我一直在这里search,technet和谷歌,但还没有能够find我的问题的答案呢。 我有一个运行在IIS 7,Server 2012 R2上的网站。 IIS用作访问我们的Citrix场。 使用https连接,我使用我们的CA服务器创build了一个SSL证书(证书是Citrix.contoso.com(服务器的内部FQDN))。 但是,用户将尝试使用https:// Citrix进行连接,这将生成证书错误。 所以我的问题是:是否有可能certificate为思杰和Citrix.contoso.com工作? 如果是这样,我该如何做到这一点?
我试图将预先存在的通配符SSL证书添加到Amazon EC2上的单个Ubuntu实例,其中networking服务器是Nginx,并且运行一个子域。 我有 – 从提供证书的原始供应商 – 名为private.key,selfsigned.crt和ssl-shared-cert.inc的文件。 我已经将这些file upload到了/ etc / nginx / ssl(这是我创build的一个新文件夹)的EC2。 我以前在Heroku上使用过相同的文件,虽然这个过程似乎是非常具体的。 他们也在我们的主域( https://wwww.minnpost.com )上使用,但是我并没有参与设置,因为我相信我们的托pipe供应商是为我们做的。 ssl-shared-cert看起来像这样: SSLEngine On SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile "/path/to/selfsigned.crt" SSLCertificateKeyFile "/path/to/private.key" 在我的EC2实例上,我将网站的configuration更改为: server { listen 8080; listen 443 ssl; server_name subdomainurl; ssl_certificate /etc/nginx/ssl/selfsigned.crt; ssl_certificate_key /etc/nginx/ssl/private.key; root path; … } 当我运行sudo nginx -t我得到以下内容: nginx: the configuration […]
我在Vesta CP上运行NGINX。 有两个单独的文件nginx.conf和snginx.conf 。 每个服务器都有一个服务器块。 我将整个站点redirect到SSL。 为此,我添加一个return 301 https://example.com$request_uri; 到nginx.conf ,然后我完全configuration了sningx.confcaching和位置块等等。 我有一个域是部分SSL /非SSL。 在这些文件中,我不是301,而是我301的位置块,像这样: location ~ ^/(wp-login.php|wp-admin|wp-login|shop|product|my-account|checkout-2|order-pay|order-received|add-payment-method|cart) { return 301 https://domain.com$request_uri;} 而在SSL块我排除: location ~ ^(?!/(wp-login.php|wp-admin|wp-login|shop|product|my-account|checkout-2|order-pay|order-received|add-payment-method|cart)) { return 301 http://sergerpepper.com$request_uri;} 我需要在SSL和非SSL上都有一个可用的URL,其他的都在SSL上。 这个url是网站地图。 所以这两个将工作: http://example.com/sitemap_index.xml https://example.com/sitemap_index.xml 但是任何其他的URL只能在SSL上。 通过我以上的redirect方法,我可以在HTTP上指向一个URL,或者将它排除在HTTPS之外,但不能同时指向两者。
我感兴趣的关于TCP上游SSL终止的特性。 我正在评估NGINX开源和NGINX Plus。 我们有一个应用程序接受来自客户端的TLS消息(TCP)。 用NGINX,我想在NGINX终止TLS,然后NGINX会把解密后的数据包转发给应用程序。 请注意我的应用程序不会通过HTTP接收消息,而是通过TCP(因此HTTP(S)相关模块对我的用例无效)。 客户端 – (TLS) – > NGINX – (解密) – >应用程序 我已经configurationNGINX进行TCP负载均衡(Non-SSL)。 为此,我必须使用以下两个模块构build源代码: ngx_stream_core_module ngx_stream_ssl_module 现在,我想在NGINX和客户端之间启用SSL的相互authentication。 我看到这个文档谈到服务器端身份validation(客户端validation服务器的证书),但我无法findconfiguration相互身份validation(客户端和服务器都validation对方的证书)的步骤。 你能帮我吗? 在“ngx_stream_ssl_module”中我找不到任何提及客户端证书的选项。 以下是我的nginx.conf的内容: stream { server { listen *:5222 ssl; proxy_pass backend; ssl_certificate /usr/local/nginx/certs/server.crt; ssl_certificate_key /usr/local/nginx/certs/server.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_session_cache shared:SSL:20m; ssl_session_timeout 4h; ssl_handshake_timeout 30s; } upstream backend { […]
我需要端口443在我的服务器上打开互联网。 当我通过netstat -tulpn | grep "nginx"内部检查时 netstat -tulpn | grep "nginx" ,我看到nginx的确在该端口上侦听。 但是,从外部机器尝试nmap -p443 mysite.com告诉我端口443被过滤 。 同样,做telnet <IP Address> 443超时。 我如何确保这个端口是开放的? 仅供参考/etc/iptables/rules.v4我有以下内容: *filter # Allow all outgoing, but drop incoming and forwarding packets by default :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] # Custom per-protocol chains :UDP – [0:0] :TCP – [0:0] :ICMP […]
