经过大量的search和Serverfault浏览我仍然有一个SSL问题: Safari根本无法打开该页面,Firefox在5分钟不活动(不浏览任何内容)之后会发出“安全连接失败”的提示。 Chrome / Chromium返回403错误,然后快速重新加载页面,一切正常。 它是在Comodo安装SSL证书后发生的。 您可以在这里看到报告: https : //www.ssllabs.com/ssltest/analyze.html?d=marketplace.mercicapitaine.fr&hideResults=on SSL购物者都很好: https : //www.sslshopper.com/ssl-checker.html#hostname=marketplace.mercicapitaine.fr TLS是1.2 SSLlabs说:“服务器不支持参考浏览器的前向保密。” 和“此服务器支持弱Diffie-Hellman(DH)密钥交换参数”。 我做了一个TCP dump,但是我很难理解它.. 我不是一个服务器的人,所以任何提示如何debugging/跟踪错误是值得欢迎的。 它在NGINX上托pipe,没有什么特别的错误日志。 非常感谢您的时间:) 编辑: nginxconfiguration: server { listen *:80; listen *:443 ssl; ssl_certificate /home/ubuntu/ssl_2016/ssl-bundle.crt; ssl_certificate_key /home/ubuntu/ssl_2016/mckey.key; server_name marketplace.mercicapitaine.fr; access_log /var/log/nginx/marketplacemercicapitainefr.access.log; error_log /var/log/nginx/marketplacemercicapitainefr.error.log; root /srv/marketapp/; index index.html index.htm index.php; fastcgi_buffers 16 16k; fastcgi_buffer_size 16k; fastcgi_read_timeout 900; client_max_body_size […]
是否有可能通过SSL / SSH通过rsync保护Galera Cluster SST? 本页build议不是,具体如下引用: 与rsync不同, xtrabackup包含对内置SSLencryption的支持。 我已经按照所有步骤来保护数据库和复制 。 [mysqld] ssl-ca = /path/to/ca-cert.pem ssl-key = /path/to/server-key.pem ssl-cert = /path/to/server-cert.pem wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA" [mysql] ssl-ca = /path/to/ca-cert.pem ssl-key = /path/to/client-key.pem ssl-cert = /path/to/client-cert.pem 这些设置将保护我的SST,在rsync之外? 或者有没有办法来保护rsync SST? 我熟悉如何使用rsync -e ssh通过SSH来保护rsync传输。 但是,我无法find答案的是如何指定Galera的选项。 这是我能find的唯一select: wsrep_sst_method=rsync 这很重要,因为 – 在最坏的情况下 – 我可能需要在WAN上执行SST。 我使用MariaDB 10.1.11和Galera 25.3.12。
我们目前的networking堆栈安装在Plesk的CentOS 5.11服务器上。 我们正在使用PHP 5.4,cURL 7.47.1和openSSL 0.9.8e-fips-rhel5 2008年7月1日。我试图使用基于代码的代码来运行PayPal IPN: https : //github.com/paypal /ipn-code-samples/blob/master/paypal_ipn.php 。 问题是握手试图使用SSLv3似乎不支持贝宝(也许我错了?)。 我收到此错误: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure 。 我发现其他地方说要尝试一些事情。 所有我有。 我曾尝试使用 curl_setopt($ch, CURLOPT_SSLVERSION, 5); curl_setopt($ch, CURLOPT_SSLVERSION, 6); curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, "TLSv1"); curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, "TLSv1.2"); 这些都没有工作。 cURL和OpenSSL都被更新为CentOS 5.11的最新端口。 我希望或者我错过了一些东西,有一种方法来运行没有TLS的PayPal IPN,或者有一种方法来更新openSSL到1.0.1g。 任何帮助将不胜感激。 注意:升级到CentOS 6不是一个选项。
我目前有一个自签名sha-1证书的apache http服务器版本2.2.0。 我需要迁移到更现代的可信证书。 我们已经使用我们当前的证书来生成客户端证书。 我的问题是我可以使用两个服务器证书并行,直到现有的客户端证书过期? 如果是的话,如何configurationApache来做到这一点?
