服务器 Gind.cn

Articles of ssl

如何使用NGINX作为传统(Apache)Web服务器的前端

我有一个已经托pipe两个应用程序的NGINX服务器设置,并在该NGINX服务器上设置了SSL。 现在,我需要将NGINX服务器设置为传统Apache应用程序的前端,以便传统应用程序提供的服务可以通过SSL / HTTPS访问。 如何将我的NGINX服务器configuration为传统应用程序的“传递”服务器?

Apache2不要求私人SSL密码的密码

我正在尝试为我的apache2服务器设置SSH。 阿帕奇似乎find我的私钥,因为它一旦我移动它抱怨。 但它不检查文件的内容:当我用乱码replace它时,它仍然会给我一个很好的启动 ks@survey:/etc/apache2/ssl.key$ sudo service apache2 restart [ ok ] Restarting web server: apache2 … waiting . 它不应该检查密钥文件的内容,并要求我的密码? 这是我的error.log说: [Wed Jul 23 22:21:55 2014] [notice] caught SIGTERM, shutting down [Wed Jul 23 22:21:56 2014] [notice] Apache/2.2.22 (Debian) mod_ssl/2.2.22 OpenSSL/1.0.1e mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations (我的openssl版本应该被打上补丁并且没有心跳。) Apachectl提供以下输出: ks@survey:/etc/init.d$ sudo /usr/sbin/apachectl -S VirtualHost configuration: […]

Nginx不通过HTTPS提供静态文件

我正在尝试在Apache之前设置Nginx作为反向代理并提供静态文件。 我301 http到https,并提供https部分中的指令通过别名提供静态文件夹。 但是,由于一些奇怪的原因,文件通过http服务。 这是我的Nginx站点configuration: server { listen 80; listen [::]:80; access_log off; server_name site.com www.site.com; return 301 https://$server_name$request_uri; } server { listen 443; ssl on; ssl_certificate /usr/local/sslcert/my.crt; ssl_certificate_key /usr/local/sslcert/my.key; access_log off; server_name site.com www.site.com; location /public/ { alias /var/www/public/; expires max; add_header Pragma public; add_header Cache-Control "public"; } location / { root /var/www/; index […]

SSL链validation问题 – 梭子鱼负载均衡器

我已经使用SHA1哈希安装了一个新的SSL证书。 我使用由GeoTrust SSL CA – G2的安全证书,但与WebServices通信我得到一个PKIX错误。 下一页: https://www.geocerts.com/ssl_checker 这是给我的下一个信息: 证书链完成? 无法find有效的根CA证书,证书可能会显示浏览器警告。 我希望有一个人可以帮助我。

Apache不会通过SSL提供站点

我有一个服务于我的网站的Apache服务器,如果我只使用http,但无法通过https连接到它。 我已经梳理了所有的错误日志,什么也没有发现。 我已经从本网站的其他答案尝试了几件事情,包括允许端口443通过我的防火墙并重新启动iptables,并禁用SELinux。 这些都没有奏效,所以我怀疑我的configuration有问题。 这是我的虚拟主机: Listen 80 Listen 443 NameVirtualHost *:80 <VirtualHost *:80> ServerName myurl.com Redirect permanent / https://myurl.com:443 </VirtualHost> NameVirtualHost *:443 <VirtualHost *:443> ServerName myurl.com Alias /static /path/to/my/app/static WSGIScriptAlias / /path/to/my/app/wsgi.py <Directory /path/to/my/app> Order deny,allow Allow from all </Directory> SSLEngine on SSLCertificateFile /etc/ssl/ssl.crt/myurl.com.crt SSLCertificateChainFile /etc/ssl/ssl.crt/myurl.com.ca-bundle SSLCertificateKeyFile /etc/ssl/ssl.key/myurl.com.key ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel debug # […]

HAproxy 1.5可信CA

我试图让HAproxy 1.5.x信任已经在机器的信任存储区( /etc/ssl/certs )中的任何证书颁发机构,而不必明确指定单个的ca-file根授权证书被信任。 我想避免给定的后端服务器使用由不同权威机构颁发的证书的情况,并且由于后端服务器不再受信任而导致中断 – 尽pipeCA在机器信任存储器中。 在haproxy.cfg文件的给定backend部分中, server行有一个名为ca-file的选项。 此选项指示HAproxy使用所提供的权限validation后端服务器证书的权限。 麻烦的是,这指向一个单一的CA. 我find了ca-base选项。 除非我错了,否则这只是避免在每个声明中指定ca-file的完整path的捷径。

apache如何以非root身份运行私钥(用于SSL证书)?

