我有一个IP地址的Apache服务器。 (在debian服务器上)。 我有几个虚拟主机的HTTP和一个虚拟主机的HTTPS 一个虚拟主机,将stream量redirect到https虚拟主机,这工作正常,就像这样 <VirtualHost *:80> ServerName mymainsite.com ServerAlias www.mymainsite.com ServerAlias myothersite.org ServerAlias www.myothersite.org RewriteEngine on RewriteRule ^(.*)$ https://www.mymainsite.com$1 [L,R=301] (…) 我有另一个https的虚拟主机,像这样 <VirtualHost *:443> ServerName www.mymainsite.com (…) 这工作正常,所有非https是forwared到HTTPS,这是超..但随后的问题。 有些时候人们去这个urlhttps://www.myothersite.org 这是由https虚拟主机回答,并创build一个“错误的证书”错误。 问题是:有没有办法来防止这种情况,没有使用第二个IP地址,或购买多个url或通配符SSL证书? 编辑:只删除一些额外的文字
CRLvalidation错误的可能原因是什么? 我使用自签名的CA来运行networking。 但是三周前,我的所有 RDP客户都开始说他们没有validationCRL。 我认为托pipeCRL的networking服务器已经死机,但事实上并非如此。 我可以没有问题地访问CRL。 错误首先开始时,我完全没有与CRL做任何事情。 谷歌给了我一点线索,大部分解决scheme都是closuresCRLvalidation。 但是我想要真正解决它,而不是忽略它。 我试图重新生成的CRL文件,但没有奏效。 openssl -gencrl -out crl/crl.pem 以上是我用来生成CRL的命令,很简单。 这是我生成第一个CRL时所使用的命令。 但这次产生的CRL不起作用。 还有什么我应该找的?
我已经从Comodo购买了一个证书,我在他们的网站上关于如何在我的nginx上configuration证书的文章 。 问题是,这个configuration,主要是密码列表,是最新的吗? #enables all versions of TLS, but not SSLv2 or 3 which are weak and now deprecated. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #Disables all weak ciphers ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256: ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256: DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA: ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384: AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA: AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL: !EXPORT:!DES:!MD5:!PSK:!RC4"; 文章date是2011年7月27日16:28,已经快四年了。
我们有一个GoDaddy通配符证书,我们已经安装到Exchange 2010中,并成功地用于OWA的IIS连接。 我们已经将此证书分配给SMTP服务以及IIS,但似乎没有取消分配默认的自签名证书。 自签名证书已分配给SMTP,IMAP和POP(我们无法使用IMAP和POP的通配符证书,因为它是通配符)。 是否可以从SMTP服务取消分配自签名证书? 我发现的唯一文档与完全删除证书有关。
我目前有两台运行在这里和这里的 Apache服务器,都使用由StartSSL签名的SSL证书。 下面的Apache SSLconfiguration: ## SSL directives SSLEngine on SSLCertificateFile "/etc/certificates/thor.vikingserv.net/certificate.crt" SSLCertificateKeyFile "/etc/certificates/thor.vikingserv.net/private.key" SSLCertificateChainFile "/etc/certificates/intermediate/startssl-class-1.crt" 服务器证书和中间证书都是SHA-256,但是我的Linux工作站上的CA证书是SHA-256,而我的MacBook上是SHA-1。 我可以在Apache中使用SSLCACertificatePath指令来强制执行SHA-256 CA证书,但这是否会覆盖与操作系统一起分发的根证书?
我购买了对www.example.com和example.com均有效的证书。 我的服务器只能用“www.example.com”(ssl工作正常),但是在浏览器上input“example.com”时什么也没有显示。 这里是我的Apache文件configuration基本上是相同的虚拟主机两次,但与不同的ServerName Define APACHE_LOG_DIR /var/log/apache2 Define SSLCERTIFICATE /etc/apache2/ssl/mycertificate.crt Define SSLKEY /etc/apache2/ssl/mykey.key <IfModule mod_ssl.c> <VirtualHost *:443> ServerAdmin [email protected] ServerName www.example.com DocumentRoot /var/www/site2/ ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLEngine on SSLCertificateFile ${SSLCERTIFICATE} SSLCertificateKeyFile ${SSLKEY} <FilesMatch "\.(cgi|shtml|phtml|php)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory /usr/lib/cgi-bin> SSLOptions +StdEnvVars </Directory> <Directory /> Options FollowSymLinks AllowOverride All </Directory> <Directory "/var/www/site2"> Options Indexes FollowSymLinks […]
我们使用Nginx作为我们Web应用程序服务器的反向代理。 Nginx处理我们的SSL等,但否则只是作为一个反向代理。 我们希望为/jsonrpc请求提供有效的客户端证书,但不要求在其他地方使用它们。 我们find的最好的方法是 server { listen *:443 ssl; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_client_certificate /etc/nginx/client-ca.crt; ssl_verify_client optional; location /jsonrpc { if ($ssl_client_verify != "SUCCESS") { return 403; } proxy_pass http://localhost:8282/jsonrpc-api; proxy_read_timeout 90; proxy_redirect http://localhost/ $scheme://$host:$server_port/; } } 这对大多数浏览器来说都是正常的,但是一些浏览器(如Safari和Chrome上的Android)最终会提示用户提供一个客户端证书,无论他们去哪里。 除了我们的/jsonrpc位置,我们如何让Nginx接受但并不真正关心客户端证书?
我对openssl知之甚less,所以我想知道openssl genpkey的默认参数是否足够安全。 如果我运行openssl genpkey -algorithm rsa我得到一个私钥。 但这样使用很好吗? 我甚至不知道rsa是否是在该命令中使用的正确值。 似乎有大量的openssl的选项,所以你可以帮助解释什么选项通过,以确保安全?
我试图在stunnel后面获得一个rethinkdb集群。 该服务需要支持多个证书颁发机构(CA)。 目前,我将接受的CA连接成一个文件(/certs/ca.pem),但是stunnel似乎只接受匹配文件中第一个证书的连接。 我的stunnelconfiguration: foreground = yes sslVersion = TLSv1.2 options = NO_SSLv2 options = NO_SSLv3 [driver] client = no accept = 28415 connect = 127.0.0.1:28015 cert = /certs/server.pem key = /certs/server-key.pem CAfile = /certs/ca.pem verify = 2 Stunnel版本5.06 Stunnel的日志: 2016.02.18 22:18:51 LOG5[18]: Service [driver] accepted connection from 209.136.228.130:58728 2016.02.18 22:18:51 LOG4[18]: CERT: Verification error: […]
在服务器端强制执行严格的传输安全措施之后,它也会将https强制转移到端口8161,这当然会导致失败。 我按照这个说明启用端口8162上的activemq控制台上的https,它的工作原理: http://activemq.apache.org/web-console.html 然而,这也是因为hsts强制证书是有效的,这意味着相同的网站,而不是一个蛇油证书 如何在configurationssl时使用与apache或postfix相同的configurationforms? 我有三个文件: SSLCertificateFile file.crt SSLCertificateKeyFile file.key SSLCertificateChainFile bundle.crt 我想让activemq使用这三个文件。 我一直在环顾网上密钥库和其他一些事情,但他们都带我圈出告诉我如何生成密钥,但是我不想生成密钥或证书,但使用我已有的东西。