我仍然在osx服务器上使用Dovecot v1(1.1.20)。 我正在尝试禁用SSLv2。 看起来像默认configuration已经禁用它: ssl_cipher_list = ALL:!LOW:!SSLv2:!aNULL:!ADH:!eNULL 但是,当我用ssllabstesting我的web服务器时,它抱怨我的邮件服务器(pop,imap)由于使用SSLv2(相同的密钥)而容易受到攻击。 我也试过: ssl_cipher_list = ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM:!SSLv2 没有更多的成功。 我知道,这个服务器需要重大的软件更新。
我有一个服务器(Debian 7 Wheezy和Apache 2.2),托pipe我的域名,以及一些源于此的子域名。 目前,我已经将这些全部设置为default conf文件作为单独的虚拟主机。 例如我主办example.net并有forum.example.net和game.example.net : <VirtualHost *:80> ServerName example.net DocumentRoot /var/www <Directory /var/www> Options -Indexes </Directory> </VirtualHost> <VirtualHost *:80> ServerName forum.example.net DocumentRoot /var/www/forum <Directory /var/www/forum> Options -Indexes </Directory> </VirtualHost> <VirtualHost *:80> ServerName game.example.net DocumentRoot /var/www/game <Directory /var/www/game> Options -Indexes </Directory> </VirtualHost> 我想设置这些都使用HTTPS,所以安装让我们encryption来做到这一点。 当我经历了安装部分,我只是想game.example.net先设置一个域名,以确保我没有game.example.net任何东西,所以最初使用game.example.net 。 我得到了这个工作很好,现在想要推出它的其他领域, forum.example.net和example.net 。 我尝试了一下这里的一些步骤,所以跑了letsencrypt-auto –apache -d example.net -d […]
我试图通过TrustWave PCI DSS扫描,但我不能,因为它在“支持TLSv1.0”失败,我认为这个问题是在GCE HTTPS负载均衡,默认启用TLSv 1.0,1.1和1.2( https:/ /cloud.google.com/compute/docs/load-balancing/http/#tls_support )。 我用openssl和cipherscan( https://github.com/jvehent/cipherscan )在本地testing了我的实例,在任何一个中我都只能使用TLSv1.2密码获得连接。 我尝试使用相同的工具使用公共IP的GCE HTTS负载平衡器,我可以连接使用TLSv1,TLSv1.1,TLSv1.2。
我尝试安装我在Google App Engine自定义域中的SSLs.com上订购的Comodo证书。 但是我有错误: 所提供的SSL证书无法插入。 我检查了我的密钥是2048位长度: # openssl rsa -in myserver2.key.pem -text -noout Private-Key: (2048 bit) 并确保将我的证书附加到ca-bundle: cat xn--80aaxfchnde0hb.com.crt xn--80aaxfchnde0hb.com.ca-bundle > concat.crt 除此之外,我validation了md5和CAfile: # openssl verify -verbose -CAfile concat.crt concat.crt concat.crt: OK # openssl x509 -noout -modulus -in concat.crt |openssl md5 (stdin)= f83d…c3d # openssl rsa -noout -modulus -in myserver2.key.pem | openssl md5 (stdin)= f83d…c3d […]
我一直拼命地试图让我的MQTT客户端连接到我的MQTT代理,该代理使用来自CA(Letsencrypt)的证书进行设置。 为了能够获得CA证书,我使用了letsencrypt python命令( https://pypi.python.org/pypi/letsencrypt/0.4.1 ) ./letsencrypt-auto certonly -d www.myserver.com 这给了我: lrwxrwxrwx 1 root root 41 Mar 6 23:50 cert.pem lrwxrwxrwx 1 root root 42 Mar 6 23:50 chain.pem lrwxrwxrwx 1 root root 46 Mar 6 23:50 fullchain.pem lrwxrwxrwx 1 root root 44 Mar 6 23:50 privkey.pem 这些文件我也用于我的网站上的SSLencryption(apache2),这似乎在我的conf文件中工作得很好: SSLCertificateFile /etc/letsencrypt/live/www.server.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/www.server.com/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf 而当我的networking服务器,我看到的SSL图标,它的工作原理。 现在,当我把这些文件放在我的/etc/mosquitto/mosquitto.conf中时: […]