当我使用来自证书颁发机构的签名SSL证书时,Postfix无法正常运行,并在/var/log/mail.log出现此错误: Sep 8 12:43:03 mail postfix/master[15557]: daemon started — version 3.1.0, configuration /etc/postfix Sep 8 12:43:11 mail postfix/smtpd[15560]: fatal: bad boolean configuration: smtpd_sasl_authenticated_header = yes? smtpd_tls_cert_file=/etc/ssl/certs/mail_centralcloudmanager_com.crt? smtpd_tls_key_file=/etc/ssl/private/mail.centralcloudmanager.com.key Sep 8 12:43:12 mail postfix/master[15557]: warning: process /usr/lib/postfix/sbin/smtpd pid 15560 exit status 1 Sep 8 12:43:12 mail postfix/master[15557]: warning: /usr/lib/postfix/sbin/smtpd: bad command startup — throttling /etc/postfix/main.cf SSL相关部分: smtpd_sasl_type […]
我有一些https网站比公司的防火墙需要超过15秒的显示页面。 但: 使用互联网(防火墙之外),这些都非常快 通过http是相当快的 validation证书(或证书颁发机构)似乎是客户端/浏览器超时。 有一个地址,我可以打开防火墙来validation这些证书? 我的证书颁发机构是Comodo和Symantec。 对于Comodo我发现: http://crl.usertrust.com http://ocsp.usertrust.com http://crl.comodoca.com http://crt.comodoca.com http://ocsp.comodoca.com https://secure.comodo.com http://crl.comodoca.com.cdn.cloudflare.net 赛门铁克: http://sr.symcb.com https://d.symcb.com http://s2.symcb.com http://www.symauth.com http://s1.symcb.com http://sv.symcb.com
我有一个Tomcat8实例运行在Apache服务器后面,负责SSL卸载。 部署在Tomcat上的Java webapp需要连接到仅支持TLSv1.2的外部服务。 我添加了-Dhttps.protocols = TLSv1.2到Tomcat的setenv.sh。 但是我仍然看到Tomcat试图与TLSv1协商[2]作为支持最高的TLS版本,同时连接到外部服务。 所以,我最终得到错误[1],而连接。 我如何得到这个工作? 我需要更改Apache Web服务器上的任何configuration吗? PS:在我只有Tomcat8的本地机器上添加上面的标志(TLS升级到v1.2)。 [1] Caused by: javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:421) at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:128) at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572) at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180) at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294) at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:641) at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:480) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:1066) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:1044) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:1035) [2] %% No cached client session *** ClientHello, TLSv1 …. …. ajp-nio-8009-exec-10, READ: TLSv1.2 […]
我有信心为Redis提供SSL。 我有以下configuration: [redis] CAfile= /etc/stunnel/ca.crt accept = 636 cert = /etc/stunnel/server1.crt connect = localhost:6379 key = /etc/stunnel/server1.key verify = 2 我用openssl生成所有的密钥和证书: # generate ca openssl req -new -x509 \ -keyout "/etc/stunnel/ca.crt" \ -out "/etc/stunnel/ca.key" \ -days 365 \ -passout "pass:123456" \ -subj "$subj" 然后我通过openssl genrsa -des3生成密钥然后我通过openssl req -new -key生成csr。 然后我通过openssl x509 -req生成签名证书CA和openssl x509 -req指向ca.crt和ca.key然后我通过openssl rsa解密密钥 […]
