nginxconfiguration: server { listen 443 ssl; server_name crowd.example.com; access_log off; client_max_body_size 10M; ssl_certificate /etc/nginx/ssl/crowd.example.com.crt; ssl_certificate_key /etc/nginx/ssl/crowd.example.com.key; location / { proxy_pass http://localhost:8095/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; port_in_redirect off; proxy_redirect https://crowd.example.com/ /; } } 来自server.xml的人群相关部分: <Service name="Catalina"> <Connector acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" port="8095" redirectPort="8443" useBodyEncodingForURI="true" URIEncoding="UTF-8" proxyName="crowd.example.com" proxyPort="443" scheme="https" […]
我有一个Windows服务器,我想附加远程桌面连接的第三方签名证书。 这不是一个远程桌面服务的服务器,即它只是远程桌面pipe理。 在互联网上有很多关于将证书附加到远程桌面服务的信息,但是我想将其附加到纯粹的远程桌面连接上进行pipe理。 如果有人知道如何做到这一点,请注意! 我已经将证书导入到证书mmcpipe理单元中的远程桌面存储中,并尝试在此问题中运行wmic命令( 在远程pipe理模式下为Windows Server 2012上的RDPconfiguration自定义SSL证书? ),但是失败。 谢谢!
我已经添加了一个证书到我的应用程序cacerts文件。 新证书颁发给一个DNS(abc.com),并在创build时向SAN属性添加了其他几个DNS(XYZ.com,TEST.com)。 我试图访问SAN属性中给出的DNS(XYZ.com)之一,它抛出我下面提到的错误。 <Certificate chain received from XYZ.com failed hostname verification check. Certificate contained abc.com but check expected XYZ.com> 如果我们有更多的DNS应用程序,我们是否需要为每个DNS生成证书?
我想启用AES 256 GCMencryption,而不是AES 256 CBC。 我们已经拥有基于ECDSA的ECC证书,以满足先决条件。 证书具有SHA-256签名,并使用256位ECC密钥集。 我想使用的密码组: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 这是我们的密码组合顺序: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 但是当我检查网站时,我们使用TLS 1.2和ECDHE_ECDSA进行密钥交换AES_256_CBCencryption和SHA1消息摘要。 我怀疑它使用这个套件有一些原因: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 当我删除密码套件时,该网站的密码套件不匹配,不会再加载https。 有谁知道如何启用密码套件? 我是否忘记在registry中设置某些内容,或者是否需要执行其他操作来启用该特定套件? 提前致谢!
我正在尝试在同一台服务器上沿着自己的云实例设置一个gitlab实例。 两者都可以正常工作,如果启用了一个主机,则两者都可以正常工作。 奇怪的是,自己的云主机捕获所有的请求到服务器,即使站点configuration只说它应该赶上一个合适的域,从而防止gitlab虚拟主机应答。 自己的云: upstream php-handler { # server 127.0.0.1:9000; server unix:/var/run/php5-fpm.sock; } server { listen 80; server_name cloud.example.com; return 301 https://$server_name$request_uri; # enforce https } server { listen 443 ssl; server_name cloud.example.com; ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; # Don't show version server_tokens off; # Have separate logs for this vhost access_log /var/log/nginx/owncloud_access.log; error_log /var/log/nginx/owncloud_error.log; # […]
我们希望客户端使用来自可信(内部)发行者的客户端证书连接到我们的MariaDB服务器,然后logging连接的用户。 不幸的是,以下限制阻止了成功: 可以信任来自同一发行者的每个人,但是他们都必须映射到相同的MariaDB用户。 可以审计日志用户连接,但日志只显示实际的MariaDB用户,而不是客户端正在使用的证书的主题。 根据客户端证书dynamic创build实际的MariaDB用户是不可能的。 除了预先为每个可能的客户端证书填充MariaDB用户之外,有没有解决我们的困境的方法?
