我有一个在Tomcat 6上运行的应用程序(从Tomcat的angular度来看)没有任何身份validation。 另外,它需要通过SSL运行。 最后,其中一个页面允许您保存一个Excel文件。 保存文件失败,出现此处描述的错误:Pragma No-Cache阻止文件被保存,然后浏览器报告连接丢失。 这发生在IE 7和IE 8上; 不会发生在Firefox或IE 9(不幸的是,大多数用户有IE7)。 Tomcat具有属性disableProxyCaching和securePagesWithPragma ,它们可以解决某些浏览器中的caching问题,但这些属性是各种validation者阀门的属性。 我的问题是,如何防止Tomcat添加Pragma:没有高速caching头时有SSL,但没有身份validation? 编辑:我尝试nonloginauthenticator阀门 – 但它似乎没有任何区别,我不看在Tomcat的6configurationpipe理无论如何(虽然我看到它的API)
尝试访问通过Forefront发布的TS网关服务器时,收到消息“您的计算机无法连接到远程计算机,因为远程桌面网关的服务器证书已过期或已被吊销”。 正在使用的证书来自我的内部企业CA. 据我可以告诉types排列,整个链可以正确validation。 在我的TS,TS网关,Forefront或客户端的系统日志中,没有什么有趣的东西显示出来。 我能想到的唯一的事情就是某种validation问题。 我不知道从哪里或如何进一步诊断。 编辑 – 我validation了我的服务器上的证书path是好的以下。 certutil -verify -urlfetch mycert.cer …. Verified Issuance Policies: None Verified Application Policies: 1.3.6.1.5.5.7.3.1 Server Authentication Leaf certificate revocation check passed CertUtil: -verify command completed successfully. TS网关屏幕中也使用了IIS内使用的相同证书。 编辑 – 客户端运行Windows 7,mstsc版本6.1.7601.17514。 编辑 – 有趣的..听起来像RDP需要启用OCSP为了做CRL查找。 http://www.experts-exchange.com/Networking/Security/Q_25072298.html
那么这个问题就比较难描述了。 我在服务器上安装了Webmin + Virtualmin。 我有多个IP地址在服务器(两个NIC绑定)。 假设networking是1.1.1.1/29 。 虚拟服务器现在是这样的: masterdomain.com : 侦听所有地址( 1.1.1.2到1.1.1.6 ) SSL自签名证书(发行商masterdomain.com) seconddomain.com : 听取1.1.1.4 SSL自签名证书(发行者seconddomain.com) 您看到,在masterdomain.com上使用HTTPS完全没有问题(除了抱怨,因为证书没有由CA签名)。 TLSv1说服务器你好,交换密钥,就完成了。 问题来自https://1.1.1.4/或https://seconddomain.com/ 。 Firefox说ssl_error_rx_record_too_long 。 我使用Wireshark来检查数据包,并发现它( seconddomain.com或1.1.1.4 )从不发送密钥或“Hello”,而是在TLSv1响应中发送seconddomain.com的DocumentRoot的index.php。 Wireshark将其分类为Alert (Level: Fatal, Description: Unexpected Message) 。 前66个字节符合预期的标题,然后Apache插入已处理的index.php – > "<html><head><title>Main page of seconddomain.com!![…]"而不是SSL密钥。 这是在数据包中,应该把“服务器你好”(在客户端正确的“客户端你好”之后)。 我不知道如何解决这个问题,这很可能与VirtualHostconfiguration有关。 但seconddomain.com的VirtualHost拥有与masterdomain.com相同的configuration! – 除了只听一个IP而不是*(当然,SSL密钥,SuexecGroup和DocumentRoot字段是不同的)。 提前致谢。
我不太了解证书,但是其中一个在Snow Leopard服务器上过期了,我试图replace它。 它与自己安装的Mac mini服务器在“出生”时自签名。 我已经完成了运行,正如在Server Security Config手册中提到的,创build一个新的自签名证书,它似乎正在工作,但是当你在服务器pipe理中点击它时,它用红色大字写着: This root certificate is not trusted 而旧的过期的人说: This certificate has custom trust settings 我怎样才能“信任”新证书,因此它与“旧” 证书相似?