寻找工具的build议,以便于pipe理多租户证书。 要求: Windows和Linux证书pipe理 能够pipe理在IIS中绑定的证书 能够pipe理客户authentication证书(第三方证书) 我正在寻找一种可以集中证书的工具,并根据资源的某种标记或命名惯例将一组证书推送给windows和linux机器。 我还没有发现任何满足这三个需求的东西。 前两个要求是最重要的。 IIS的CCS解决了部分难题,因为它可以pipe理绑定到IIS中站点的证书,但是并不能解决pipe理未绑定到站点的客户端证书的挑战。 对于linux而言,我认为我只需要像nginx这样的一个或两个工具来pipe理证书,所以基于插件的模型可能是一个需求 狐猴https://medium.com/netflix-techblog/introducing-lemur-ceae8830f621 接近我正在寻找,减去证书更新的pipe理
我做了这个https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-14-04 然后从下面的apache切换到nginx *** https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14-04 ***一切都很好。 但现在facebookdebugging器给我:curl错误:SSL_CACERT SSL证书问题:无法获得本地发行者证书 ***问:如何重新下载证书颁发机构的所有证书,并在我的情况下重新下载? Alexs-MacBook-Air:~ alex$ openssl s_client -connect goeasysmile.com:443 CONNECTED(00000003) depth=0 /CN=goeasysmile.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /CN=goeasysmile.com verify error:num=27:certificate not trusted verify return:1 depth=0 /CN=goeasysmile.com verify error:num=21:unable to verify the first certificate verify return:1 — Certificate chain 0 s:/CN=goeasysmile.com i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 […]
是否可以从Lighttpd中提取TLS会话密钥,以便我们能够解密由tcpdump捕获的stream量? 或者,我们可以禁用PFS,但我们不希望这样做。
我正在尝试将服务器上的目录中的所有请求redirect到https。 我已经在一个单独的configuration(在config.d目录内)和.htaccess文件中尝试了以下内容。 既不工作,也不会造成错误。 <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> 当我尝试在一个configuration文件上面是在一个块内。 编辑 这是我在configuration文件中的代码: <Directory "/var/www/html/ssl_dir/"> Options Indexes MultiViews FollowSymLinks AllowOverride All <RequireAny> Require ip xx.xx.xx.0/24 Require ip ::1 </RequireAny> <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> </Directory>
我有一台CentOS 6服务器,运行Apache 2.2.15和OpenSSL 1.0.1e-fips。 我正在尝试为Web根目录中的特定位置设置双向SSL身份validation。 第三方提供了公共(纯文本)和私人(二进制)证书。 我需要一些关于如何包括公共和私人证书以获得握手工作的指导,因为我收到以下错误: 重新协商握手失败:不被客户接受! 以下是我在本节的/etc/httpd/conf.d/ssl.conf文件中的内容: <Location /api/path/> SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCACertificateFile /etc/pki/tls/private/public.cer SSLVerifyClient require SSLVerifyDepth 10 SSLOptions +StdEnvVars +ExportCertData +OptRenegotiate </Location> 诚然,我不是一个SSL专家。 我知道足够的证书安装和工作。 我已经把logginf变成了“debugging”级别。 我试图遵循这些指南: Configuring two-way authentication SSL with Apache http://www.cafesoft.com/products/cams/ps/docs32/admin/ConfiguringApache2ForSSLTLSMutualAuthentication.html 提前致谢! 完整的ssl.conf文件: LoadModule ssl_module modules/mod_ssl.so Listen 443 SSLPassPhraseDialog builtin SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed […]
我在运行Apache 2.2的服务器上安装了一个SSL证书(由openssl生成)。 刷新configuration后,我看到该网站正常工作。 不过,今天早上我发现这个网站倒了。 快速查看日志后,我注意到Apache没有运行,我无法重新启动它。 在ssl.log有以下错误 [Tue Oct 10 14:58:48 2017] [警告] RSA服务器证书是一个CA证书(BasicConstraints:CA == TRUE!?) [Tue Oct 10 14:58:48 2017] [警告] RSA服务器证书CommonName(CN)`AddTrust External CA Root'与服务器名称不匹配! [Tue Oct 10 14:58:48 2017] [error]无法configurationRSA服务器私钥 [Tue Oct 10 14:58:48 2017] [错误] SSL库错误:185073780错误:0B080074:x509证书例程:X509_check_private_key:键值不匹配 谁能告诉我为什么发生这种情况? 也就是说,该网站在初始configuration后工作了几天。 但是,在某一点,它打破了。 我怎样才能解决这个问题?