我将我的SSL网站和证书从Apache迁移到Nginx,从那一刻起,所有的Windows XP客户端都不能识别SSL证书(这是Trustico颁发的通配符证书)。 以前的Apache服务器上的旧configuration是这样的: SSLEngine on SSLCertificateFile /etc/apache2/ssl/*_mysite.com.crt SSLCertificateKeyFile /etc/apache2/ssl/*_mysite.com.key SSLCertificateChainFile /etc/apache2/ssl/*_mysite.com.ca-bundle 而Nginx服务器上的新configuration是这样的: ssl on; ssl_certificate /etc/nginx/ssl/*_mysite.com.crt ssl_certificate_key /etc/nginx/ssl/*_mysite.com.key; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; Nginx不支持SSLCertificateChainFile参数,所以我读了我需要在* _mysite.com.crt下添加* _mysite.com.ca-bundle文件。 此后,除Windows XP之外的其他操作系统运行良好,但Windows XP仍然识别出错误的证书(它返回“证书错误”消息)。 我无法解决这个问题,你能帮我吗?
在我们的Linux服务器上,我们得到了一些sorting或Web应用程序使用http ONLY运行自己的小型networking服务器。 这意味着它本身不支持ssl。 所以即时通讯寻找一种方法来在这个小的Web服务器/ WebApp的前面打包“东西”,所以它正在对用户(必需)说HTTPS,并保持在本地(服务器内部)与WebApp交谈。 我试图find这样的事情。 但事实上,我发现很多东西涵盖了Apache,SSL和反向代理并没有真正清除事情。 我比以前更困惑了。 需要一些提示,关键字或configuration的例子来实现这一点。 谢谢
我想通过重新引导一些URL模式强制SSL www。 例如, 强制SSL wwwredirect: http://example.com/asia/fewf -> https://www.example/asia/fewfwe http://example.com/africa/foo/bar/1/ -> https://www.example/africa/foo/bar/1/ 不要做任何事: http://example.com/europe/1 -> http://example.com/europe/1 http://www.example.com/europe/1 -> http://www.example.com/europe/1 我试着添加这个: RedirectMatch 301 ^(/asia[^/]*/.*)$ https://www.example.com$1 但是,它会导致错误:“太重要的redirect”
我怎样才能优化HAProxy与SSL终止到Ubuntu的Nginx后端? 设置工作正常,路由正常。 但是,当我使用HAProxy执行SSL终止时,会有巨大的性能下降(下面的testing)。 关键是4096位的rsa。 HAProxy强制HTTPS进行validation,然后终止SSL,并将HTTP传输到后端Nginx服务器。 Nginx的服务器是相同的,并提供多个静态页面,即192.168.1.xx / page1.html,192.168.1.xx / page2.html等(我包括NodeJS为我的系统的完整性,但只增加了<1毫秒的延迟。可以忽略。) 这里是设置,configuration和当前的testing。 每个虚拟机(VM)运行Ubuntu 14.04,并且可以具有可变数量的CPU和RAM。 HAProxy(1.5.14):192.168.1.10 Nginx-1:192.168.1.20 Nginx-2:192.168.1.21 Nginx-3:192.168.1.22 NodeJS-1:192.168.1.30 这里是HAProxyconfiguration: global maxconn 40000 tune.ssl.default-dh-param 2048 log /dev/log local0 log /dev/log local1 notice chroot /var/lib/haproxy stats socket /run/haproxy/admin.sock mode 660 level admin stats timeout 30s user haproxy group haproxy # Default SSL material locations ca-base /etc/ssl/certs crt-base […]
我有一个经过validation的SSL网站。 除了一件事,一切都好。 在我们国家有一个移动互联网提供商的客户不能访问我们的网站。 当他们尝试通过他们的移动networking访问我的网站时,他们不能。 他们的报告之后,我自己试了一下,结果也一样。 FTP,:80,SSL 10000端口都可以。 但是只有SSL 443超时。 没有访问我的服务器。 我检查了服务器日志,发现这些IP-s没有日志条目,所以这意味着他们的请求没有到达我的服务器。 经过一段时间尝试超时。 我联系了移动提供商的支持,他们调查并向我保证,他们没有阻止我的专用服务器的任何端口或主机名。 还有一个奇怪的事实:只有60-70%的客户无法连接到我的SSL网站,其他30-40%的连接没有任何问题。 有没有办法find问题的真正原因? telnet,ping,traceroute,dns和networking结构检查没有给出任何结果。 如果问题在于移动运营商的networking,我必须向他们certificate,否则他们拒绝他们的错误,并build议我再次检查我的服务器结构。
我已经看了一下,有人说这是因为HTTP需要更改为HTTPS图像等。 有没有我可以使用的工具,可以解决我的SSL问题? 任何人都可以告诉我为什么这个网站( https://epharmacies.com/ )有三angular锁而不仅仅是锁?