我有一个在IIS 7上运行的Intranet站点。可以使用FQDN(mysite.mydomain.mycompany)和“mysite”访问该站点。 SSL证书已针对FQDN进行签名。 如果您要访问https://mysite.mydomain.mycompany/ (Secure),它已安装并正常工作。 或者,如果您使用不安全的短或长URL(通过403.4redirect到安全页面)访问http:// mysite或http://mysite.mydomain.mycompany 。 我遇到的问题是当用户使用https:// mysite / (secure,使用短别名)访问该站点时。 IIS向用户提供唯一的证书,对于“mysite.mydomain.mycompany”,这当然与用户input的地址不匹配,他们将获得SSL证书警告。 在SSL握手发生错误的证书之前,是否有阻止对“ https:// mysite ”的访问并将用户redirect到https://mysite.mydomain.mycompany ? 如果没有,我能做些什么呢?
我已经创build了一个电源shell脚本来启动运行,但它不工作。 我从来没有通过组策略运行脚本,所以我不知道限制/最佳实践是什么。 我被告知我需要签署脚本。 经过一些阅读我想我需要: 如何创build证书 如何将证书颁发给我们Windows域中的每个客户端 签署证书 我已经find了关于创build代码签名的说明(下面的链接),但地址“ https:// server / certsrv ”不起作用,为什么? 我正在寻找具有证书权威的Windows 2008 SBS域控制器。 http://www.mikepfeiffer.net/2010/02/obtaining-a-code-signing-certificate-and-signing-powershell-scripts/
我们正在为我们的一个系统设置云解决scheme,但是我们需要多个TLD SSL 我们只允许5个公共IP 不能使用UCC /通配符证书,因为每个客户都拥有自己的证书,有些拥有不同types的证书 我想出了为每个需要SSL的客户端设置云负载平衡器的想法,并将负载均衡器指向我们的主Web服务器,在备用端口上。 Client1LoadBalancer – > webserver:444 Client2LoadBalancer – > webserver:445 Client3LoadBalancer – > webserver:446 。 。 。 ClientNLoadBalancer – > webserver:N 除了云负载平衡方法之外,还有其他的方法或者想法可以用吗?
我正在尝试configurationsendmail以使用LDAP查找作为别名表。 我有我的configuration这一行: Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server" 我已经使用了很长时间了。 它的工作原理,别名被抬起,电子邮件结束在适当的收件箱。 但是,它正在工作,因为LDAP目前允许匿名绑定。 由于一些政策的变化,这是不能做的了。 我得到这个工作: Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret 这符合“不再匿名绑定”的要求。 但是,仍然存在一些安全问题:LDAP绑定不是通过安全通道完成的。 用户名和密码都以明文forms发送。 从长远来看,和匿名绑定一样有用。 在我search的几个例子中,我看到-H标志可以让你指定一个协议,比如ldap:// ,或者在我的情况下是ldaps:// 。 但是当我去validation时,我看到数据仍然通过非安全LDAP端口(端口389),而不是LDAPS端口(端口636)。 (我用snoop来查看我的主机和LDAP服务器之间的stream量。) 所以我的问题是:*为什么是ldaps://被忽略和使用,就好像它只是ldap:// ? *为了做到这一点,我需要改变什么?
假设我在nginx服务器后面有两个Apache服务器(每个虚拟主机一个)。 问题是,我希望Apache做的客户端证书的身份validation。 nginx是否可以执行SSL的SNI部分(因此它知道要转发到哪个Apache实例),然后将其余部分转发给Apache?
在我的configuration中,我已经在http块中放置了ssl_ *指令,并且已经使用通过自定义CAauthentication的通配符证书,没有任何问题。 但是,我现在想为新的子域(服务器)使用一个新的证书,这个证书已经被认可的CAauthentication。 假设TLD是blah.org。 我希望我的CN * .blah.org自定义证书可以用于除new.blah.org之外的所有域,它们将使用CN new.blah.org上自己的证书/密钥对文件。 怎么会这样呢? 在服务器块中添加新的ssl_ *指令似乎不会覆盖全局设置。