我们从OSCommerce网站转到Magento,也是很好的服务器。 旧的服务器在Apache上,我们的新服务器在NGINX上。 我们所拥有的SSL证书似乎是从GODADDY购买的。 我几乎已经想出了如何将我们的旧服务器的SSL证书切换到我们的新服务器。 但是有几个问题? 1. REKEY CERTIFICATE 我从旧的OSCommerce网站apache虚拟主机发现了三种types的SSL文件: SSLCertificateFile /etc/apache2/ssl/11-2013/09********ss.crt SSLCertificateKeyFile /etc/apache2/ssl/11-2013/server.key SSLCertificateChainFile /etc/apache2/ssl/11-2013/gd_bundle.crt 我可以将它们复制到新服务器上的位置,并在NGINXconfiguration文件中引用它们吗? 或者我需要生成一个新的ssl密钥, 重新键入 crt文件(哪一个)? 2. NGINXconfiguration NGINXconfiguration似乎只需要引用Apache的两个文件? # Specify path to your SSL certificates. #ssl_certificate /etc/nginx/certificates/yourcertificate.crt; #ssl_certificate_key /etc/nginx/certificates/yourcertificate.key; 我应该参考NGINX的哪个CRT文件,另一个呢? 3. SSL 3.0和SHA1当我在DigiCert的SSL检查器上查看我们的网站时,它说: 协议支持 TLS 1.0,SSL 3.0 SSL 3.0是一个已知漏洞的过期协议版本。 SSL证书 通用名称= ourdomain.com Subject Alternative Names = ourdomain.com,www.ourdomain.com 颁发者= Go爸爸安全authentication机构 序号= ***************** […]
我们目前正在为我们的客户部署一个安全解决scheme,我们要求他们的PEM / PKCS12格式的SSL证书。 但是,他们告诉我们,他们已经“失去了”企业社会责任,无法提供任何forms的证书。 如果他们要重新申请一个新的CSR并为他们的服务器生成一个新的SSL证书,是否会给服务器及其用户带来任何问题?
我有两台机器以类似的configuration运行。 两者都安装了HAProxy。 现在我想启用本地SSL终止。 这在服务器上完美工作。 现在在服务器2我不能让它运行,并不断收到此错误消息: Restarting haproxy haproxy [ALERT] 231/185237 (5179) : Proxy 'apache-https': unable to set SSL cipher list to 'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:$' for bind '192.168.56.150:443' at [/etc/haproxy/haproxy.cfg:102]. [ALERT] 231/185237 (5179) : Fatal errors found in configuration. Config似乎与server2上的一样 这可能是一个错误? 几乎不可能,因为我已经同时完成了安装。
我有一个旧的Weblogic服务器上运行的应用程序。 我已经注意到,新的SSL证书不能很好的与我的旧的Java,我虽然build立一个卸载服务器来处理我通过https做的请求来检索客户数据。 我试图完成的是build立一个新的服务器,应该作为一个HTTP隧道的HTTP,我正在考虑在服务器上设置path对应我的客户在以下方式: Weblogic使用URL / cust01 / path-to-data调用网桥服务器。 然后,桥接器使用SSL使用相同的数据path调用客户的服务器 服务器将其返回给Weblogic cust02同样的东西等等。 这可能需要一个所有客户的表,他们的别名(“cust02”)和相应的外部URL。 另一种方式,但在这里我必须承认,我完全失去了,将保持来自Weblogic的URL,但不知何故切换http …到https …当它通过中间服务器。 我已经尝试过使用apache2和mod_proxy,但不知道我是否正确。 到目前为止,我已经成功地将本地地址“富”pipe道给谷歌,但问题是,我用于testing的浏览器显示谷歌网页,但也改变了url。 似乎我转移到谷歌,当我试图访问远程服务器上的文件时,我得到一个错误。 什么是最简单的方法来完成这个? Apache是正确的工具,还是应该在其他地方search?
我们部门的网站在内部和外部都使用www子域名。 当我join时,我注意到许多用户在没有www情况下尝试了一下,出现了一个错误,变得困惑或者恼火,直到他们试图用www或者某人告诉他们。 所以,我添加了一个指向我们的Web服务器(以前不存在)的父域的内部DNS条目,并configuration了我们的Web服务器来侦听这两者。 然后我们使用自签名证书。 最近,我们得到了外部签名的,但是,在一个疏忽,只为*.parent.domain ,而不是parent.domain 。 因此,尽pipewww上的体验一般是平稳的,但是当一个不知情的用户只是尝试https://parent.domain ,他们会得到一个错误。 在curl : curl: (51) SSL: no alternative certificate subject name matches target host name 'parent.domain' 我为HTTP请求添加了redirect,但是浏览器阻止了HTTPS的进一步操作,所以客户端从不会看到redirect,但只是一个很大的,可怕的警告。 这些证书已经获得了三年,我认为我不能为这个边缘案件辩解一笔新的支出。 有什么我可以做的服务器端来缓解这一点?
