我们目前有一个nginx服务器作为4-5个Apache服务器的后端代理运行。 我的问题是,在安装ssl证书后,我testingssl连接时出现以下错误:openssl s_client -connect xxx.xxxxxxxxx.xxx:443 | 更多 Verify return code: 21 (unable to verify the first certificate) SSL是通过RapidSSL购买的。对于SSL代理,nginx的configuration如下: server { listen 443 ssl; server_name _; access_log /var/log/nginx/ssl-access.log; error_log /var/log/nginx/ssl-error.log; ssl on; ssl_certificate ssl/wildcard-xxxxxxx.xx.xx.crt; ssl_certificate_key ssl/wildcard-xxxxxxx.xx.xx.key; keepalive_timeout 60; location / { proxy_pass https://backend; } } 我可以validation后端服务器返回ssl连接正常 Verify return code: 0 (ok) 如果任何人能够给我一个头或一个指出将不胜感激。 Thnx,David
我们有一堆SSH,GPG,SSL和其他私钥,显然: 只能提供给尽可能less的人 如果硬盘死亡或者build筑物被烧毁,就不能“丢失”(因为很多数据本来是不可解读的) 即使负责人生病或受到巴士的撞击,或是要支付百万美元的加薪,也必须可以收回 这里最好的做法是什么? 你把它们存放在一堆闪存U盘中放在安全的地方吗? 你有拷贝吗? 多less副本,以及如何确保他们保持同步(密钥过期,被取代,新的密钥被添加等)你encryption他们? (什么,你怎么引导?) 我没有提供任何有用的实用信息,所以我对所有可以学习的经验,好,坏等感兴趣。 另外,是否有任何开源软件可以帮助这个?
我遇到了一个有趣的问题,我的一个Web服务器在网站的HTTPS部分发生404错误。 这里是我们如何设置,我们有一个单一的网站设置,没有主机头设置,并configuration为接受任何请求*。 我们刚刚在这个服务器上安装了第二个IP地址,因为我们要部署另一个网站,我们需要将新的SSL绑定到它,我们在服务器上安装了两个SSL证书,但只有一个绑定到IP因为它是当前运行的网站。 我们运行一个代码库,这样两个站点将运行在一个单独的.Net工作进程(我们把它设置为一个networking农场),应用程序处理加载哪个站点的url请求,这是一个附注有些我们是如何做事的。 因此,因为添加第二个IP地址,我现在从IIS HTTPAPI(它不会发生所有的时间间歇性)404错误,httperr日志显示这很清楚,我们的其他服务器没有这样做,因为他们只有1 IP地址在此刻。 我厌倦的一件事就是使用appcmd命令将URL绑定到SSL证书上,我认为这个命令可以解决问题,但是还没有,我还有一些其他的想法,但是我想把它放在那里看看是否有其他人跑过这个问题以及解决它的方法。 我得到第二个服务器设置与第二个IP地址,以查看是否也这样做,我将添加一个主机头到站点,并将其绑定到SSL的IP地址。 任何build议,这将是超级! 另外,为什么不花一些时间去听一首经典的歌曲呢:) http://grooveshark.com/s/Missing+Link/2GNh7?src=5
我有一个由Godaddy颁发的Multi-SAN证书,有四个主题备用名称。 要在Exchange环境中使用它,我已将外部主机名和内部主机名作为SAN添加到交换箱中 – 因此,内部和外部OWA用户都可以访问服务器而不出现证书错误。 我现在已经在环境中添加了Lync服务器,并在该机器上popup相同的证书,希望使用其他SAN名称之一提供该服务。 Lync用户可以很好地连接,而且一切似乎都很好 – 但是OWA集成仅仅是失败了,而“即时消息不可用”的错误信息。 我怀疑同一个证书同时在OWA框和Lync框(尽pipe引用同一证书的不同SAN)的事实是问题所在。 有什么build议么?
我有一个apache 2主机与商业(rapidssl)签署的证书运行,我需要生成客户端证书进行身份validation。 我创build了一个CA(根据http://www.cafesoft.com/products/cams/ps/docs30/admin/ConfiguringApache2ForSSLTLSMutualAuthentication.html )并相应地修改了我的apacheconfiguration文件。 <VirtualHost *:443> Servername SITEtest.XXX.com DocumentRoot /SITE/html CustomLog /SITE/html.log vhost_combined SSLEngine on SSLCertificateFile /etc/apache2/ssl/comercialcert.cer SSLCertificateChainFile /etc/apache2/ssl/comercialcert.int SSLCertificateKeyFile /etc/apache2/ssl/comercialcert.key <Directory /SITE> AllowOverride All SSLRequireSSL SSLCACertificateFile /etc/apache2/ssl/selfsignedcaCA.crt SSLVerifyClient require SSLVerifyDepth 1 SSLOptions +StrictRequire +StdEnvVars +ExportCertData +FakeBasicAuth </Directory> </VirtualHost> 我用相同的CA导入了一个pkcs12文件到我的浏览器。 每当我尝试访问我得到的错误“重新谈判握手失败:不被客户端接受!? 在Apache错误日志。 如果我在SSLCertificateFile中使用由我的CA生成的证书,但没有按预期工作,浏览器将Web服务器证书识别为自签名,则一切正常。 更多细节: Apache / 2.2.9(Debian Lenny)mod_ssl / 2.2.9 OpenSSL / 0.9.8g
我读过IFD Dynamics部署的最佳做法是使用ADFS2.0并使用通配符SSL证书进行locking。 我想用于Dynamics部署的域名与我的Active Directory林不一样。 我希望Dynamics能够使用我的公司.com地址,而不是使用Active Directory的.net。 这可能吗?
我试图将用户redirect到server2一个子域名,如果他们向server2发出https请求。 我只有一个证书,并安装在server2 。 例如,从(server1) https://www.example.com到(server2) https://ssl.example.com 我最好的猜测是,我将需要https://www.example.com的证书,因为主机名是在HTTP标头内部encryption的,所以我的服务器在解密之前不会知道redirect。 但是,我很好奇,如果没有两个证书这是可能的?
我们正在构build一个Web服务,将部署在IIS 7.5服务器场中,并通过SSL进行安全保护,同时还要求客户端证书将映射到Active Directory帐户。 我的理解是,服务器证书需要为特定的服务器生成。 如果是这种情况,那么我们需要服务器场中每个服务器的服务器证书。 由于农场将负载平衡,我们如何生成可与农场中的任何服务器一起使用的客户端证书?
我正在从自签名证书迁移到签名证书。 我正在使用namecheap和正面的SSL。 有Apache + OpenSSL和Apache + mod SSL的选项。 我的印象是,mod SSL只是使用了OpenSSL的function。 我打算使用类似于以下内容的方式生成密钥/证书: touch smtpd.key chmod 600 smtpd.key openssl genrsa 2048 > smtpd.key openssl req -new -key smtpd.key -x509 -days 365 -out smtpd.crt # has prompts openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 365 并把它们放在适当的地方。 我应该select哪个选项来完成该过程? 我正在使用openssl来创build证书,但在Apache服务器中启用了mod ssl。 或者我正确地假设这两个选项完全相同的事情。
我正在寻找分发ssl客户端证书给Citrix用户。 我知道,每个用户,我可以运行这个: certutil –f –p 12345 –importpfx C:\cert.pfx 以上将证书安装到用户个人商店,这将允许他们访问,但很难为许多用户pipe理。 我想知道是否有另一个存储在服务器上,我可以安装SSL证书,将允许所有用户访问SSL证书? 或者,如果有更好的方式为每个用户分发客户端证书? 谢谢!