我正在使用多个HAProxy负载平衡器,Nginx Web服务器和MySQL服务器构build一个高度可用的站点。 该网站需要能够承受负载平衡器或networking服务器节点下线,而不会中断访问者的服务。 目前,我有两个运行HAProxy的盒子,它们使用keepalived共享一个虚拟IP,然后转发给运行Nginx的两个Web服务器,然后使用MySQL复制绑定到两个MySQL盒子,并使用心跳共享一个虚拟IP。 除了HAProxy上的SSLstream量外,一切正常。 我正在运行版本1.5 dev12与编译的openssl支持。当我尝试通过https导航到haproxy的虚拟IP,我得到的消息:纯HTTP请求被发送到HTTPS端口。 这里是我的haproxy.cfg到目前为止,主要是从其他post组装: global log 127.0.0.1 local0 log 127.0.0.1 local1 notice # log 127.0.0.1 local0 user haproxy group haproxy daemon maxconn 20000 defaults log global option dontlognull balance leastconn clitimeout 60000 srvtimeout 60000 contimeout 5000 retries 3 option redispatch listen front bind :80 bind :443 ssl crt /etc/pki/tls/certs/cert.pem mode http […]
我已经使用YaST在SUSE Linux Enterprise Server 11(x86_64)(patchlevel 1)上安装了Apache2(启用了mod_ssl)。 一旦安装,我testing是否一切正常到目前为止。 SSL也正常工作。 只是“apache2ctl开始”就足以使一切工作。 然后,我安装了mod_jk并应用了以下configuration更改以使其工作。 / etc / sysconfig / apache2(添加了JK模块) APACHE_MODULES="… … … … …jk" /etc/apache2/httpd.conf(包含mod_jk.conf) Include /etc/apache2/mod_jk.conf /etc/apache2/mod_jk.conf(新文件) JkLogFile /var/log/apache2/mod_jk.log JkWorkersFile /etc/apache2/mod_jk/workers.properties JkShmFile /etc/apache2/mod_jk/mod_jk.shm # Set the jk log level [debug/error/info] JkLogLevel info # Select the timestamp log format JkLogStampFormat "[%a %b %d %H:%M:%S %Y] " 还创build了mod_jk.log和mod_jk.shm文件。 /etc/apache2/mod_jk/workers.properties(新文件) […]
我有两个部署在IIS 7.5 Express中的网站。 第一个网站是PRODUCTION网站,第二个网站是TEST网站。 在PRODUCTION网站中,我添加了HTTPS绑定并需要SSL,因此强制从HTTPredirect到HTTPS是正常的。 在TEST网站中,我没有添加HTTPS绑定,并且需要SSL被禁用,但我想知道为什么它仍然强制从HTTPredirect到HTTPS。 任何想法为什么发生这种情况 顺便说一下,PRODUCTION网站使用主域名( www.maindomain.com ),而TEST网站只使用子域名( test.maindomain.com )。 我不希望子域只使用HTTP,而不是HTTPS。
我在Ubuntu上运行Apache服务器。 当我重新启动时,它要求我input密码; 这里是对话框的样子: Apache / 2.2.16 mod_ssl / 2.2.16(密码短语对话框)由于安全原因,您的一些私钥文件被encryption。 为了阅读他们,你必须提供密码短语。 服务器127.0.0.1:443(RSA)input密码短语: 我已经制定了如何从有问题的密钥文件中删除密码短语,但是我无法在上面的对话框中find任何关于如何确定Apache正在抱怨的密钥文件的信息。 我在服务器上有几十个关键文件,虽然我不知道哪些文件处于活动状态(我所做的只是'find.pem',而忽略了误报)。 有谁知道如何追踪哪些pem文件,我需要删除密码从?
