我有一个服务器端SSL服务器工作。 我已经添加 : SSLVerifyClient require SSLVerifyDepth 1 SSLCaCertificateFile /etc/ssl/certs/MyCA.crt 现在每次尝试加载页面时都会重置连接。 在error.log中没有错误。 并没有在Apache重新启动错误。 客户端证书尚未安装在客户端中。 浏览器是FF 23.01。 我应该得到一个错误,说:“这个网站需要一个证书”。
我有服务运行一个Windows框,用户通过http访问我们的networking和互联网。 他们通过浏览器和桌面工具访问这项服务 该框的FQDN是somebox.ourdomain.com 。 我们使用DYNDNS,以便http://theservice.otherdomain.com的外部请求获得我们的公共IP。 外部用户通过访问http://theservice.otherdomain:8080访问服务,我们的路由器转发到somebox.ourdomain.com:80 工作正常。 但是现在我们想要使用SSL。 我有点困惑,我应该使用的CN是主机本身(somebox.ourdomain.com)的FQDN还是DNS条目(theservice.otherdomain.com)的FQDN。 我怀疑这不是后者,因为这将打破所有的内部人。 有人可以确认吗? 这是一个情况下,值得玩一个自我签名的证书,以确保我有适当的CSR值之前,我在CA签署的证书上放了几百美元?
我们提供软件即服务,完全托pipe在amazon web services(AWS)上。 我们主要使用Elastic Beanstalk(弹性负载平衡器+ ec2实例)和RDS(数据库服务)等许多其他服务。 我们的许多客户使用我们的服务与自己的域名(白色标签),这不是一个问题。 但是,当他们想要使用自己的域名时 ,由于我们只能在每个ec2实例/负载均衡器上托pipe一个SSL证书,因此这成为了一个问题。 到目前为止,我们有一个客户使用SSL证书。 我们为他们build立了一个自己的环境,以便我们可以托pipe他们的证书。 但是,这是不实际的,因为我们现在需要在两个不同的环境(我们自己的和他们的)上进行软件更新等。 这种方法不能缩放。 有没有解决这个问题的方法? 是否有可能有一个ec2实例只是为了托pipe客户的SSL证书,但仍然将所有stream量路由到我们的主环境(隧道)? 或者也许在我们的负载平衡器上托pipe多个证书? 任何其他方法? 非常感谢您的意见!
我有nginx与以下vhosts: 一个gitlab虚拟主机: server { listen 443; server_name gitlab.mydomain.com; # eg, server_name source.example.com; server_tokens off; # don't show the version number, a security best practice root /home/git/gitlab/public; ssl on; ssl_certificate /etc/nginx/ssl/gitlab.crt; ssl_certificate_key /etc/nginx/ssl/gitlab.key; … # individual nginx logs for this gitlab vhost access_log /var/log/nginx/gitlab_access.log; error_log /var/log/nginx/gitlab_error.log; … } 默认虚拟主机来捕获所有其他域名 server { listen 80; return 444; } […]
我刚刚取代了我们几台服务器上的SSL证书(全部托pipe在IIS7上)。 在我们的IT经理的build议下,我们使用一个主题备用名称证书,而不是每个服务器的单独证书。 我们从Digicert购买了这个证书(不是自签名的)。我已经在我们的服务器上安装了证书,这些网站没有任何警告地加载,并在Firefox和Internet Explorer中显示出良好的locking。 但是,Chrome会通过locking图标显示一个红色“x”,并在URL的“https”部分显示删除线字体。 连接选项卡显示以下错误: “本网站的身份未经validation,您连接的服务器的身份无法完全validation,您使用的名称仅在您的networking中有效,而外部证书颁发机构无法validation由于某些authentication机构将为这些名称颁发证书,无论如何,都无法确保您连接到预期的网站而不是攻击者。 点击“证书信息”,我会看到完整的证书链(我们的证书,Digicert的中级证书和Digicert的CA证书)以及所有三个证书的证书状态为“此证书正常”。 我有四重检查,我在URL中使用的主机名是完全匹配的通用名称或证书中的主题替代名称之一。 我们在这些站点上的先前证书是* .mycompany.local的通配证书,而新的通用名称和SAN名称是针对mycompany.local域(即eng-wiki.mycompany.local)内的特定主机。 从Chrome的解释几乎听起来好像它已经检测到内部的DNS服务器被用来解决服务器的IP,但也是旧的通配证书的情况下,如果这是一个有效的理由声称身份不能被validation,它应该与旧的通配符证书(但它没有)相同的方式失败。此外,这种解释意味着没有公司内部服务器可以validation他们的身份,这样做会有更多的伤害安全性比好,因为我们都必须教导我们的用户忽略Chrome中的安全警告,尽pipe专门为了避免这种情况而在合法证书上下了数百美元。 我会很感激任何帮助。 谢谢! – 编辑 – 今天进一步挖掘,我search了铬源的错误信息的文本,并发现这个问题是由Chrome的结论是主机名是不唯一的。 还有其他一些职位用这个问题来报告这个问题,如果使用短名称作为他们的URL,那么这个问题就是 SAN证书 但是我使用完全限定的服务器名称,例如wiki.mycompany.local 确定我的主机名为非唯一的代码在这里 ,我看到一些讨论gTLD的意见,我怀疑这是gTLD的根本原因。 我对全球顶级域名不太了解,但我的公司使用.local伪顶级域名。 维基百科似乎说这不再是一个好主意(我不能做3链接B / C我的声誉太低服务器故障,请随时编辑这个,并使其成为一个链接en.wikipedia.org/wiki /.local),尽pipe多年前当我们的IT团队build立我们的networking时,这是一个推荐的做法。 要求他们改变现在并不是一件容易的事情 我试图编辑我的问题,删除公式中的SAN元素,除了我使用通配符证书mycompany.local时没有这个问题。 所以我仍然怀疑使用SAN证书是问题的一部分。 仍然感谢任何帮助。
