我是一个运行nginx服务非常简单的Kibana仪表板的服务器。 客户端连接到由nginx提供的https://subdomain.domain.eu 。 这显示https://subdomain.domain.eu:5601上由kibana托pipe的仪表板 nginx和kibana使用相同的证书来提供请求。 我们所有的浏览器接受证书并正确地显示网站。 只有我们的客户有麻烦,不接受这个证书。 他正在使用Internet Explorer运行Windows 7。 它显示以下错误: The security certificate that is used by this website, is issued to another address. The security certificate that is used by this website, is issued by a non trusted certificate authority. 我是从荷兰语翻译过来的,所以可能不符合英文的错误文字。 我去了客户端,他的DST Root CA X3在他的证书存储中被信任。 我们正在服务从服务器的完整证书链,并与ssl labs的testing给了我们一个A +。
我正在尝试在我的apache2 web服务器上设置SSL,但它似乎根本不起作用。 我已经按照教程创build了openssl cert文件,并正确configuration了/etc/apache2/sites-available/default-ssl.conf 。 每次我尝试使用https打开我的网站时,由于安全问题,我的浏览器拒绝连接。 它说我没有正确configuration我的网站。 在我的/var/log/apache2/error.log我得到错误,说我的服务器证书不包括一个与服务器名称匹配的ID。 [Mon Apr 10 11:03:24.041813 2017] [mpm_prefork:notice] [pid 1222] AH00169: caught SIGTERM, shutting down [Mon Apr 10 11:03:30.566578 2017] [ssl:warn] [pid 661] AH01909: 127.0.0.1:443:0 server certificate does NOT include an ID which matches the server name [Mon Apr 10 11:03:31.579088 2017] [ssl:warn] [pid 1194] AH01909: 127.0.0.1:443:0 server certificate […]
我是新来的Squid,并无法获得SSL过滤工作。 我有一个一揽子块设置与Squid作为透明代理访问它只允许github.com。 但是,鱿鱼生成证书的IP地址,而不是域名和SSLvalidation失败。 鱿鱼版本: 3.5.25-20170408-r14154 当我使用curl(我已经将自签名的SSL导入到证书存储区) curl: (51) SSL: certificate subject name (192.30.255.112) does not match target host name 'github.com' 如何正确configuration拼接白名单并阻止所有其他域。 以下是我目前的configuration http_port 3128 http_port 3129 intercept https_port 3130intercept ssl-bump enerate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_certs/myca.pem key=/etc/squid/ssl_certs/myca.pem acl whitelist ssl::server_name .github.com acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump splice whitelist ssl_bump bump all 谢谢
我试图在Linux上的Courier中禁用SSLv2支持(除其他外)。 在/ etc / courier / imapd-ssl中我有: TLS_CIPHER_LIST="HIGH:!MEDIUM:!SSLv2:!LOW:!EXP:!aNULL:!ADH:@STRENGTH:!3DES" TLS_PROTOCOL=TLS1 TLS_STARTTLS_PROTOCOL=TLS1 这在imaps(993 / tcp)上很好地工作: # openssl s_client -connect localhost:995 -ssl2 CONNECTED(00000003) write:errno=104 但是对于143 / tcp上的STARTTLS,似乎仍然允许SSLv2: openssl s_client -connect localhost:143 -starttls imap -ssl2 CONNECTED(00000003) 相比之下: openssl s_client -connect localhost:143 -starttls imap -ssl3 CONNECTED(00000003) 140692334688072:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339: — no peer certificate available — No client certificate CA […]
我试图在Tomcat上启用SSL(在Google Compute Engine上运行Ubunbu实例上的自定义域)。 我创build了Let's Encrypt证书,它在/etc/letsencrypt/live/mydomain.com下创build了4个文件: cert.pem chain.pem fullchain.pem privkey.pem 然后: cd /etc/letsencrypt/live/mydomain.com openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out pkcs.p12 -name tomcat keytool -importkeystore -deststorepass mypassword -destkeypass mypassword -destkeystore KeyStore.jks -srckeystore pkcs.p12 -srcstoretype PKCS12 -srcstorepass mypassword -alias tomcat sudo cp KeyStore.jks /opt/tomcat/conf/.keystore 启用连接器: <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" URIEncoding="UTF-8" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/opt/tomcat/conf/.keystore" […]
