我无法让Nginx 1.8与我的证书一起工作,以便我可以使用基于python2的https客户端。 (requests.py,URLLib) 我已经尝试使用Comodo和GlobalTrust通配符证书,并在设置nginx时将它们链接到服务器上,但从python获取此错误。 requests.exceptions.SSLError: [Errno 1] _ssl.c:510: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 在Nginx上我使用这些指令来设置SSL: ssl_session_cache shared:SSL:20m; ssl_session_timeout 10m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH:!CAMELLIA; ssl_protocols TLSv1.2 TLSv1.1 SSLv3; #ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers on; ssl_certificate /etc/nginx/alphassl/cert_bundle.crt; ssl_certificate_key /etc/nginx/newkey/key.key; 和我一起在服务器上链接证书 cat server.crt intermediate.crt root.crt > cert_bundle.crt 和Comodo: cat server.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl_bundled.crt 它适用于curl,chrome和python3,但我需要能够从Python 2.7.6使用类似的请求来访问它 import requests requests.get('https://server.com/', verify=True) 我也可以向https://store.ssl2buy.com/发送一个请求,从python2这是我的证书的供应商,所以我相信这是一个服务器,而不是python客户端的问题。 […]
我们的Exchange服务器已经运行了一段时间的内部签名证书。 今天我买了一个可信的SSL证书(wilcard)并安装在服务器上。 当我通过网页浏览器访问https://mail.example.no/owa的Web界面时,证书被发给* .example.no,并且不会出现任何安全exception。 现在,当我打开Outlook我得到这个证书validation错误。 我已经尝试了所有提供的标准解决scheme,主要涉及将外部url设置为内部url。 内部FQDN : mx.example.local 外部FQDN : mail.example.no 错误消息 :代理服务器的安全证书有问题。 安全证书上的名称无效或与目标站点mx.example.local的名称不匹配。 Outlook无法连接到代理服务器。 (错误代码10) 我做了什么 : Set-WebServicesVirtualDirectory –Identity 'mx\EWS (Default Web Site)' –ExternalUrl https://mail.example.no/ews/exchange.asmx Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-Activesync Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri […]
当你创build一个csr时,你提供了关于国家,公司,电子邮件等的一些信息。然后,当证书文件安装在ie apache中时,你浏览到这个url,看到这个绿色的锁,你点击它并看到一些注册信息,但在创buildcsr文件时看不到您input的任何数据。 是否有可能从浏览器/ SSL以某种方式读取数据(国家,公司)?
我有一个域domain.org 我正在添加SSL,不幸的是,很多创build为“www.subdomain”的子域,创build证书到多个3级子域的方式更为昂贵。 是否有可能redirectwww.subdomain.domain.org subdomain.domain.org没有redirectwww.domain.org?
我有一个kvm服务器,有6.6位客人的Centos 6.6主机。 我们运行一个基于php的web应用程序,为我们的客户使用LDAP身份validation。 我们刚刚将一个客户端移到了这个设置中,他们报告说所有的ldapstream量都是以TLS v1.1而不是TLS v1.2发送的。 我已经validation了OpenSSL和OpenLDAP的版本在旧版本和新版本之间是一样的。 我到处挖掘,似乎find原因。 vms全部在私有ip上,通过NAT规则和Nginx上行指令共享公共ip。 任何人都有一个想法,为什么交通突然成为v1.1? 链接的OpenSSL版本: host: libssl.so.10 => /usr/lib64/libssl.so.10 guest: libssl.so.10 => /usr/lib64/libssl.so.10 Nginx: built with OpenSSL 1.0.1e-fips
我正在使用RHEL 6,httpd-2.4.10,openssl-1.0.2a,并且已经安装了SNI,如http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI 每次我重新启动Apache我得到以下消息: AH00548:NameVirtualHost无效,将在下一版本中删除 是否有没有使用NameVirtualHost SNI设置?
