我正试图让ldaps与openldap一起工作。 我有一个为此域颁发的通配符ssl证书,并使用ldapmodify将相关文件添加到cn = config,如此处所示。 一旦我完成了这个,我无法重新启动OpenLDAP。 我完成了OpenLDAP的设置,并确认可以使用ldap成功绑定。 我在端口为389和636的AWS EC2实例上使用Ubuntu 14.04 TLS。 一些诊断: /etc/init.d/slapd重启 restart * Stopping OpenLDAP slapd [ OK ] * Starting OpenLDAP slapd [fail] slapd -u ldap -g ldap -d 65 563e5b20 @(#) $OpenLDAP: slapd (Ubuntu) (Sep 15 2015 18:19:13) $ buildd@lgw01-53:/build/openldap-2QUgtL/openldap-2.4.31/debian/build/servers/slapd ldap_pvt_gethostbyname_a: host=ip-172-31-62-171, r=0 563e5b20 daemon_init: listen on ldap:/// 563e5b20 daemon_init: 1 listeners […]
我刚刚在基于Debian Jessie的nginx 1.8.0 webserver上启用了IPv6。 要做到这一点,我编辑了我的虚拟主机configuration: server { listen 80; listen [2001:1608:10:160:34::2]:80; server_name dominicpratt.de www.dominicpratt.de; return 301 https://dominicpratt.de$request_uri; } server { listen 443; listen [2001:1608:10:160:34::2]:443; server_name dominicpratt.de www.dominicpratt.de; root /var/www/dominicpratt.de; index index.html index.htm index.php; access_log /var/log/nginx/dominicpratt.de_access.log; ssl on; ssl_certificate /etc/nginx/ssl/dominicpratt.de/combined.pem; ssl_certificate_key /etc/nginx/ssl/dominicpratt.de/wildcard.key; location / { try_files $uri $uri/ /index.php?q=$request_uri; } location ~ \.php$ { fastcgi_split_path_info ^(.+\.php)(/.+)$; […]
我想为nginx设置ssl,我的项目是django,我也使用gunicorn作为wsgi http服务器。 我在settings.py代码中添加以下几行代码: CSRF_COOKIE_SECURE = True SESSION_COOKIE_SECURE = True 我不知道是否有必要这样做,然后我configuration我的nginx在以下forms: server { listen 80; server_name <name>; return 301 https://$host$request_uri; } server { #listen 80; listen 443 default ssl; client_max_body_size 4G; server_name <name>; #ssl on; ssl_certificate /etc/nginx/ssl/ssl.crt; ssl_certificate_key /etc/nginx/ssl/ssl.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; keepalive_timeout 5; # path for static files […]
这是我第一次在我的开发机器上configurationSSL证书(我不是系统pipe理员 – 我需要SSL来与Facebook一起工作)。 我决定与ngingx代理一个rubysinatra应用程序,没有什么幻想。 这是我尝试连接到我的HTTP服务器时得到的错误。 AFAIK nginx是这里的罪魁祸首: 2015/11/26 15:42:03 [info] 42872#0: *3 SSL_do_handshake() failed (SSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:SSL alert number 48) while SSL handshaking, client: 31.13.113.70, server: 0.0.0.0:4567 这就是我所做的: 从RapidSSL下载了cert(a .key,.crt和.csr) 从RapidSSL下载可信任的证书( https://knowledge.rapidssl.com/library/VERISIGN/ALL_OTHER/RapidSSL%20Intermediate/RapidSSL_CA_bundle.pem )并保存在/ etc / ssl / cert / 安装在本地nginx并configuration如下: upstream server { server 0.0.0.0:8080; } server { listen 4567 default_server ssl; […]
我有一些在其他服务器上运行的服务,它们在没有SSL的http:// someLocalIp:80上提供了一个web应用程序。 我想在SSL中包装这个,并在https:// nginxServer-globalIp / deliver / 我能够看到像这样的后端服务,但这显然会中断所有链接和引用,因为现在“/ deliver /”必须是前缀。 我不明白如何去使用重写,因为重写似乎(对我)主要是用来改变请求,而不是从后端回复。 这是可能吗? 🙂 当前configuration: server { listen 443; ssl on; ssl_certificate /etc/ssl/some.crt; ssl_certificate_key /etc/some.key; location /deliver { proxy_pass http://someLocalIp; } } 我已经尝试在proxy_pass的末尾添加/(尽可能多的答案build议),但是这会创build一个空白的响应,就好像后端服务没有向nginx发送任何东西。 另外,改变后端以匹配“/ deliver”前缀并不像听起来那么容易,所以我希望没有这样做就可以做到这一点。
