我有两个不同的域 – thisdomain.com和portal.thisdomain.com 。 但只有一个面向公众的IP地址。 每个域都有自己的SSL证书,但共享相同的中间CA. 使用相同的IP地址(并且NGINX HTTP服务器支持SNI),我想为网站URL的不同部分提供一套不同的TLSv1.2-only密码/散列/ MAC。 NGINX是否能够支持不同的密码/哈希/ MAC: 同一个域的不同子域? 和/或 不同的同一个域的URL子目录? 而使用相同的IP地址? 在不同域的例子中, https://portal.thisdomain.com/能够通过https://thisdomain.com拥有自己的密码/哈希/ MAC设置? 在不同的URL 子目录的例子中, https://thisdomain.com/portal可以通过https://thisdomain.com/拥有自己的密码/哈希/ MAC?
在实施客户端TLS证书时,浏览器始终会显示一个popup窗口,显示可用(以及可能合适的 ?)证书。 有没有办法让服务器请求一个特定的证书,而不用通过popup窗口即可立即提供的浏览器? 维基百科关于客户端authentication的文章描述了交易图,但没有太多的细节: 服务器从客户端请求证书,以便可以使用证书请求消息来相互validation连接。
我有一个标准的亚马逊AMI(由亚马逊创build的),它已经安装了Apache。 我们需要通过这些步骤来更新我所做的SSL证书 我之前做过这个,所以我觉得我没有做错什么。 步骤基本上包括:1)openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr 2)更新/etc/httpd/conf.d/ssl.conf文件。 3)重新启动服务httpd 但重启后httpd即sudo服务httpd重启。 该服务停止罚款,但没有再开始。 这是我收到的错误。 [ec2-user@******* conf.d]$ service httpd restart Stopping httpd: [FAILED] Starting httpd: [Tue Dec 06 20:38:28 2016] [warn] module ssl_module is already loaded, skipping [Tue Dec 06 20:38:28 2016] [warn] _default_ VirtualHost overlap on port 443, the first has […]
我有一个服务器与postfix和纯文本身份validation。 它接受TLS和非TLSauthentication。 如何强制服务器拒绝所有非TLS查询,以便邮件用户在login时不会以明文forms发送用户名和密码? 要明白,如果[email protected]是收件人, [email protected]本地发件人: 我想要这个命令工作(因为有–tls选项): swaks –tls –to [email protected] –from -a [email protected] -auth CRAM-MD5 –auth-user [email protected] 和那个命令失败(因为–tls缺失): swaks –to [email protected] –from -a [email protected] -auth CRAM-MD5 –auth-user [email protected]
我们有一个应用程序,真正长期的故事是,必须以这种方式设置的东西,以便应用程序的其余部分不会失败。 我们有一个域名 https://开头SERVER01 / AppNet 在IIS中,443绑定设置为使用以下证书: CN = Server02上 当我打开页面 https://开头SERVER01 / AppNet 我收到一个SSL警告 我发现这篇文章 https://superuser.com/questions/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain 但是想避免的部分是: “不幸的是,这也会阻止浏览器对所访问的其他站点的地址不匹配抱怨,这并不理想,但是在使用IE时,这是一种权衡。 我也按照下面列出的步骤,但仍然给错误 修复1 – 安装证书 右键单击“Internet Explorer”图标,然后select“以pipe理员身份运行”。 访问网站,然后select“继续浏览本网站(不推荐)”。 点击地址栏中的“证书错误”,然后select“查看证书”。 select“安装证书…”。 select“下一步”。 select“将所有证书放在下列商店”选项。 select“浏览…”。 select“受信任的根证书颁发机构”,然后select“确定”。 出现安全警告提示时select“是”。 在“导入已成功”消息上select“确定” 在“证书”框中select“确定”。 这只适用于内部networking 有什么我可以添加到IIS? 有什么我可以添加到DNS? 任何其他的工作?
我忘了更新我们的encryption证书,并在我的网站上使用了HPKP。 目前,由于旧的固定键在那里,我无法打开我的网站。 我得到的浏览器错误是(在Firefox上): MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE 我应该怎么做,所以我的访问者可以再次访问我的网站,在我更新证书后?