我一直在研究SSL的东西,并从4个教程得到无处…我已经买了一个SSL的pingrglobe.com,现在试图将其应用到我的服务器。 这是我的nginx代码: http { server { listen 80; server_name pingrglobe.com; rewrite ^(.*) http://www.pingrglobe.com$1 permanent; } server { listen 443; ssl on; ssl_certificate /etc/nginx/ssl/pingrglobe.crt; ssl_certificate_key /etc/nginx/ssl/pingrglobe.key; #enables SSLv3/TLSv1, but not SSLv2 which is weak and should no longer be used. ssl_protocols SSLv3 TLSv1; #Disables all weak ciphers ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM; server_name www.pingrglobe.com; root /var/www/pingrglobe.com; index index.html index.php; […]
我在我的系统上有多个目录,例如, / var / www / dir1 / var / www / dir2 / var / www / dir3 而我想要做的是为每个目录生成一个服务器/客户端SSL证书,然后设置每个目录,使得客户端证书必须与服务器证书匹配才能访问该目录。 现在,如果有人拥有/ var / www / dir2的客户端证书,并且他们尝试访问/ var / www / dir1,他们将无法这样做,因为这些目录使用不同的证书。 这些目录中的每一个托pipe在相同的域(即domain.com/dir1,domain.com/dir2)上。 现在,我遇到的问题是我不完全确定如何在Apache中完成此任务。 (另外,我并不真正关心domain.com来要求SSL,但我确实希望目录需要它。)
在LIferay中使用CAS时,我对SSL有个疑问。 我已经在我的CAS服务器上使用Openssl生成了证书(我启动了本教程 ),现在我将使用Liferay机器上的keytool导入证书。 要使用keytool导入证书,请使用以下命令: keytool -import -alias tomcatLiferay -file /myopensslcertificate.crt 但是,当我导入.crt证书文件,并检查CAS连接时,我收到消息: SSL Error 。 如果我尝试使用keytool(keytool -genkey …)在CAS服务器端生成证书我导入此证书使用keytool -import ….我可以连接到CAS服务器,我看不到任何错误…我认为我用错误的方式来生成openssl证书或错误的方式来导入证书(由openssl生成)与keytool。
我一直在使用apache反向代理(不够强大)升级我的networking到configuration为反向使用的Squid代理。 我的鱿鱼代理是在一个CentOS 6虚拟机,目前运行在我的预先存在的Apache代理 – 所以我仍然有鱿鱼端口3128运行。 我在/etc/squid/squid.conf中有这个设置, http_port 3128 accel vhost visible_hostname squid cache_peer 192.168.0.13 parent 80 0 no-query originserver name=server1 cache_peer_domain server1 www.server1.com server1.com cache_peer 192.168.0.14 parent 80 0 no-query originserver name=server2 cache_peer_domain server2 www.server2.com server2.com cache_peer 192.168.0.15 parent 80 0 no-query originserver name=server3 cache_peer_domain server3 www.server3.com server3.com http_access allow all 这适用于所有的HTTP连接。 它指示 www.server1.com:3128 至 […]
openldap上的每篇文章/ how-to / blog都会将ldap的ldap证书放在/ etc / openldap / cacerts目录中。 我想知道为什么不把证书放在/ etc / pki / tls / certs中,并在/ etc / openldap / cacerts – > / etc / pki / tls / certs之间build立一个符号链接? 这样所有的证书都在系统中的一个地方,而不是分布在各种目录中。