我正在寻找支持当前(2015年11月)关于SSL的PCI-DSS要求的Web服务器(nginx)configuration: 没有TLSv1.0(将来只有TLSv1.1和TLSv1.2和TLSv1.3)。 没有微弱的密码,这意味着没有CBC(密码块链接),没有DES,IDEA密码套件,没有RC4等。 使用Nexpose进行多次扫描后,我创build了Nginxconfiguration,最终满足了这个非常严格的要求。 我目前的testingconfiguration如下所示: server { #(..) ssl_certificate asdf.crt; ssl_certificate_key sadf.key; ssl_protocols TLSv1.1 TLSv1.2; #see about TLSv1.1 below ssl_ecdh_curve secp521r1; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_dhparam asdf-dh2048.pem; #sorry, no support for Java 6u45 ssl_ciphers #ssh_ciphers of course should be in one line ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384: DHE-RSA-AES128-GCM-SHA256: AESGCM: !aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK; } 不幸: 只有7个ssl_ciphers,通常使用的只有前6个。 […]
鉴于以下情况; 我有2个域 – mysite.com和deploymysite.com,mysite.com指向我们的实时服务器场,它是从我们的部署机器的图像创build的。 我想在这个部署机器上指向域deploymysite.com。 我有* .mysite.com的SSL证书,这当然不适用于deploymysite.com。 如果我为该域购买了额外的SSL证书,是否可以在IIS(8.5)中为“同一站点”添加单独的SSL证书,但将其绑定到不同的域? 我正在查看站点绑定对话框,特别是IP地址字段,想知道是否可以使用2个SSL证书为同一站点的2个不同的域进行configuration? 非常感谢
我在Ubuntu 14.04(几乎默认设置),虚拟云服务器上的Apache 2.4.7有问题。 在中等服务器负载(大约2 / 3.0 cpu使用率和可用内存吨数)build立HTTPS连接的时间长达5-15秒(有时更多)。 下面是一个curl输出的例子,看看这个时候: My-MBP:~ me$ curl –trace-time –trace-ascii – https://domain.tld/some.png 20:44:40.952209 == Info: Trying 111.111.111.111… 20:45:16.046183 == Info: Connected to domain.tld (111.111.111.111) port 443 (#0) 20:45:32.371816 == Info: TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 20:45:32.371919 == Info: Server certificate: www.domain.tld 20:45:32.371946 == Info: Server certificate: GlobalSign Extended Validation CA – SHA256 […]
我需要使用startTLS和OpenLDAP客户端连接ApacheDS数据库。 我的ldaprc文件包含: URI ldap://127.0.0.1:7323 ldaps://127.0.0.1:7423 SSL start_tls SASL_MECH plain TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3 TLS_REQCERT allow 我用过的命令是: ldapsearch -H ldap://localhost:7323 -D "uid=admin,ou=system" -w secret -Z -d1 我已经检查过,我的服务器正在侦听这些端口,我可以连接其他客户端(例如ldapbrowser,jxplorer),但是使用OpenLdap的testing失败: … ldap_connect_to_host: Trying 127.0.0.1:7323 ldap_pvt_connect: fd: 3 tm: -1 async: 0 ldap_open_defconn: successful ldap_send_server_request ber_scanf fmt ({it) ber: ber_scanf fmt ({) ber: ber_flush2: 31 bytes to sd 3 ldap_result ld 0x7f81d95282a0 […]
我正在经历木偶大师的一些authentication复兴,这种行为似乎是随机的。 我刚刚检查了一个CA证书,我发现这个: # openssl crl -text -in /var/lib/puppet/ssl/ca/ca_crl.pem Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: /CN=Puppet CA: puppet.master Last Update: Dec 16 11:55:15 2015 GMT Next Update: Dec 14 11:55:16 2020 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:FF:9D:F6:0B:4A:17:27:A6:7D:DF:3A:8A:FC:D1:99:73:24:CA:87:08 X509v3 CRL Number: 83 Revoked Certificates: Serial Number: 02 Revocation Date: Nov […]