 Extended Key Usage: TLS Web Client Authentication, TLS Web Server Authentication ,所以我图它应该工作。) $ openssl s_client -state -connect [my-host-name]:[port] -cert [my-host-name].crt -key [my-host-name].key-nopass CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A depth=2 C = IL, O […]
我在/etc/apache2/sites-available/有一个xxx-ssl.confconfiguration,其中包含以下SSL选项: SSLEngine on SSLCertificateFile /var/www/ssl/webserver_cert.der SSLCertificateKeyFile /var/www/ssl/webserver.key SSLCipherSuite NULL-SHA 密钥文件和证书文件已到位。 虚拟主机(xxx-ssl.conf)使用a2ensite命令启用。 Apache服务器重新加载。 不幸的是它无法启动 – 错误日志显示如下: [debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA] [error] Unable to configure permitted SSL ciphers [error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format – or even just a forgotten SSLCertificateKeyFile? [error] SSL Library Error: 151441516 […]
我有一个IIS 8(赢得2012 R2)服务器,我想绑定到2个不同的域和2个不同的证书相同的网站。 由于域是不同的FQDN,我不能使用通配符。 如果我为https和端口443添加2个绑定,我不能select2个不同的证书(当我改变一个绑定它改变另一个)。 有没有办法解决这个问题,而不使用不同的端口或拆分到2个不同的网站? 谢谢!
我只需要启用客户端证书validation,仅用于来自我们内部网之外的请求,而不validation来自例如192.168.0.0/24的请求。 我试图使用geo模块来定义内部子网的variables。 在http上下文中: geo $intranet { default 0; 192.168.0.0/24 1; } 在server环境中 if ($intranet != 1) { ssl_verify_client on; } 但是在if语句中使用ssl_verify_client指令是不可能的。 我收到一个错误: “ssl_verify_client”指令在这里是不允许的 有没有其他的方法来做到这一点?
我有一个完全更新的运行Apache 2.4.23的Arch Linux服务器。 在过去,我已经成功地使用StartSSL在我的Apache Web服务器上启用HTTPS。 但是现在我想切换到Let's Encrypt。 使用certbot standalone,我已经产生了这些文件: /etc/letsencrypt/live/[my domain]/cert.pem /etc/letsencrypt/live/[my domain]/chain.pem /etc/letsencrypt/live/[my domain]/fullchain.pem /etc/letsencrypt/live/[my domain]/privkey.pem 这里是我的Apache SSL指令: SSLEngine on SSLCertificateKeyFile /etc/letsencrypt/live/[my domain]/privkey.pem SSLCertificateFile /etc/letsencrypt/live/[my domain]/cert.pem SSLCertificateChainFile /etc/letsencrypt/live/[my domain]/chain.pem # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security "max-age=15768000" SSLProtocol +TLSv1.2 我仔细检查了[我的域名]是否正确,并重新启动Apache没有产生任何错误,但试图到达我的服务器,现在我的networking浏览器给我“无法连接”错误。 我错过了什么吗? 谢谢!
我有一个开发版本的Django网站,域名为“mysite.com”,我曾经通过URL“ http://web01.mysite.com ”访问我的网站。 我刚刚安装了通配符数字证书,现在我无法访问该网站。 如果我使用“ https://web01.mysite.com ”或“ http://web01.mysite.com ”,我会得到一个快速的“ERR_CONNECTION_REFUSED”消息。 我已经阅读了Nginx的SSL文档,在Nginx上设置了许多关于SSL的博客文章,并且研究了这个错误,但我无法弄清楚什么是错的。 我的服务器是Debian 8.7。 我正在运行Nginx 1.6.2,“–with-http_ssl_module”是configuration参数之一。 我也使用默认的nginx.conf文件。 nginx进程在默认帐户“www-data”下运行。 我的证书和私钥文件位于以下目录中: drwr-xr-x root root /srv/ssl/mysite.com/ 这里是我的捆绑证书和私钥文件驻留在上述目录中: -r–r—– root www-data ssl-bundle.crt -r–r—– root www-data mysite.com.key 当我configuration通配符证书时,我指定“* .mysite.com”作为通用名称。 这是我的/etc/nginx/sites-enabled/mysite.conf文件: server_tokens off; upstream gunicorn { server 127.0.0.1:8000 fail_timeout=0; } server { #listen 80; listen 443 ssl; server_name web01.mysite.com; ssl_certificate /srv/ssl/mysite.com/ssl-bundle.crt; ssl_certificate_key /srv/ssl/mysite.com/mysite.com.key; […]
当我试图运行以下命令来发出一个新的私钥,我用它来通过SSL托pipe我的Web应用程序: openssl genrsa -out example.key 2048 ,发生以下错误: 无法写入“随机状态”e是65537(0x10001) 在Web上挖掘出来之后,我find了一个解决scheme ,指导您删除~/.rnd文件,这个文件很可能是由root拥有的。 sudo rm ~/.rnd 但是,如果使用sudo发出openssl命令,则发现不需要删除~/.rnd 。 所以我的问题是: 什么是~/.rnd ,为什么它存在于我的环境中? 哪一个更好的方式来发行一个新的私钥?
我正在尝试以下内容: [~/letsencrypt]# ./certbot-auto renew No renewals were attempted. [~/letsencrypt]# ./certbot-auto renew –force-renewal No renewals were attempted. 但是,我没有任何一个成功。 服务器正在运行Apache。
生成客户端证书通过成为您自己的CA与Apache Web服务器是微不足道的工作,并有大量的文件如何实现这一点。 我的问题稍有不同。 我有几个客户想要拥有自己的PKI基础设施。 他们希望能够生成自己的客户端证书并撤消它们。 我们的networking服务器仍然负责授权他们访问我们的networking服务。 任何人都可以听到我可以看到的一些可能的解决scheme吗? 我看到Apache 2.3有一些SSLOCSP *相关的指令( http://httpd.apache.org/docs/2.3/mod/mod_ssl.html ),但我并不是完全兴奋使用Apache 2.3甚至更多,所以,它看起来像浏览器对SSLOCSP *有限制,我们正在处理那些不能接受的客户端。