我使用getssl来安装Lets Encrypt SSL证书。 以下是./getssl -a的输出: Check all certificates hostname.com: Certificate on remote domain does not match, ignoring remote certificate Registering account Verify each domain Verifying hostname.com copying challenge token to /var/www/html/.well-known/acme-challenge/iWNVnBM81u5xITptieCF7J7sh70GhsDeSOLwAdY0bN0 Pending getssl: hostname.com:Verify error:Could not connect to hostname.com 当然hostname.com是我自己的名字。 我可以从外部networking访问url: http://hostname.com/.well-known/acme-challenge/iWNVnBM81u5xITptieCF7J7sh70GhsDeSOLwAdY0bN0 这将返回正确的值。 在我的getssl.cfg的ACL行下面: ACL=('/var/www/html/.well-known/acme-challenge') 为什么getssl会给我一个连接错误? 我在其他服务器上运行相同的工具,这工作正常。
我有一些服务器在nginx使用我的configuration文件,但是我需要能够添加一个if或一个variables来改变 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 至 ssl_protocols TLSv1; 这可能吗? 我已经尝试了一个if语句,但得到 "ssl_protocols" directive is not allowed here
我在AWS Elastic Beanstalk上构build应用程序(这是一个负载平衡器,其中有一组实例在他身后工作)。 我想为我的弹性beanstalk添加子域并使用SSL。 我可以在负载平衡器上设置HTTPS。 但是,我也需要将其设置在他后面的实例上。 是否有可能将我的子域绑定到负载均衡器,并在他身后的实例上使用服务器证书? 我的理由是,我必须通过nginxvalidation我的实例上的客户端证书。 但是为了validation客户端证书,我还需要在服务器证书中使用SSL。 负载均衡器背后的实例是否有可能使用相同的服务器证书,而这些实例不在任何子域下 – 也不在服务器证书中注册的子域下面?
应该可以在第4层负载均衡器上终止SSL的SSL(安全websockets)吗? 在我看来,wss(和ws)通常会需要TCP路由,因为HTTP反向代理将无法理解数据包; 而且,由于会话确实维持在第4层以上,因此SSL终止将需要第7层路由。我对第一个声明有些自信,而对第二个声明则更不感兴趣。 奖金的问题。 一般情况下,如果可以在单个负载均衡器中实现wss路由和sslterminal,那么可以专门用HAProxy来完成吗? Nginx的? 其他?
即时消息写这是因为我有一个问题,当我尝试与RoundcubetestingSMTP。 之前我对Postfix或Dovecot没有任何问题。 这似乎是一个TLS问题: SMTPtesting 当我看我的日志文件,我有这个: 日志文件 相反,IMAPtesting工作正常。 从我研究的东西看来,这似乎是因为我的证书是一个自签名证书,我必须添加一个例外,以便我的证书得到信任。 但我不知道如何做到这一点,我没有在网上find答案。 我的configuration文件: # See /usr/share/postfix/main.cf.dist for a commented, more complete version # Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name […]
我试图使用nginx作为运行Tomcat的内部Web服务器的反向代理,该服务器托pipe着我们的ERP系统的前端。 它已经正常工作了:我可以完美地连接到nginx服务器(这是locking在我们的networking,不同的VLAN,防火墙等等等),然后反向代理到我的ERP服务器。 但是,我想要添加一个额外的保护层,要求用户在他们的计算机上有一个数字证书,以便他们可以访问第一个(nginx)服务器。 后端服务器不使用/不需要证书。 我已经通过这个教程http://nategood.com/client-side-certificate-authentication-in-ngi ,它允许我生成我的自签名证书和其他一切。 当在nginxconfiguration中使用ssl_verify_client可选时,我可以正常连接到我的后端服务器,但是不需要/不需要证书。 当我把它切换到ssl_verify_client时 ,所有的访问都被阻塞了 400 Bad Request No required SSL certificate was sent 无论使用哪种浏览器(Chrome,IE,Edge,Firefox)。 当然,我已经把所有的证书/链条放在我的客户端计算机上,但是在任何浏览器上都没有证书。 我错过了什么? 这里是我的完整的nginxconfiguration: server { listen 443; ssl on; server_name 103vportal; ssl_password_file /etc/nginx/certs/senha.txt; ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; ssl_client_certificate /etc/nginx/certs/ca.crt; ssl_verify_client on; location / { proxy_pass http://10.3.0.244:16030; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_read_timeout 300; […]