我有一个VPS环境,有4个IP,其中3个指向1个或多个子域。 另一个是TLD。 由于使用主机头,子域需要被隔离在自己的IP上才能获得证书。 如果我为一个具有N个子域的IP购买了通配符证书,是否会导致以下问题: 主要的TLD拥有自己的证书 具有自己的证书的单个IP,单个子域实例
几天前,一些用户报告说,他们在客户的网站上发现错误,说“证书不可信,因为它是自签名的”,并且继续说:“证书只对asimov.sensoryworld有效.COM”。 只有当通过https://sensoryworld.com访问网站时,或者当他们到达使用SSL的结账页面(如果他们只是在http:上浏览),才会发生这种情况。 为了澄清,asimov是主机名,而不是该网站所在的子域。 我使用https://www.sslchecker.com/sslchecker检查了SSL安装,它说证书提供商是GoDaddy.com,Inc.我联系了GoDaddy,他们说所有的设置都正确。 只要确定我重新安装了证书并再次对其设置权限,然后重新启动服务器。 这个错误不会发生在每个人身上。 我能够访问该网站的所有部分,以及GoDaddy和主持人Linode的代表。 然而,对于足够的人来说,我知道这不仅仅是用户端的错误。 一位顾客说,他们可以通过百思买的笔记本电脑上的https访问网站,但是当他们回到家时,错误又开始出现了。 以下是/etc/apache2/sites-enabled/sensoryworld.com.conf中我的VirtualHosts文件的内容: # domain: sensoryworld.com # public: /var/www/sensoryworld.com/public_html/ <VirtualHost *:80> # Admin email, Server Name (domain name), and any aliases ServerAdmin [email protected] ServerName www.sensoryworld.com ServerAlias sensoryworld.com # Index file and Document Root (where the public files are located) DirectoryIndex index.html index.php DocumentRoot /var/www/sensoryworld.com/public_html # Log file locations […]
我们有一个生产Apache Tomcat的服务器,通过它服务一些网站。 这些网站已经开始申请有效的SSL证书。 我们对服务器上的有效IP数量有一些限制。 另一方面,我们已经阅读了最近的SSL版本中的服务器名称指示(SNI),这似乎是所有主要的Web浏览器都支持的,并且使我们能够在一个IP地址上拥有多个启用SSL的站点。 问题是Apache Tomcat在其稳定版本中不支持SNI,也不支持像WebLogic这样的主stream商业服务器。 毕竟,SNI能否被视为这个问题的成熟解决scheme呢? 谢谢。
我下载了TurnKey Linux OpenLDAP虚拟机实例。 它现在运行在一个虚拟机。 我正在使用这个通过networking进行用户帐户authentication。 客户端机器是股票CentOS 7机器。 这两台机器上的所有内容都由OpenLDAP和OpenSSL实现。 所有服务器端AFAIK的configuration似乎都没问题(这是TurnKey Linux发行版的整个概念)。 我可以通过networking访问它的networkingpipe理界面,除了我无法从客户端机器进行身份validation之外,一切似乎都很好。 我相信我已经在客户端机器上正确设置了一切,除了一个事实:客户端上的SSL细节设置不正确,而且我不太了解这方面的知识。 我想用我自己的authentication和我自己的权威 试图从客户端机器su username使shell挂起几秒钟(就好像它正在等待的东西)。 然后,用户authentication失败,而不是立即退出,当我input一个无意义的用户。 经过调查,我发现我的系统日志中有以下条目: Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> ldap_start_tls_s() failed (uri=ldap://192.168.254.104): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> failed to bind to LDAP […]