我有一个networking服务器,其域名是foo.com,如果我在https://foo.com访问该网站,我将收到来自Chomre浏览器的警告。 NET::ERR_CERT_COMMON_NAME_INVALID 我search了networking,发现这个链接说域名应该遵循证书上指定的CN。 我检查了我的证书CN实际上是www.foo.com,所以当我使用https://www.foo.com访问网站时,我没有显示警告信息。 但是,我不能build议用户或将要访问这个网站的客户inputhttps://www.foo.com,这样他们就不会收到警告信息。 您是否build议解决scheme,以便访问此网站的用户不会被抛出警告信息? 我是否需要为此获得另一个证书,或者只需要configuration一个内部configuration即可。 我正在运行.net应用程序和它使用IIS 7.5。
我正在运行具有三个特定域的虚拟专用服务器。 比方说example1.com,example2.com,example3.com。 我在这个VPS上安装了webmin来执行一些简单的任务,只需要在友好的GUI(Bootstrap 3 Webmin主题)中pipe理一些操作。 我已经将webmin绑定到非默认端口,以便与CloudFlare的Flexible SSL兼容。 CloudFlare支持自由灵活的SSL端口8443,所以我决定运行Webmin端口8443而不是默认端口10000。 现在webmin端口可以在所有虚拟主机上访问。 所以我可以通过域名上的SSL达到webmin。 example1.com:8443 example2.com:8443 example3.com:8443 我真的希望它只是由一个特定的域名达成。 所以我只想webmin只是为了例如: example4.com:8443 甚至在不同的域上的端口443上,例如: example4.com 而且不能在域1,2和3的端口上访问。有谁知道如何做到这一点? 所有的域都在CloudFlare之后,CloudFlare的DNS服务器指向我的VPS,它只有一个IPv4和一个IPv6地址。 用于pipe理我的虚拟主机的软件是Apache。
我有一个NGINX开发服务器。 我有大量的configuration指令驱动服务器的各种function。 我希望能够通过SSL访问服务器。 问题是我可能从不同的域名访问服务器。 例如,在我的局域网内,我可能使用192.168.1.100,但在互联网上(通过NAT转发),我会使用我的主域名,或者在某些特定情况下使用服务器的外部IP地址。 由于SSL取决于客户端请求的主机名,我希望能够根据服务器的访问方式生成并提供多个SSL证书。 例如,一个证书的CN将是“ https://192.168.1.100 ”,而另一个将是“ https://www.example.com ”,另一个可能是“ https://12.34.56.78 ”。 我认为这可能是通过复制这样的服务器块来实现的: server { listen 443 ssl; server_name 192.168.1.10; ssl_certificate /etc/nginx/192.168.1.10.crt; ssl_certificate_key /etc/nginx/192.168.1.10.pem; location / { root /var/www/root; index index.html index.htm; } } server { listen 443 ssl; server_name www.example.com; ssl_certificate /etc/nginx/www.example.com.crt; ssl_certificate_key /etc/nginx/www.example.com.pem; location / { root /var/www/root; index index.html index.htm; } […]
到目前为止,我只知道Hynek Schlawack在博客上强化web服务器密码,其中有一个相对较短的密码列表。 但是最近我发现了如何解决Apache(httpd)中的logjam漏洞,它指向Mozilla安全:服务器端TLS中更长的中间列表。 名单是完全不同的,所以我想知道如何在两者之间进行映射。 我把两者都分开,所以每行都有一个密码,使得发现差异更容易: https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/ ECDH+AESGCM DH+AESGCM ECDH+AES256 DH+AES256 ECDH+AES128 DH+AES ECDH+3DES DH+3DES RSA+AESGCM https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-DSS-AES128-GCM-SHA256 kEDH+AESGCM ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-DSS-AES128-SHA256 DHE-RSA-AES256-SHA256 DHE-DSS-AES256-SHA DHE-RSA-AES256-SHA AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 AES128-SHA AES256-SHA AES CAMELLIA DES-CBC3-SHA !aNULL !eNULL !EXPORT !DES !RC4 !MD5 !PSK !aECDH !EDH-DSS-DES-CBC3-SHA […]