我试图让我的Django网站完全移动到https (目前它只是http )。 networking服务器是nginx(反向代理)和gunicorn。 但是,即使正确安装SSL,打开端口443并调整我的nginx虚拟主机文件,我无法连接到我的网站通过https://example.com ( http://example.com工作正常)。 有人可以指导我如何解决这个问题? 以下是详细信息: 在/etc/iptables/rules.v4 (我使用iptables-persistent软件包)中,我有这个代码片段: # Acceptable TCP traffic -A TCP -p tcp –dport 22 -j ACCEPT -A TCP -p tcp –dport 80 -j ACCEPT -A TCP -p tcp –dport 443 -j ACCEPT 如果我写了sudo netstat -4plunt ,输出显示端口443正在监听: Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 […]
我的一个合作伙伴想要做客户端SSL证书authentication。 他们希望我们使用认可的CA签署证书。 我的印象是,对于客户端SSL证书authentication,使用自签名的CA会做。 但是,他们坚持认为这应该由认可的CA来完成。 有这样的事吗?
作为我们网站重大改造的一部分: 退休旧服务器(无SSL) 设置新的服务器(使用ssl和其他更改) 一旦新服务器准备就绪,切换域的dns 是否有可能安装我的SSL证书,并准备好了? 所以我只需要在启动新网站时切换dns? 非常感谢!
我试图在我的FreeBSD Apache 2.4.16服务器上完全支持向前保密。 我正在使用正确的密码套件,因为相同的密码顺序在不同的FreeBSD服务器上正常工作。 但是,当我尝试SSL服务器testing时,即使运行openssl ciphers cipher显示它们存在,ECDHE密码套件也不会出现。 这可能是什么原因? configuration的密码是这些: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE- -AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA :ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE -RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3 -SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:DSS
我现在想知道,我开发了一个帮助台系统,而不是使用PHP的imap库连接到configuration的邮箱,并“拉”通过邮件,并根据内容创build票据。 但是,唉,我遇到了一个问题,我们的应用程序部署在PHP的一些服务器没有编译–with-imap-ssl标志。 我首先想到的解决scheme也是: 通过SSHlogin到每个服务器 执行php-config复制构build标志 使用–with-imap-ssl标志和上一步中的所有其他标志重新编译php 但是,有些客户端可能不会让我们重新编译PHP,因为他们正在将其用于其他应用程序。 而且这也是DevOps Nightmare的一点,因为我们必须在Night上这样做,以确保没有人使用他们的服务器,并让他们知道我们将重新编译php,所以我们将禁用Apache $ N这个过程正在发生。 然后我想另一个解决scheme是: 获取在服务器上运行的所有不同版本的PHP 确保所有openSSLpath与/usr相同 分开一个vm的foreach风格的Linux(CentOS / Ubuntu) cd /tmp && wget ftp://ftp.cac.washington.edu/imap/imap-2007f.tar.gz或者获取任何其他版本的IMAP人正在运行。 tar xzf imap-2007f.tar.gz sudo mv imap-2007f /usr/local 编译imap 下载所有需要的PHP版本 使用–with-imap-ssl标志进行编译 然后,我们将具有所需的“imap.so”文件,我们将需要该特定的 PHP版本 scp该imap.so文件到客户端服务器,并重新启动Apache然后PHP将希望有imap-ssl的支持,而不会破坏服务器上的其他任何东西。 现在的问题是: 有一个更好的方法吗 ? 这些方法会起作用吗? 遵循什么步骤来自动执行此过程?
我试图find一个大规模的解决scheme来设置多个域及其子域,并带有SSL证书。 这是几十个负载平衡服务器上的数千个网站的顺序。 (我们是一个.NET商店,如果这是有帮助的) 理想情况下 ,我们可以实现一些东西,而不必单独为每个域购买证书(不能很好地扩展),但是如果这只是一个必要的步骤,我想我可以find一个创造性的解决scheme。 UCC似乎并不理想,因为这些域名之间存在关联,而且缺乏能够升级的function,因此无法实时添加其他域名。 这些是针对不同的个人客户,所以分离的程度是一个不幸的必要性,灵活性是至关重要的,因为网站的数量不是固定的。 有没有人find这样的解决scheme? 我甚至会采取一些创造性的想法,只是让球滚动。 (网站的长时间使用者,但是第一次问一个问题,所以如果我可以改善这个任何细节请当然让我知道。)