我有Nginx 1.10与ssl_verify_client = on 。 一切工作正常,除了服务器完成TLS握手,并继续parsing头,即使证书还没有被客户端发送。 可以通过发送没有客户端证书和非常大的http头的http请求来validation,nginx返回“ 400请求头或Cookie太大 ”。 据我们的安全审计员,服务器应该失败的TLS握手,因为parsing头“增加了可能的攻击面。 我的nginxconfiguration: server { listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name myserver.com; ssl_certificate /etc/letsencrypt/live/myserver.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myserver.com/privkey.pem; ssl_verify_client on; ssl_client_certificate /etc/nginx/ssl/ca.pem; location / { proxy_pass http://127.0.0.1:8001; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }
我有5个域的设置。 他们在<VirtualHost *:80>有非SSL的logging。 他们每个人都有自己的logging下前。 <VirtualHost 172.30.0.245:443> ServerName www.acme.com ServerAlias acme.com ,因为他们有不同的IP和SSL证书。 这工作正常。 我还有一个通用logging<VirtualHost *:80> ,它位于文件001-vhosts.conf中。 它捕获的stream量不是我的域名。 如果它与我的某些域不匹配,则返回410.这也可以正常工作。 如果我将http://test.com指向服务器的IP,它将转到通用logging并返回410。 问题是我为SSL <VirtualHost *:443>添加通用logging。 如果我打开https://test.com它匹配<VirtualHost 172.30.0.245:443>而不是通用logging。 我希望stream量是不是我的域名返回410,无论是http或https。 我使用AWS,通常有这样的stream量。 我错过了什么? 我有5个域的设置。 他们在<VirtualHost *:80>有非SSL的logging。 他们每个人都有自己的logging下前。 <VirtualHost 172.30.0.245:443> ServerName www.acme.com ServerAlias acme.com ,因为他们有不同的IP和SSL证书。 这工作正常。 我还有一个通用logging<VirtualHost *:80> ,它位于文件001-vhosts.conf中。 它捕获的stream量不是我的域名。 如果它与我的某些域不匹配,则返回410.这也可以正常工作。 如果我将http://test.com指向服务器的IP,它将转到通用logging并返回410。 问题是我为SSL <VirtualHost *:443>添加通用logging。 如果我打开https://test.com它匹配<VirtualHost 172.30.0.245:443>而不是通用logging。 我希望stream量是不是我的域名返回410,无论是http或https。 我使用AWS,通常有这样的stream量。 我错过了什么? 命令sudo apache2ctl -S返回: […]
HTTP从服务器和客户端正常工作。 HTTPs只能在服务器上运行。 我能做些什么来使HTTP在外部工作? 从服务器 OpenSSL : OpenSSL 1.0.2g 1 Mar 2016 Nginx : nginx/1.10.3 OS : Ubuntu 14.04.5 LTS NodeJS : v6.10.2 我有一台服务器上的127.0.0.1:5000绑定的127.0.0.1的nodejs express服务器。 我已经build立了一个反向代理到这个nodejs express服务器。 这是我的nginxconfiguration文件: upstream nodejs { server 127.0.0.1:5000 fail_timeout=10s; } server { listen 80; listen 443 ssl; server_name domain.foo; ssl_certificate /etc/letsencrypt/live/domain.foo/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/domain.foo/privkey.pem; location /.well-known { root /var/www/ssl-proof/default/; } location / […]
我正在尝试在我的LDAP服务器上configurationTLS。 我有两台计算机,一台使用LDAP服务器,另一台使用包含Let's Encrypt生成的证书的NFS共享。 我希望第一个能够读取NFS挂载的证书。 我跟着一个教程Debian wiki: 在这里 当我做sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ldap/olcTLS.ldif我得到: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" ldap_modify: Other (eg, implementation specific) error (80) 显然这是一个权限问题,如在这里看到的 这里是configuration文件的内容: dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /mnt/certs/chain.pem – add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /mnt/certs/privkey.pem – add: olcTLSCertificateFile olcTLSCertificateFile: /mnt/certs/cert.pem 所以我将NFS共享目录的组设置为ssl-cert并为其添加了读取权限。 (所有的子目录对每个人都有完全的读取权限)。 然后在LDAP服务器上,我已经将openldap用户添加到ssl-cert组中。 […]
我目前正在运行几个docker集装箱。 一个用于nginx,一个用于我的节点js应用程序,最后一个用于创build和更新从authentication的encryption。 这工作相当好一段时间,但我遇到了一个问题。 在这个服务器上,我有5个域都安装了ssl。 但是现在我不能安装更多的证书。 我得到这个: – The following errors were reported by the server: Domain: domain1.com Type: unauthorized Detail: Incorrect validation certificate for tls-sni-01 challenge. Requested c7a966714b5363c594f152b27f947722.f767e462430a051872cd4eaab3969248.acme.invalid from MY_IP:443. Received 2 certificate(s), first certificate had names "domain0.com" 环顾四周后,我看到,如果我去“ https://domain1.com/ ”我得到一个错误信息,读取: Safari无法validation网站“domain1.com”的身份。 当我点击“显示证书”,它显示我domain0.com的证书 这是domain0.com的configuration server { listen 80; server_name domain0.com; location /.well-known/acme-challenge { proxy_pass http://certbot:80; […]