我们将不得不通过我们正在开发的Web应用程序的PCI 3.1审计。 这是在Debian上运行的NGINX的Amazon EC2。 我们正在与赛门铁克联系以获取证书,我们对使用EV one和Wildcard的Secure Site Pro特别感兴趣(我们将有一台具有dynamic子域名的服务器,这就是为什么我们要考虑通配符) 我只是想确保我不会花费数千美元,并且发现这些对于PCI 3.1来说是不够的,或者NGINX和Debian的组合不会为这些types的证书工作。 有没有人有尝试成为符合PCI-DSS 3.1的经验,可以提供一些build议,我们应该得到哪些SSL证书?
我的SSL证书最近过期了,我一直在试图暂时禁用SSL,直到我可以重新获得它的东西继续redirect的子域WWW。 到HTTPS:// 这不是.htaccess文件,httpd.conf是使用VirtualHost为不安全连接build立的: <VirtualHost *:80> ServerAdmin [email protected] DocumentRoot /var/www/example.com/public_html ServerName www.example.com ServerAlias example.com ErrorLog /var/www/example.com/error.log CustomLog /var/www/example.com/access.log common <Directory "/var/www/example.com"> AllowOverride All </Directory> </VirtualHost> example.com工作正常,但是如果我访问www.example.com它redirect到HTTPS:// 还有什么呢?
我们运行SaaS(软件即服务)公司,允许多个客户在我们的应用程序中创build“网站”。 这通常会导致客户拥有一个网站,这是我们的主要域的子域。 例如:someclient.mybusiness.com 我们支持SSL进行结账,并拥有一个通配符证书,以便涵盖所有客户端(因为它们都在* .mybusiness.com上) 我们现在要开始提供自定义域名。 在这种情况下,客户仍然将其网站设置为某个客户端.mybusiness.com,但可以访问他们的主机提供商并创build指向某个客户端.mybusiness.com的CNAME。 所以,他们可以买到指向someclient.mybusiness.com的buystuff.clientsite.com。 我的问题是如何最好的支持那些想要使用自定义域选项的客户端的SSL? 我已经阅读了关于SAN的内容,但是我不确定那将如何与我们现有的通配符证书一起工作。 我也读过SNI,但这需要我们的客户购买他们自己的证书,我们的营销部门宁愿不这样做。 任何想法都非常感谢! 马特
我们的服务器不再使用SSL3.0或TLS1.0。 当较旧的浏览器尝试连接并使用https进行请求时,会显示“页面无法显示”消息。 我想将它们redirect到一个http页面,以指导升级浏览器,或者在IE 9或10的情况下启用TLS1.1和1.2。 这可能吗? 任何想法如何做到这一点?
我正在运行一个Nginx反向代理的网站https://telerandom.com (NodeJS服务器,端口9576)。 它通常工作,但有时它会开始拒绝来自某些用户的所有SSL连接(而对于其他人而言,这是完全正常的)。 这个拒绝SSL连接的时间通常会持续大约45分钟,然后事情恢复正常。 我注意到同一networking上的设备(例如我的笔记本电脑和同一WiFinetworking上的手机)同时遇到这些故障。 但是,如果我要断开手机与WiFi的连接并使用手机数据,则可以正常连接到网站。 端口80和443都在服务器上打开。 当连接被拒绝时,我在错误日志中得到这些消息: 2015/07/24 20:36:19 [debug] 1695#0: *92 post event 0000000002327BB0 2015/07/24 20:36:19 [debug] 1695#0: *92 post event 000000000233B3C0 2015/07/24 20:36:19 [debug] 1695#0: *92 delete posted event 000000000233B3C0 2015/07/24 20:36:19 [debug] 1695#0: *92 http run request: "/socket.io/?EIO=3&transport=websocket&sid=_32mgWR6o50vOl7pAAAC" 2015/07/24 20:36:19 [debug] 1695#0: *92 http upstream process upgraded, fu:1 2015/07/24 20:36:19 [debug] […]
我已经在Cloudflare上设置了我的新域名,但在设置SSL证书时遇到问题。 详细地说,我想问一些想看我的网站内容的访问者有效的证书。 当我不使用CloudFlare DNS时,此设置正常工作 Centos 6.7 apacheconfigurationssl ssl.conf SSLCertificateFile server.crt SSLCertificateKeyFile server.key SSLCACertificateFile RootCA.crt SSLVerifyClient require SSLVerifyDepth 10 SSLOptions +ExportCertData +StdEnvVars 但是,当我使用CloudFlare与SSL设置错误已满。 Error 525 Ray ID: 21ab2f6f25a711f5 • 2015-08-24 01:11:48 UTC SSL handshake failed 我该如何解决这个问题? 先谢谢了。
我们为我们的服务器群集提供* .mycompany.com的通配符证书。 我想在我的桌面上设置一个开发环境,复制我们的服务器,https和所有我可以testing一些API。 如果我的桌面自我报告主机/域名,那么在这台机器上使用我们的authentication会出现问题,比如https://mylaptop.mycompany.com ? 我只会从本身或局域网访问https://mylaptop.mycompany.com 。
运行Ubuntu 14.04 64位。 apt-get install build-essential -y apt-get install libssl-dev -y apt-get install wget -y cd srv wget https://www.stunnel.org/downloads/stunnel-5.23.tar.gz tar -xzf stunnel-5.23.tar.gz rm stunnel-5.23.tar.gz cd stunnel-5.23 ./configure make make install rm -r stunnel-5.23 我似乎无法find/etc/stunnel目录?
目标:对我的开发Tomcat服务器使用自签名的证书。 第1步:使用此Ubuntu证书指南,使用openssl创build证书 : openssl req -new -key server.key -out server.csr 我遵循自签名的NO密码指导。 步骤2:更新Tomcatconfiguration文件/etc/tomcat7/server.xml <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" keystoreFile="/etc/ssl/private/server.key" keystorePass="" maxThreads="150" scheme="https" secure="true" protocol="org.apache.coyote.http11.Http11AprProtocol" clientAuth="false" sslProtocol="TLS"/> 第3步:重新启动Tomcat: sudo service tomcat7 stop sudo service tomcat7 start 在另一台计算机上通过Chrome浏览器testing 所有到服务器的SSL连接都被拒绝 ,但标准的http连接正常工作。 Chrome中的错误详情: Google Chrome's connection attempt to [domain] was rejected. The website may be down, or your network may not […]
我最近对运行Web应用程序的服务器进行了一系列升级: PHP 5.3到PHP 5.5 Apache 2.2到Apache 2.4 更确切地说,升级要求卸载Apache,PHP和所有mod(包括mod_ssl),并安装新版本。 在安装更新ssl.conf与我的证书/ PK的path更新之前,当试图启动Apache,我在ssl_error_log得到以下3个错误: AH02561: Failed to configure certificate [theserver]:443:0, check [/path/to/me/crt] SSL Library Error: error:0906D066:PEM routines:PEM_read_bio:bad end line SSL Library Error: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib 我的第一个猜测是为什么重新安装改变了环境,使得证书在服务器上不再有效。 我可以重新发布,但在我的情况下,这意味着我的生产环境中有一些停机时间,并重新configuration一个负载均衡器,如果情况并非如此,我想避免这种情况。 这个证书是否需要辞职/重发,还是我在看另一个错误?