我们可以通过串行(我们正在使用相互authentication)撤销客户端证书吗? 我们尝试使用证书文件撤销证书,但撤销date未设置为当前date。 它是在3小时左右后设置的。 有没有人可以解释一下这个原因,以及将撤销date作为当前date的方法。 这里是我们用来撤销证书的命令 openssl ca -revoke /root/lolo.crt -config Certificates/openssl.cnf.my -keyfile /home/testCa/serverCA.key -cert /home/testCa/serverCA.crt 这里是生成crl文件的命令 openssl ca -gencrl -out /home/testCa/serverCA.crl -config Certificates/openssl.cnf.my -cert /home/testCa/serverCA.crt -keyfile /home/testCa/serverCA.key 然后我们查看crl文件 openssl crl -in /home/testCa/serverCA.crl -noout -text
我有远程机器通过我们的办公室里有一个固定IP(FW3.3.0)的draytek 2930路由器连接到我们的办公室局域网。 我已经在远程计算机上使用带有Draytek smartvpn客户端软件的SSL VPN进行设置,连接用户名和密码。 smartvpn成功连接到路由器,在客户端连接绿色vpn指示灯和状态。 路由器也显示连接。 下面是远程机器上的ipconfig / all。 问题是为什么我不能ping除路由器192.168.10.1以外的其他工作机器? 最终我想连接到内部networking,并通过桑巴到本地共享,但让我们开始与平。 我怀疑这是与子网掩码和默认网关是不正确的drayssltunnel适配器,但我不知道在哪里设置它们。 IP地址来自路由器内置的DHCP服务器,但我看不到在哪里指定子网掩码或网关的VPN连接。 谢谢,阿德里安 >ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : george Primary Dns Suffix . . . . . . . : Node Type . . . . . . […]
我们在Exchange 2010服务器前使用Securence入站过滤。 这基本上是垃圾邮件filter。 我试图在Securence和我们的服务器之间的传入连接上进行TLS通信。 我们在Exchange服务器上安装了GoDaddy的已签名证书,并将其分配给SMTP。 我也有分配给我的接收连接器的SSL证书的FQDN。 但是,Securence邮件日志状态: "failed TLS negotiation: Cannot accept self-signed certificate" 交换服务器上还有另外两个自签名证书。 他们没有删除选项,所以我认为他们是由交易所要求的,是正确的? 假设他们是我从Securence提供的错误中得到的印象,他们看到这些证书,而不是我们从GoDaddy签署的证书。 我能想到的唯一原因是签名证书没有我们的Exchange服务器的内部名称。 你认为会导致这个问题吗? 或者你觉得还有什么我失踪? 更新: 我可以用这个命令删除自签名的证书: Get-ExchangeCertificate | ?{$_.IsSelfSigned -eq $true} | Remove-ExchangeCertificate -Confirm:$false 不幸的是我仍然得到上面提到的错误。 服务器上没有自签名证书。 我可以看到唯一的问题是我的证书没有内部DNS名称(server.domain.local)列为主题备用。 我将继续与过滤公司排除故障,也许在他们的最后有什么不对
目标: 我的目标是在Centos框中设置Apache Web服务器,SSL和客户端证书validation与以下Apache虚拟主机类似( http://hstuart.dk/2010/04/09/x-509-certificates-and- mercurial / ): <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/myserver.pem SSLCertificateKeyFile /path/to/myserver.key SSLCACertificateFile /path/to/ca.pem SSLCACertificatePath /path/to SSLVerifyClient require <Location /> SSLRequireSSL SSLOptions +FakeBasicAuth AuthName "FakeBasicAuth" AuthType Basic AuthUserFile /path/to/httpd.passwd require valid-user </Location> ScriptAliasMatch ^(.*) /path/to/hgwebdir.cgi$1 </VirtualHost> 当前解决scheme 截至目前,我有一个工作的Apache解决scheme,它基于一个自签名的CA证书,用于创build一个中间CA,再次用于创build一个Web服务器证书( https://jamielinux.com/articles/2013/ 08 /作为你自己的证书权威/ )。 在CA虚拟主机文件中使用CA,中间CA和Web服务器证书来设置SSL通信。 当我不使用SSLVerifyClient时,解决scheme按预期方式工作,无论是在Web服务器本身还是添加了CA证书的窗口框中。 没有唠叨的屏幕,一切都很好。 问题: 但是一旦我添加了SSLVerifyClient,我就可以在windows上获得Firefox的'sslv3 alert handshake failure' ,在centos服务器上获得'sslv3 alert […]