我正在testing我的服务器的Tomcat SSLconfiguration,我正在使用nmap的ssl-enum-ciphers脚本,并且出现以下警告: 低于证书密钥的密钥交换参数 这是什么意思? 我无法find有关此诊断的有意义的信息。 Tomcat server.xml密码: ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
假设我有PC A和PC B.假设两个都有由CA签名的证书。 我如何使用openssl在这里进行相互authentication。 我必须使用哪些命令? 一些命令的简短解释将会有很大帮助。
我使用openssl命令在我的Fedora CLI服务器上创build了一个自签名证书 openssl req -x509 -sha256 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 100 从我的理解,这是TLS的工作原理: 客户端将密码套件首选项发送到服务器 服务器select密码套件,并将证书和(rsa)公钥发送给客户端 客户端生成Premaster密钥(主要是随机位)。 用给定的公钥encryption它,并将其发送到服务器。 客户端和服务器都独立地生成主密钥,然后生成会话密钥。 会话密钥是提供“安全通道”的对称密钥。 问题1.如何找出用于会话密钥的对称encryptionalgorithm? 问题2 openssl命令与openssl ciphers命令有什么关系? 问题3. TLS是否使用Diffie Hellman? 我是否在使用Diffie Hellman? 问题4.我看到一个networkingpost,build议禁用一些密码。 我怎样才能做到这一点? 任何帮助将不胜感激,谢谢 编辑 问题5.因此,如果我的应用程序(比如Apache HTTP Server)同时使用TLS和x509证书,并且客户端使用https请求连接到该服务器,那么商定的密码套件将如下所示:TLS_RSA_WITH_NULL_SHA ? (我刚刚从我的命令中放入了这些元素)
我正在testingHTTPS到我的小网站的增加,因为我有configuration,允许访问我的网站通过HTTP或通过HTTPS在某些时候,我决定使用ab基准(例如ab -n 1000 -c 5 http://{mywebsite}/{resource} vs ab -n 1000 -c 5 https://{mywebsite}/{resource} )。 令我惊讶的是,我发现每个百分点的请求花费的时间大约是HTTPS的两倍。 我正在使用非常便宜的盒子(AWS t2.micro是具体的),我托pipe我的web应用程序(java / jetty)和gzip和SSL的nginx,所以,我的第一个想法是,这不应该是真的大网站我没有足够的CPU能力。 此外,networking性能对于这些盒子来说是小的。 然后出于好奇,我试图运行一些网站上有一些HTTP和HTTPS的内容(如https://www.aol.com/robots.txt vs http://www.aol。 com / robots.txt和https://www.fedex.com/robots.txt与http://www.fedex.com/robots.txt等等)。 你猜怎么着? 我也看到了相同的模式 – HTTPS的每个百分点大约是通过HTTP服务的相同资源的相应百分比的两倍或三倍。 我认为我的提供者是应该指责的,但是我试图从一个AWS框中运行这些基准testing,并且我看到了更好的延迟,但仍然是相同的模式:对于我的和大名字的网站,HTTP请求至less是HTTPS的两倍以上。 我想知道可能是什么原因呢? 我试图运行AB本地主机(显然与HTTPS禁用证书检查),差异不是那么大(我说〜10-15%)。 如果别人看到这个,我很乐意多了解一下这个开销的性质。 我不是networking工程师,所以对于TLS握手是否是延迟增加的唯一原因,我几乎没有任何理解。 还有什么可能导致这些结果? 更新: 正如多人指出,TLS握手可能是根本原因。 而对于上面的例子来说,执行请求的时间可以忽略不计(比如服务静态内容)。 而我刚刚遇到了ab选项,清楚地显示了这一点,它是-k选项,使连接重用。 启用此选项后,HTTPS的总体成本要小于连接不重复使用时的总体成本。
我在ubuntu 14.04上运行apache2,并使用Let's Encrypt设置了SSL。 在我的域名之一(域名A)它工作正常。 我可以达到它 http://domainA.com http://www.domainA.com 要么 https://domainA.com https://www.domainA.com 但是,我有附加的域指向框,并为每个这样的虚拟服务器设置。 我以同样的方式设置domainA( 如果您想知道如何使用,请参阅本教程 ) 在我的其他网域上,通过https的stream量显示了正确的虚拟内容 – 但是通过http的stream量只显示了根目录(所以默认的index.html出现)。 在/ etc / apache2 /网站,可用我有以下几点: 000-default.conf default-ssl.conf domainA.com.conf domainA.com-le-ssl.conf domainB.com.conf domainB.com-le-ssl.conf 它们的设置完全相同,只是相关的信息发生了变化。 domainA .conf如下所示: <VirtualHost *:80> ServerAdmin [email protected] ServerName domainA.com ServerAlias www.domainA.com DocumentRoot /var/www/html/domainA/public_html ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost> domainB.conf看起来完全相同,除了用“domainB”代替domainA。 domainA.com-le-ssl.conf文件看起来几乎完全相同,除了包括所有合适的SSL文件并且在端口443上(当我使用Let's Encrypt创build文件时,它是dynamic生成的 – 我没有碰到它们) 所以domainB.conf看起来像这样: <VirtualHost *:80 […]