服务器:使用SNI的Windows 2012 R2 / IIS 8.5(Azure虚拟机) 我有一个已经安装的SSL证书,并且可以在除Firefox和iOS Safari之外的所有浏览器中使用。 Chrome和IE中的链条如下所示: Baltimore CyberTrust Root —->XX Public Root Certification Authority ——–>XX Certification Authority ———–>xxx.domain.com 在iOS的Firefox和Safari中,您会收到一条消息,指出该网站不受信任,并且如果您通过“添加exception”查看证书,则链如下所示: XX Certification Authority —–>xxx.domain.com XXauthentication机构已经签署了xx.domain.com证书。 公共根证书颁发机构已经签署了XXauthentication机构,CyberTrust已经签署了公共根证书。 中间证书位于服务器上的“中级证书颁发机构”存储中。 出于某种原因,Firefox不会下载完整的证书链(或者服务器没有发送它)。 我试图删除Firefoxconfiguration文件中的cert8.db,并一直在干净的机器上发生。 我已经在sslshopper.com和ssllabs.com上testing了我的域名。 他们不报告任何错误,并报告所有中间证书安装正确。
我在FreeBSD上有一个Web服务器Apache,并且希望将SSL绑定到许多域中的一个。 现在我的configuration是 NameVirtualHost *:80 <VirtualHost *:80> DocumentRoot /home/web/web/domain01.com ServerName domain01.com ServerAlias www.domain01.com </VirtualHost> <VirtualHost *:80> DocumentRoot /home/web/web/ssldomain.com ServerName ssldomain.com ServerAlias www.ssldomain.com </VirtualHost> <VirtualHost *:443> DocumentRoot "/home/web/web/ssldomain.com" ServerName www.ssldomain.com ServerAlias ssldomain.com SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile "/usr/local/etc/apache22/ssl/www.ssldomain.com.crt" SSLCertificateKeyFile "/usr/local/etc/apache22/ssl/private.key" SSLCertificateChainFile "/usr/local/etc/apache22/ssl/intermediate.crt" </VirtualHost> 一切正常,但在浏览器上https://www.domain01.com/显示ssldomain.com网站的页面。 这是坏的。 如何调整Apache以防止在浏览器中显示https://www.domain01.com上的ssldomain.com页面。 UPD:我试图为这两个域定义VirtualHosts:80和:443。 1)将ssldomain.com的原始SSL用于两个域; 2)使用ssldomain.com的原始SSL和domain01.com的自签名SSL。 在这两种情况下,浏览器显示HTTPS上的证书错误,但页面是正确的。 configuration这两个案例 Include etc/apache22/extra/httpd-ssl.conf NameVirtualHost *:80 NameVirtualHost *:443 […]
我们公司的SVN服务器,自行安装,托pipe在EC2上,速度很慢。 该设置基于Apache和mod_dav_svn。 CI系统似乎也在使用svnserve。 我们可以使用服务器和客户端证书使用SSL访问存储库,我注意到一个奇怪的事情,同时使用Wireshark监视提交。 我会期望有一个SSL握手来build立连接,并且该连接在会话中被重用。 但是,似乎每200ms / 10kb有一个新的TCP连接与新的SSL握手(这是由于证书采购比SVNstream量本身更高的有效负载)。 SVN提交期间的对话。 请注意,每个连接最多只有10kb的数据传输。 作为数据包提交的开始。 据我可以告诉服务器发送encryption警报closuresSSL连接。 然后你看到下一次握手… Apache ssl.conf: LoadModule dav_svn_module modules/mod_dav_svn.so LoadModule authz_svn_module modules/mod_authz_svn.so SSLVerifyClient optional SSLUserName SSL_CLIENT_S_DN_CN SSLCARevocationFile /etc/httpd/ssl/xxx-revoke.pem <Location /svn/repos> DAV svn SVNPath /path/svn/repos SSLRequireSSL SSLRequire (%{SSL_CLIENT_S_DN_O} in {"c1", "c2"}) and !(%{SSL_CLIENT_S_DN_CN} in {"old1", "old2"}) # Allow large files LimitXMLRequestBody 0 LimitRequestBody 0 </Location> 我正在使用TortoiseSVN GUI […]
我们有域名:littledogs.com和一个子域名pics.littledogs.com。 这两个域指向两个服务器。 企业login在服务器A(littledog.com)上,我们将所有的图片存储在服务器B(pics.littledog.com)上。 我们为littledogs.com购买了一个EV SSL,但是我们也希望为另一台服务器提供另一台服务器,因为我们希望通过https提供图像链接。 EV SSL,我们拥有,没有通配符支持。 那么解决scheme是什么?
我在前端服务器和后面的一个IIS(8)Web场上有ARRconfiguration。 在ARR服务器和IIS Web场服务器上使用相同的证书启用SSL,但我不使用SSL卸载。 服务器正在使用Shared Config,因此设置在理论上是相同的。 有趣的是,当ARR循环configuration命中一个服务器时,它返回一个“502 – Web服务器收到无效响应,同时充当网关或代理服务器”。 错误。 另一台服务器使用SSL工作返回页面。 如果我将浏览器直接指向“坏”服务器,而没有ARR,那么在HTTPS / SSL模式下工作正常。 我检查了configuration,发现服务器之间没有什么不同,甚至启用了ARR服务器上的失败请求跟踪,这没有什么帮助,但是我在日志中看到了一个不同的502.3错误。 为什么我会得到任何types的502错误,特别是在服务器场中只有一台服务器时,如果configuration与共享configuration相同,并且证书在所有服务器上?