我正在为所有请求设置一个使用SSL的Web应用程序。 它需要有扩展的空间,也是高度可用的。 似乎“推荐”的处理方法是为HA设置一对第4层负载均衡器,它们通过服务器场进行SSL解密,然后转到第7层负载均衡器的场,然后最后到networking服务器。 (见: http : //1wt.eu/articles/2006_lb/index_09.html ) 过去我使用过HAProxy,所以我尝试了一下这样的设置。 基本上我有HAProxy in TCP mode => STunnel => HAProxy in HTTP mode => Apache 。 当我这样做时,可用于apache的客户端IP是第二个HAProxy服务器的IP。 我可以通过让STunnel添加一个X-Forwarded-For头来稍微改进,但是只给了我第一个HAProxy服务器的IP地址。 我无法find让Apache知道原始客户端IP地址的方法。 根据我读过的文档,我不认为HAProxy能够在tcp模式下通过原始客户端的IP地址。 那是对的吗? 如果是这样,是否有任何开源软件负载平衡器可以做到这一点? 如果没有,是否有任何商业/硬件负载平衡器可以? 我想我也应该注意到,这个负载均衡器并不严格地需要成为第4层负载均衡器。 我只需要能够通过SSLstream量到STunnel(或任何我最终使用的SSL解密)。 作为一个侧面说明,我试图设置它没有第4层负载平衡器(即STunnel是链的第一部分)。 这解决了客户端IP问题。 但是,正如上面的文章所预测的,STunnel是瓶颈。 它开始丢失每秒500到600个请求的请求。 而且,当然,这不能通过增加更多的框来扩展(同时维护HA)。 根据我给出的要求,这个应用程序应该能够处理每秒1000-5000个请求的峰值stream量。
我有一个www.domain.com的SSL证书。 很显然,如果有人去https://domain.com,他们会从浏览器中得到关于证书不匹配的错误。 是否可以设置Web服务器将请求从https:// domain.comredirect到https:// www.domain.com? 在nginx中,我一直在尝试这个变体,但没有用: server { listen 443; server_name www.domain.com domain.com; if ($host !~ www.domain.com) { rewrite ^/(.*) https://www.domain.com/$1 permanent; } } 编辑:只是澄清,如果任何人通过普通的http点击网站,这不是一个问题,我已经可以redirect到https:// www.domain.com,这是正确的。 只有他们手动键入https:// domain.com,我不知道如何做redirect。
我使用Webmin来pipe理Ubuntu 10.10服务器,并为http://mydomain.com设置一个VirtualHost设置(和工作)。 如果我想从GoDaddy这样的CA(已经生成了CSR)安装SSL证书,我该如何在Webmin中设置它? 我会用相同的文档根目录创build另一个虚拟主机,但在*:443上进行监听吗? 有什么特别的指令,我需要添加到configuration或Webmin设置为我(用于SSL)? 我在这里使用指南: https : //help.ubuntu.com/10.10/serverguide/C/certificates-and-security.html
无论证书警告无效,我最简单的方法是将http和https从olddomain.comredirect到newdomain.com? newdomain.com是我们当前在IIS6上的域名,并且对于某些内容具有SSL(带有证书) olddomain.com有一个永久的redirect – 但这不会 为https://olddomain.com工作。 它是IIS6中的第二个网站。 我在研究这个问题时遇到了问题,因为大多数人都在关注通配符SSL证书,或者IIS6中的子域的多个SSL主机头的复杂性。 在任何redirect可以采取行动之前,警告似乎无法避免使用SSL。 设置SSL IIS6主机头只是为了redirect似乎不正确(或简单),但也许我可以改变DNS和/或使用我们有一个Apache托pipe帐户。 提前致谢
我为我们的网站推出了一个新的EV SSL证书,它在我们testing过的所有浏览器中工作,但并不一致地在FireFox 4.0.1中,有些用户报告了该版本的FireFox的问题,但有些人并没有能够追查下来,看看问题可能是什么。 欢迎任何帮助的url是https://www.empathic.com
我已经定期安装了wamp,并且其他所有的虚拟主机都能正常工作,直到我试图为DooPHP框架制作虚拟主机,并且在Firefox上出现了ssl_error_rx_record_too_long错误。 它在Chrome中加载得很好。 我没有使用任何SSL证书。 我的虚拟主机configuration就像所有其他的一样: <VirtualHost *:80> ServerAdmin [email protected] DocumentRoot "C:/wamp/www/doophp/" ServerName doophp ServerAlias doo ErrorLog "logs/doo-error.log" CustomLog "logs/doo-access.log" combined <Directory "C:/wamp/www/doophp/"> Options Indexes FollowSymLinks Includes AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> 有任何想法吗? 编辑: 好吧,现在停止说ssl_error_rx_record_too_long,只是说“Firefox不能build立到服务器的连接在doo。”。 它加载和工作在Chrome,IE浏览器,Safari,歌剧。 只是不是Firefox。 这是怎么回事?
所以我从startcom的免费SSL证书过期了,我去更新它。 我被给了一个粘贴在我的csr的内容,或者在他们的网站上生成一个新的select,所以我粘贴在我的csr。 通过整个域validation过程,获得了证书,并用新的证书文件replace旧的证书文件。 我重新启动apache,它[fail] 。 在日志中我发现这个: [Thu Jun 16 07:08:28 2011] [warn] RSA server certificate CommonName (CN) `mydomain.com' does NOT match server name!? [error] Unable to configure RSA server private key [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch 我确信ServerName指令说mydomain.com。 但是还在发生,所以我猜想可能是我的密钥错误或者错误的csr。 同时,我发出了一个请求开始通信,他们没有回到我身边。 所以我尝试了两个免费的SSL,comodo和rapidssl(freessl),遵循了所有的说明(包括生成一个新的csr),而且我仍然有同样的问题,
使用PowerShell,如何将IIS 7.5站点的设置编写为“允许SSL连接”而不是“需要SSL连接”? 我似乎无法确定我需要修改的configuration属性的名称。 谢谢
我正在尝试为我的Zimbra服务器上的域设置SSL证书。 当我去的地方,我想粘贴证书到borwser窗口它popup一个小警告信息说。 如何将CA附加到域证书?
此Exchange 2003服务器位于防火墙的后面,虚拟SMTP服务器侦听端口465,并将Comodo的SSL证书附加到虚拟服务器。 但是,尝试从Apple Mail.app 4.x和Outlook 2011 for Mac发送时,它永远不会完成连接(超时)。 奇怪的是,相同的设置与雷鸟的作品。 我的问题是: 如果证书的友好名称不同于内部主机名,这有什么关系? 机器有两个主机名:外部和内部。 官方SSL正在使用外部名称。 当使用与内部同名的自签名证书时,我仍然无法从Mail.app和Exchange客户端发送邮件,但是我可以使用Thunderbird。