几个月前,我的公司购买了一个支持256位密码的Rapid SSL证书,该证书既用于我们的移动应用程序与我们的服务器之间的通信,也用于通过我们的Windows服务器发送电子邮件2012 R2。 我正确设法通过自定义SMTP服务器中的IIS 6安装它。 一切似乎工作正常,但只有一家公司与我们联系告诉我们,我们的SMTP服务器无法连接到他们的传入电子邮件服务器,因为 我们使用的证书不能与新的SHA256密码标准“兼容”。 我不知道这意味着什么,但我打电话给我们的证书提供商,他们向我们保证,我们购买的证书是正确的。 而且,我确定公司是错误的,因为我们的SMTP证书不仅可以连接到Gmail帐户,还可以连接到使用该证书的许多其他传入电子邮件服务器。 而且消息一直都是正确的传递。 所以,我不知道在哪里以及如何调查这个问题。 通常,我们的SMTP服务器是由部署在我们的服务器Windows 2012 R2上的.NET Web应用程序引发的,如下所示: IDMailer M = null; M = (IDMailer)new IDMailer(); M.FromAddress = new IDVariant(v_VEMAILRESIDE).stringValue(); M.Subject = IDL.FormatMessage((new IDVariant("|1: manutenzione ODL |2")), v_VNOMERESIDEN, v_ODL).stringValue(); M.SetRelayServer((new IDVariant("www.ourserver.it")).stringValue(), (new IDVariant(25)).intValue(), (new IDVariant("username")).stringValue(), (new IDVariant("password")).stringValue(),(new IDVariant(-1)).booleanValue()); M.HTMLBody = new IDVariant(v_HTML_MESSAGE).stringValue(); 如您所见,IDMailer(来自框架System.Net.Mail )被设置为使用我们的服务器作为中继,并使用密码连接到中继(最后一个参数)。 因此,我真的不知道在哪里调查问题,甚至不知道问题是否存在,是我们的问题。 UPDATE 正如所build议的,我尝试使用我们的客户电子邮件分析邮件服务器与这个网站 ,以testing到他们的传入邮件服务器的安全连接。 […]
我为一个小企业设置了一个新域名,他们希望https://在他们的域名中,因为他们以前的主机默认提供了它(以前的主机也有旧域名)。 当我在/etc/apache2/sites-available/设置我的服务器configuration块时,我将所有请求转发到新的域,如下所示: <VirtualHost *:80> # example2 – NEW, example1 – OLD # Simply redirecting all traffic to https ServerName example2.com ServerAlias www.example2.com ServerAlias example1.com ServerAlias www.example1.com Redirect 301 / https://example2.com/ </VirtualHost> <IfModule mod_ssl.c> <VirtualHost *:443> ServerAdmin [email protected] ServerName example2.com DocumentRoot /var/www SSLEngine on SSLCertificateFile /path/to/ssl/example2/example2.crt SSLCertificateKeyFile /path/to/ssl/example2/example2.com.key SSLCACertificateFile /path/to/ssl/example2/example2.com-bundle </VirtualHost> <VirtualHost *:443> # If the […]
我们有一些客户仍然在偏远地区使用拨号。 禁用HTTP并强制他们使用HTTPS后,其中一些办事处表示无法连接。 我在网上search,只确认我迄今为止的知识 – 拨号使用PSTN连接到互联网,应该能够支持HTTP / HTTPS。 我能想到的唯一可能的原因是我们目前TLS密码套件的平台可支持性。 但是,客户正在使用我们的软件的最新版本,并在Windows 7. LMK上工作
在本地networking上下载HTTPS资源(从dl.google.com等互联网主机)时,我经常会遇到以下错误: 错误:1408F119:SSL例程:SSL3_GET_RECORD:解密失败或错误的loggingmac 这使得通过HTTPS下载任何东西实际上是不可能的。 只有下载相对较大的文件(即超过几十MB)才会发生问题,而不是浏览页面时。 下载在某些时候会随机失败,无论是浏览器还是使用命令行工具(如curl / wget)。 例如: $ curl https://dl.google.com/android/repository/android_m2repository_r46.zip … curl:(56)SSL读取:错误:1408F119:SSL例程:SSL3_GET_RECORD:解密失败或错误loggingmac,errno 0 我在不同的机器上(ubuntu和OS X)有同样的问题,但只有当他们在这个networking上。 因此,我认为这个问题是在我的本地networking的基础设施的某个地方。 任何想法? search引擎关于此错误消息的结果: 在这个问题中 ,这是特定于主机的服务器端错误,这与我无关,因为我在几个主要的主机(如dl.google.com)上观察了这个问题, 我发现了与nodeJs , Apache Traffic Server和OpenSSL特别相关的问题,但在我的情况下,问题发生在不同的操作系统上,只有当它们在特定的本地networking上。