我使用Postfix 2.11.3-1和OpenSSL 1.0.2k-1运行Debian Jessie邮件服务器。 最近Debian政策的变化已经使几个不安全的密码失效了。 不幸的是,我们收到邮件的一些邮件服务器仍旧在旧版本的Exchange上运行(我认为Windows Server 2003上的Exchange 2007),现在由于TLS握手失败而无法连接。 以下是发送服务器支持的非常有限的密码: tls1: RC4-SHA tls1: RC4-MD5 tls1: DES-CBC3-SHA 我无法控制其configuration。 根据http://www.postfix.org/TLS_README.html#server_cipher ,“… Windows 2003 Microsoft Exchange服务器的DES-CBC3-SHA的实现存在缺陷,OpenSSL认为它比RC4-SHA更强大。套件select可能会与Windows 2003 Microsoft Exchange客户端产生互操作性问题。“ 这里是我们Postfixconfiguration的相关行,由postconf | grep smtpd_tls postconf | grep smtpd_tls : smtpd_tls_CAfile = smtpd_tls_CApath = smtpd_tls_always_issue_session_ids = yes smtpd_tls_ask_ccert = no smtpd_tls_auth_only = yes smtpd_tls_ccert_verifydepth = 9 smtpd_tls_cert_file = /path/to/cert smtpd_tls_ciphers […]
所以,我有一个门户types的网站,我正在考虑出售。 为方便起见,请致电我的网站www.portal.com。 如果我出售这些门户网站之一,我希望他们在门户网站下,因此它们是:client1.portal.com或者如果他们的公司名称是Microsoft,那么它是microsoft.portal.com。 为了增加复杂性,我希望在网站上有SSL。 我假设我需要通配符SSL来方便我所有的客户端,因为我不想在每次添加或删除客户端时更改我的证书。 主要问题: 有没有办法,为我的客户保持自己的网站:www.client1.com,而不是他们在他们的URL栏中看到这个redirect到client1.portal.com? 我需要什么(因为我需要购买任何东西),实现这个的技术术语是什么?
我试图限制nginx来避免使用密钥交换的DHalgorithm的密码。 为了强制这个,我把ssl_ciphers设置为一个套件: ssl_ciphers 'AES256-GCM-SHA384'; 重新启动nginx后,我可以从访问日志中看到它仍然select其他的密码(在这种情况下,DHE-RSA-AES128-GCM-SHA256): 10.162.10.235 [02/Feb/2017:15:09:09 +0000] "GET /images/favicon.ico HTTP/1.1" 200 0 "https://example.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36" 0.001 – "" "DHE-RSA-AES128-GCM-SHA256" "TLSv1.2" "-" "xxx" "r" – – 我必须误解ssl_ciphers指令是如何工作的。 我也尝试将它设置为'!DH:!ECDH',但是看起来它似乎完全不同意兼容密码。 应该设置什么来强制使用AES256-GMC-SHA384?
我们希望使用单个ELB来处理AWS通用SSL / TLS证书和通配符。 例如,我们有n台服务器app1.example.com app2.example.com … appn.example.com每个应用程序都有自己的服务器或服务器集合。 我们希望使用HAProxy来解决这个问题,因为AWS elb不能做到layer7子域平衡,我们希望利用aws ssl / tls免费证书。 像这样: 基础设施图 HAProxyconfiguration文件如下。 global daemon maxconn 15000 defaults mode http timeout connect 5000ms timeout client 5000ms timeout server 5000ms frontend http-in bind *:80 # Define hosts acl host_app1 hdr(host) -i app1.example.com acl host_app2 hdr(host) -i app2.example.com acl host_app3 hdr(host) -i app3.example.com ## figure […]