我们有一个带有两个JBoss实例的服务器,其中一个运行在8080上,另一个运行在8081上。我们需要为8081服务器启用HTTPS,首先我们尝试通过生成密钥库并编辑server.xml在8080端口实例上启用https并成功地工作。 但是,当我们对8081尝试了同样的事情时,没有注意到我们先删除了8080服务器的https,然后才启用了8081。 这是用于8080和8081的server.xml的唯一区别。唯一的区别是在尝试启用https 8081端口实例时,端口从8080更改为8081。 我做错了什么,需要改变什么? 注:当我的意思是启用8080我的意思是当你访问https:// URL:8484你实际上是访问8080端口的实例。 但是,当ssl启用8081,我访问https:// URL:8484我得到的网页不可用。 无条件版本 <Server> <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /> <Listener className="org.apache.catalina.core.JasperListener" /> <Service name="jboss.web"> <!– https –> <Connector port="8080" address="${jboss.bind.address}" maxThreads="350" maxHttpHeaderSize="8192" emptySessionPath="true" protocol="HTTP/1.1" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" compression="on" ompressableMimeType="text/html,text/css,text/javascript,application/json,text/xml,text/plain,application/x-javascript,application/javascript"/> <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" address="${jboss.bind.address}" keystoreFile="${jboss.server.home.dir}/conf/supun1.keystore" keystorePass="aaaaaa" truststoreFile="${jboss.server.home.dir}/conf/supun1.keystore" truststorePass="aaaaaa" /> <!– https1 –> […]
我们目前在一个机架空间云服务器上托pipe多个sitecore站点,我们有5个站点,5个IP和5个SSL。 由于rackspace只允许在一个盒子上增加4个IPv4地址,所以我们处于我们所能做到的极限。 同样Sitecore许可成本有些天文数字,我们正试图调查我们如何能够扩展我们的解决scheme,而不必购买另一个软件许可证。 我们的设置目前很简单, 1 Rackspace云服务器 www.1site1.com xxx1 SSL1 www2site2.com xxx2 SSL2 www.3site3.com xxx3 SSL3 www.4site4.com xxx4 SSL4 www.5site5.com xxx5 SSL5 我一直在阅读这个 – http://digital.bigfish.co.uk/2012/04/ssl-in-the-rackspace-cloud/ ,我现在对什么是负载均衡器可以和不能启用我们来实现。 从理论上讲,这听起来像是我们问题的一个很好的解决scheme – 但我可能并没有正确地理解这一切。 如果我们要使用SSL终止LB,我们是否能够在一台云服务器上拥有所有这些站点,并在LB上拥有它们各自的SSL? HTTPS 至 Rackspace SSLterminal负载均衡器[SSL1 SSL2 SSL3 SSL4 SSL5] 至 Rackspace Cloud Server [site1 site2 site3 site4 site5] 或者负载平衡器希望多个云服务器都有自己的SSL,而不是单独的站点在一个盒子上。 同样,如果我们采用另一种方式,即使用HTTP作为LB,使用HTTPS作为LB,那么它们是否都绑定到一个外部IP,并有效地侦听相同的端口443 1.1.1.1端口80 HTTP(LB1) 1.1.1.1端口443 HTTPS(LB2) 云服务器端口443 – www.1site1.com […]
我使用SSL设置Puppetdb并遇到证书问题。 我使用Nginx作为Puppet的SSL代理,所以我的CA由这个Nginx代理机器上的mongrel服务器pipe理。 如果我使用Nginx机器上的CA为我的Puppetdb URI生成证书,我可以使用puppetlabs-puppetdb模块(因为Puppet代理使用代理的CA)来设置Puppetdb, puppetlabs-puppetdb无法连接到它,因为它有自己生成的CA证书。 如果我使用其中一个Puppetmasters为Puppetdb URI生成证书,则不能使用puppetlabs-puppetdb模块部署Puppetdb,因为Puppet代理不使用相同的CA证书。 我能做些什么调和这一切? 我可以完全closures我的傀儡(因为SSL由Nginx代理pipe理)的SSL和让他们使用代理的CA连接到Puppetdb?
我已经看到了这个不同的风格,但没有什么明显符合我需要做的。 我有一个安装了通配证书的Apache服务器。 现在我想让Apache做两件事情: 1)在http上监听请求,并为每个站点永久请求https。 2)将https请求委托给仅在端口80上侦听的内部服务器。 我非常肯定,我将拥有多个虚拟主机条目,并假设CNames是www.mydomain.com,test.mydomain.com,staging.mydomain.com。 他们都指向相同的IP,这是我的Apache服务器。 因此,当http://www.mydomain.com发出请求时,它应该被redirect到https://www.mydomain.com ,然后代理到内部服务器192.168.20.200。 请求http://test.mydomain.com应redirect到https://test.mydomain.com并代理回到192.168.20.201 …等等。 最好的我可以猜测www.mydomain.com的虚拟主机应该是这样的: NameVirtualHost *:80 <VirtualHost *:80> ServerName www.mydomain.com Redirect permanent / `https://www.mydomain.com/` </VirtualHost> <VirtualHost *:443> ServerName www.mydomain.com ProxyPass / `http://192.168.20.200/` ProxyPassReverse / `http://192.168.20.200/` </VirtualHost> 我不确定这是否是正确的方法(我已经看到了一些使用重写的例子),我不确定每个域需要两个虚拟主机条目。 有人可以证实这是正确的做法吗? 这个Apache将成为这个域的多个主机的反向代理。
我发现通过Linux命令行保存远程SSL证书,但在MySQL(因此TLS)的情况下,它不起作用。 所以问题是 – 我如何检查远程证书的TLS连接到MySQL?
我想强制https和服务器状态输出(mod_status)的基本身份validation。 如果我启用身份validation,用户请求http://site/server-status Apache首先要求通过,然后redirect到httpS,然后再次要求通过。 这个问题类似于Apache – 在AUTH之前redirect到https, 在.htpasswd之前强制https与apache,但是我无法得到它的工作,因为我们讲的不是通用文件夹,而是位置结构。 我的configuration(简称)如下: <Location /server-status> SSLRequireSSL <IfModule mod_rewrite.c> RewriteEngine on RewriteBase /server-status RewriteCond %{HTTPS} off RewriteCond %{SERVER_PORT} 80 RewriteRule ^ – [E=nossl] RewriteRule (.*) https://site/server-status} [R=301,L] </IfModule> SetHandler server-status Order deny,allow Deny from all Allow from localhost ip6-localhost Allow from 1.2.3.0/24 Allow from env=nossl AuthUserFile /etc/httpd/status-htpasswd AuthName "Password protected" AuthType […]