apache的作为非root用户运行的孩子如何访问只有root用户才能访问的私钥(与SSL证书一起使用)? 事实上,当Apache启动时,只有主进程仍以root身份运行。 线程正在以非root用户身份运行。 通常,按照安全指南,您的私钥的所有者是root,并且其权限为600。 那么这些孩子们怎么能够build立一个SSL连接呢? 主进程和subprocess之间是否有共享内存,有没有使用临时文件,还是负责build立SSL连接的主进程? 另外(这有点偏离主题,但仍然很有趣)是否意味着能够妥协一个Web服务器意味着能够破坏私钥? 例如,假设我们可以访问PHP的webshel​​l(因为PHP和Apache经常共享同一个用户),这是否意味着我们可以检索(这种或那种)私钥? 谢谢。

Foreman-Installer安装失败 – puppet cert – 生成FQDN返回23而不是 – Ubuntu 14.04

我试图在我的Ubuntu 14.04服务器上安装Foreman serveral时间。 工头1.5和1.6总是失败,同时出现以下错误: /usr/bin/puppet cert –generate ubuntutest.domain.com returned 23 instead of one of [0] /Stage[main]/Puppet::Server::Config/Exec[puppet_server_config-generate_ca_cert] /returns: change from notrun to 0 failed: /usr/bin/puppet cert –generate ubuntutest.domain.com returned 23 instead of one of [0] /Stage[main]/Puppet::Server::Config/Exec[puppet_server_config-generate_ca_cert]: Failed to call refresh: /usr/bin/puppet cert –generate ubuntutest.domain.com returned 23 instead of one of [0] /Stage[main]/Puppet::Server::Config/Exec[puppet_server_config-generate_ca_cert]: /usr/bin/puppet cert –generate ubuntutest.domain.com […]

nginx + varnish,为ssl优化cachingurl

我有一个工作清漆caching为我的网站,与不希望的副作用,请求与http域名caching与一个特定的url,并要求与另一个urlhttps。 这样我最终在caching中的双重对象,我想问一些如何优化这种行为的最佳做法。 详细我有nginx内的两个虚拟主机相同的域侦听端口80和443每个。 请求被代理传递给清漆: proxy_pass http://varnish:8101/VirtualHostBase/http/example.com:80/path/VirtualHostRoot/; 和 proxy_pass http://varnish:8101/VirtualHostBase/https/example.com:443/path/VirtualHostRoot/; 在varnish.vcl我检查请求的主机,并设置右后端,因为有多个。 if (req.http.host == "example.com") { set req.backend = backend_0; } 后端是一个Zope / Plone服务器。 页面caching正确varnish,但我有/VirtualHostBase/http/example.com:80/path/VirtualHostRoot/logo.png和/VirtualHostBase/https/example.com:443/path/VirtualHostRoot/一个条目在我的varnishlog(RxURL)中的logo.png。 Plone清除条目时,只清除ssl版本,因为每个login用户都必须使用https。 http条目保持到年龄无效。 是否有可能通过重写URL来将http和https请求合并成一个清漆对象? 为了节省空间和做一个成功的清除。 也许有人可以给我一个提示如何解决这个问题!

当使用`openssl s_client`的时候得到'HTTP / 1.1 505 HTTP版本不支持`

我正在尝试使用openssl s_client发送一个原始的HTTPS请求。 我input这个: $ openssl s_client -connect homebrew.herokuapp.com:443 在它完成SSL pleasantries之后,我input这个: POST http://homebrew.herokuapp.com/ HTTP/1.1 但是,然后它closures与此的连接: HTTP/1.1 505 HTTP Version Not Supported Connection: close 我只在Heroku上托pipe的应用程序上获得此function。 为什么?
Intereting Posts
Ubuntu的10.04灯安装 CentOS 7,smb服务需要`systemctl restart smb`才能工作 目录的最佳和适当的权限设置 与公共IP的LXCnetworking 便宜的1U服务器选项 使用MSDEPLOY在服务器之间导出\ import网站时出现“CustomFields”错误 任何人都可以推荐一个前端过滤邮件服务? OpenVPN:在OVPN文件中使用相对path的正确方法 MSI安装参数 使用SSH隧道访问网站后面的网站 截取并修改postscript文件以更改MediaPosition SSH – 1s挂在“进入交互式会话”(不DNS;可能与SELinux相关) 无需指定端口即可连接到websocket服务器 2个BGP上行,一个发送默认路由,另一个全表 gitosis总是要求git密码