我有一个服务器运行在一个子域configuration像这样: server { listen 80 default_server; listen [::]:80 default_server; server_name x.example.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; listen [::]:443 ssl; <ssl configuration from https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=nginx-1.6.2&openssl=1.0.1t&hsts=no&profile=modern> ssl_client_certificate /etc/ssl/certs/root-ca.crt; ssl_verify_client on; ssl_verify_depth 2; root /var/www/html; index index.html index.htm; location / { try_files $uri $uri/ =404; } } 目前,我使用自己的根CA作为客户端validation和服务器的主要证书。 我想过渡到使用Let's Encrypt证书,但这会带来一个问题,因为Let's Encryptvalidation过程将需要访问x.example.com/.well-known并且没有匹配的客户端证书。 我已经尝试添加像这样的第二个服务器块,如这里推荐,但我一直无法得到它的工作: server { listen […]
当我尝试跟随curl devendermishra@myhost:~$ curl https://iam.endpoint.com curl: (60) SSL certificate problem: self signed certificate More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the –cacert option. If this HTTPS server […]
使用Ubuntu 16.04, curl版本7.47.0 我正在尝试debuggingSSL证书问题,并在使用curl时看到奇怪的行为。 当我刚跑时: ubuntu@ip-172-30-0-81:~$ curl https://myapp.com/hello curl: (51) SSL: certificate subject name (cloud.mynameserver.com) does not match target host name 'myapp.com' 但是,当我附加-v标志: ubuntu@ip-172-30-0-81:~$ curl -v https://myapp.com/hello * Trying {IP REDACTED}… * Connected to myapp.com ({IP REDACTED}) port 443 (#0) * found 173 certificates in /etc/ssl/certs/ca-certificates.crt * found 692 certificates in /etc/ssl/certs * ALPN, offering […]
我有一个问题,通过我的PHP脚本使用fsockopen , file_get_contents等函数加载https网站(谷歌,脸谱,亚马逊)。 操作正在超时。 所以我开始浏览我的系统设置,注意到当ipfw服务被停止时,它就像一个魅力。 所以这是一个与我的IPFWconfiguration明确相关的问题。 我已经启用了日志logging,并在尝试执行PHP脚本时在日志文件中popup: ipfw: 1000 Deny ICMPv6:1.3 [2001:…:…:…::] [2001:…:2:…::] in via em0 ipfw: 1000 Deny ICMPv6:131.0 […::…:…:…:…] […::1:…:0] in via em0 ipfw: 1000 Deny ICMPv6:136.0 [2001:…:…:…:ff:ff:ff:ff] […:…:2:…::] in via em0 看起来像IPv6的问题,但是,我allow all保持在我的ipfw文件的状态类连接。 这是我目前使用的configuration: #!/usr/local/bin/bash IPF="/sbin/ipfw -q add" /sbin/ipfw -q -f flush $IPF 10 allow all from any to any via lo0 […]
我使用FreeRadius和带有802.1xauthentication的Ubitquiti WiFi AP,使用EAP-TLS(基于客户端/服务器authentication的authentication)。 这对于静态VLAN(即在AP上指定)运行良好。 我想将VLAN分配卸载到Radius,以便不同的用户可以分配到不同的VLAN。 我不知道如何使用EAP-TLS来做到这一点。 我在网上find的所有文档都使用用户文件,但使用其他EAP方法。 所以,我把它放在我的/ etc / freeradius / users文件的顶部: DEFAULT Tunnel-Medium-Type = 6 Tunnel-Private-Group-ID = [12], Tunnel-Type = VLAN 但是没有VLAN由Radius分配。 我不确定该从哪里出发。 也许我需要在/etc/freeradius/eap.conf中的tls部分内容来告诉它使用用户文件? 帮助表示赞赏,谢谢!