多个域上的用户连接邮件服务器群集。 该集群由3台服务器组成。 SRV1.hostdomain.com SRV2.hostdomain.com SRV3.hostdomain.com 这些服务器与securemail.hostdomain.com背后的MXlogging以及各自的优先级相结合。 客户端将邮件服务器视为mail.theirdomain.com ,并将其命名为securemail.hostdomain.com 。 我将使用通配符SSL证书来设置hostdomain.com 。 这个服务的问题是客户端不能在他们的mail.theirdomain.com上使用SSL。 我应该使用多域名SSL证书还是我应该使用什么样的SSL证书?
我们正在使用一个根CA和两个不同的服务器上部署的中间CA. 使用中间CA,我们正在生成服务器和客户端证书。 我注意到的一件事是,有一个newcerts文件夹,每当我创build一个证书,一个新的文件正在/ newcerts目录中生成与文件名1000.pem,1001.pem等 我可以使这个文件名是唯一的吗? 对于证书吊销,我需要从这个中间CA中唯一标识用户。
我正在用自己的CA创build一个站点,并用它来签署客户端证书。 客户需要将我的CA作为可信来源添加,但出于安全原因,我不希望他们盲目信任可能用CA密钥签名的所有内容,所以我想强制限制来build立客户的信任。 所以我想限制CA的能力,只签署客户端证书,并启用https访问。 我不确定我应该在证书创build中施加什么限制。 最好的办法似乎是名称限制 ,并使用白名单来限制使用,这显然是现在尊重 。 所以我尽pipe我必须使用dns(比如说xyz.com),所以CA签名不会被google.com f.ex接受,并且也会将其放在每个客户端证书的SAN中,所以客户端证书是认为有效并且不被拒绝。 显然这不是它的工作原理。 我已经试过这个,但是我一直无法使它正常工作。 另外,我从Windows获得警告…也许是因为所有可能的名称约束types必须存在 ? 所以我的问题是: 我应该如何configurationCA证书? 我应该在CA证书中应用什么限制来限制其被滥用的能力? 如果涉及名称限制,为什么我的示例在图像中不起作用? 在客户端证书中是否还有额外的工作要做,比如增加一个额外的SAN? 编辑 理想情况下,我的CA证书中应该有一些东西强制它只签署客户端证书并执行https服务器身份validation。 我看不出如何去做这个限制,我认为这是不可能的。 对于使用名称约束,我已经允许使用xyz.com ,并且我认为只有我的CA和SAN xyz.com签名的证书才能被接受(否则我可以使用SAN创build一个证书xyz.com和google.com并可能在访问google.com时工作)。 所以我使用了由我的CA签署的客户端证书,没有SAN xyz.com ,我被接受了。 不知道名称约束是否适用于这种情况。
当我使用SRV DNSlogging时,我在TLS证书中input了什么名字? 例如,如果我在两台服务器(klas1和klas2)上设置slapd,并且使用绑定区域文件风格表示法定义这些DNSlogging: _ldap._tcp.example.com. IN SRV 10 0 389 klas1.example.com. _ldap._tcp.example.com. IN SRV 20 0 389 klas2.example.com. klas1.example.com. A 192.168.0.1 klas2.example.com. A 192.168.0.2 我希望我的客户将被configuration为连接到ldap://example.com/。 但是,当我在服务器上生成TLS证书时,是使用名称“example.com”生成它们,还是使用名称“klas1.example.com”生成它们,还是同时需要?
我有一个与MySQL的服务器。 我发布grant all on *.* to 'user'@'%' require ssl; 根据本指南创build了ca,key和cert。 我没有使用客户端证书。 我将ca.pem复制到一个沙箱,并使用命令mysql -u user -p -h 192.168.120.78 –ssl-ca=ca.pem从沙箱连接到数据库,它的工作原理类似于一个魅力。 如果没有–ssl-ca=ca.pem它就不能正常工作。 发布SHOW STATUS LIKE 'SSL_CIPHER'; 确认encryption正在工作。 但是当我试图连接与SQLYog使用相同的CA它不起作用。 我收到错误消息 错误号2026 SSL连接错误:自签名证书 我正在使用SQLYog 12.4.2
有没有人有一个想法,为什么我的Apache实例不断重新启动自己? 我在日志中看到以下错误: [mpm_winnt:通知] [pid 2592:tid 420] AH00428:父级:subprocess1976退出状态255 – 重新启动 。 [mpm_winnt:notice] [pid 2592:tid 420] AH00428: Parent: child process 1976 exited with status 255 — Restarting. [mpm_winnt:notice] [pid 2592:tid 420] AH00455: Apache/2.4.25 (Win64) OpenSSL/1.0.2j configured — resuming normal operations [core:notice] [pid 2592:tid 420] AH00094: Command line: 'C:\\Apache24\\bin\\httpd.exe -d C:/Apache24' [mpm_winnt:notice] [pid 2592:tid 420] AH00418: Parent: Created […]
我有一个Tomcat 7.0服务器,我想要configuration在HTTPS端口上侦听。 我使用Nio协议,我希望它支持SSLv3和TLS协议(我知道SSLv3是不安全的,但我需要提供这种能力)。 现在看起来如何: <Connector port="443" SSLEnabled="true" clientAuth="false" disableUploadTimeout="true" enableLookups="false" keyAlias="myalias" keystoreFile="mykeystore" keystorePass="mypass" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" sslEnabledProtocols="SSLv3,TLSv1,TLSv1.1,TLSv1.2" /> 问题是我应该使用什么值作为sslProtocol? 根据文档 SSL启用任何SSL协议和TLS任何TLS协议,但是如何启用两者? 我试图设置“SSL,TLS”和“SSL_TLS”,但这些值是无效的。
我处于受限制的networking中,并且在OpenVPN P_CONTROL_HARD_RESET_CLIENT_V2之后,我的连接到我的OpenVPN服务器(TCP / 443)的尝试被TCP RST欺骗中断。 我logging了双方的stream量,并注意到双方都收到了连接重置,但是双方实际上都没有产生连接重置,即RST是从防火墙中注入的。 有没有办法掩饰OpenVPN看起来更像是正常的HTTPSstream量?
我正在设置一个RD网关服务器用于testing目的,我想我可能已经搞砸了SSL证书购买。 我们已经在主networking上创build了一个子网(192.168.25.XXX),其中一台防火墙和服务器运行着DC,RDS,Workstation等虚拟机。 我已经购买了域名,configuration了外部DNS,并正在configurationRD网关服务器。 我想设置安装在共享激活模式下的RD网关服务器/ w Office。 该域名是AD.mydomain.com,但我购买了remote.mydomain.com的SSL证书,而不考虑整个域名是在AD.mydomain.com下的子域名 有没有什么办法可以在没有通配证书的情况下进行设置? 这对于一个学习项目来说有点贵。
我们在Windows 2008 R2上运行Elasticsearch 5.5.1。 我们已经安装了Searchguard SSL插件,以在Elasticsearch的传输端口(9300)上启用SSL,并使用我们的pipe理员提供的jks证书。 如何validation此端口上的通信是否使用SSL? 是否有任何内置的工具或其他免费软件工具可以用来确定/监控? 谢谢!