我对AWS堆栈中的ELB很新颖,并且要求在两个EC2实例上运行的两个组件通过TLS进行通信,并且组件2的任何传入会话都具有TLS级别的身份validation。 基本上我的组件2将在SSL握手级别打开传入请求的证书,决定使用EKU / OID,它来自一些可靠的源,然后允许握手成功。 现在这两个组件需要落后于ELB,以确保其可扩展性。 当ELB经历了一些资源时,我的理解是ELB终止TLS,然后可能使用全新的证书,ELB可以将请求传递给ELB后面的实例。 首先,这个理解是否正确。 理想情况下,我需要TLS本来应该传递给ELB后面的机器,这样我的authentication逻辑就不会中断。 其次,如果没有办法做到这一点,我可以在ELB级别进行身份validation,因为有必要做一个数据库查找和一个小型的Java程序,可以打开证书,validation细节,然后丢弃或传递消息。 不知道我的问题是否清楚或没有,为此请放弃任何评论,但任何答案或指针将有所帮助。 -Anurag
我有几个服务运行在本地服务器上,我想通过HTTPS工作。 问题是如果我没有弄错自签名的证书总是会发出警告,所以这实际上不是一个真正的select。 我有一个与域和子域的共享托pipe服务,甚至可以得到一个专用的域名,如果需要的话。 我从主机获得了一个Let's Encrypt证书,但是在本地使用时,它会发出警告,因为本地IP不是证书的一部分。 主机不支持将非托pipeIP添加到证书中,这样做不好。 目前,我正在本地机器上运行一个脚本,该脚本与保存IP地址的远程服务器联系,以便在访问特定页面时读取IP并redirect。 这工作,但对SSL没有好处。 有没有办法通过像DDNS服务的服务器上的脚本指向域的dynamicIP? 在cpanel中,我只能将它指向一个静态IP值。 什么是一些解决scheme来获得SSL本地和转发的外部IP在本地机器上运行没有警告? 示例:在家庭互联网连接上运行的testing服务/网站。 本地IP 192.168.0.10 外部IP 85.24.69.2(转发并可从互联网访问,dynamicIP) 这项服务应该可以通过HTTPS从互联网和本地访问。 如果没有其他解决scheme,本地访问(不需要Internet)可以解决hosts文件。 用于访问的地址可以是IP或域。
我使用Let's Encrypt( certonly )为Apache服务器上托pipe的几个网站生成SSL证书。 这些证书的文件位置在创build之前是确定的,所以我提前将他们的path写入到我的虚拟主机configuration中。 一旦网站正在运行,我将使用certbot来获取证书文件,然后重新加载Apacheconfiguration。 我也有一个用有效文件定义的全局SSL证书,所以每个SSL虚拟主机肯定会有一个证书。 我遇到的问题是Apache不会运行没有所有的证书文件,尽pipe有一个全球性的后备。 我试图有条件地configurationLet's Encrypt证书只有当文件存在使用IF ,但Apache说SSLCertificateFile not allowed here 。 只有当新的证书文件存在时,我如何覆盖全局SSLCertificateFile ? 我试图做所有这些,而不必在生成证书之前和之后修改configuration。 这是我试过的: <If "-f '/etc/letsencrypt/live/domain/fullchain.pem'"> SSLCertificateFile /etc/letsencrypt/live/domain/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/domain/privkey.pem </If> → SSLCertificateFile not allowed here
我有一台Windows 2012服务器,分别在端口80和8080上运行IIS和Tomcat。 我想使Web应用程序在两个启用的Web服务器上运行。 由于两者都运行相同的服务器,我可以得到每台服务器一个证书,并安装在这两个Web应用程序?
我有一个商店build立wordpres提供wordpress模板,它有一个更新系统。 我的服务器是centos 6.9,使用了virtualmin。 Comodo SSL和php7但是当人们尝试更新他们的主题时他们得到的消息Download faild.cURL error 60: Peer's Certificate issuer is not recognized. 对不起,我不是一个服务器的专家,但林非常混淆这个问题,如果任何人知道解决scheme的任何帮助将非常赞赏。Thankyou。 另外,将我的域名移动到SSL后,我看到我在谷歌排名下降,也许是因为这个问题?
这是我的第一个问题: 在同一台服务器上运行的IIS和Tomcat上的SSL,并得到了答案。 谢谢。 我正在将我们的webapps从2个服务器迁移到1个服务器。 这些webapps现在正在通过3个不同的别名访问。 在迁移之后,我将把这3个别名移到这个1服务器。 Web应用程序在IIS(默认端口)和Apache Tomcat 7.x(端口8080)中运行。 一切都很好。 我想介绍一下SSL。 所以我申请了我们公司authentication经理的证书,在申请中,我把名字作为别名之一,而不是服务器名称。 我的问题在这里,如果我能够在IIS和Tomcat上使用相同的证书,即使它是用“A”别名请求的,还是我需要为每个别名应用多个证书?
我在Windows Server 2008 R2计算机上从Comodo安装了一个新的PositiveSSL证书。 我从以下客户端成功连接 Chrome for Windows 适用于Android的Chrome 适用于Windows的Firefox IE浏览器 Vivaldi for Windows Opera for Windows(包括HTTPS和IMAP) Windows的远程桌面连接 到以下服务器 Apache与mod_ssl 远程桌面服务 MDaemon的 但是,当我使用K-9 Mail for Android连接到MDaemon时,出现错误 java.security.cert.CertPathValidatorException: Trust Anchor for certificate path not found 我认为Chrome和K-9在同一款手机上的行为不同,因为Android版Chrome自带Root CA存储,不依赖于Android操作系统根CA存储,或者至less具有不同的信任validation逻辑。 我安装的证书直接来自Comodo发送给我的ZIP文件: AddTrustExternalCARoot.crt (this is the root CA) COMODORSAAddTrustCA.crt (this is a higher-level intermediate CA) COMODORSADomainValidationSecureServerCA.crt (this is a lower-level […]
扫描其中一个域时,我已经为ssllabs.com安装了SSL,证书#1正确validation了等级“A”,尽pipe在结果页面上还有一个证书#2,似乎是从第一个由于某种原因,configuration了apacheconfiguration的SSL证书的域,当然由于域与证书不匹配,当然会给出“MISMATCH”。 想知道是否有人可以指出什么是错误的configuration。 目前我正在设置每个托pipe给ssl的域名(域名已更改): <Directory /home/info/> Options -Indexes +FollowSymLinks -Multiviews AllowOverride All Order allow,deny allow from all Require all granted </Directory> <VirtualHost _default_:443> DocumentRoot /home/info/pub/ ServerName domain.at ServerAlias domain.at www.domain.at SSLEngine on SSLCertificateFile /home/info/ssl/at.crt SSLCertificateKeyFile /home/info/ssl/at.key SSLCertificateChainFile /home/info/ssl/at.ca </VirtualHost> <VirtualHost _default_:443> DocumentRoot /home/info/pub/ ServerName domain.dk ServerAlias domain.dk www.domain.dk SSLEngine on SSLCertificateFile /home/info/ssl/dk.crt SSLCertificateKeyFile /home/info/ssl/dk.key SSLCertificateChainFile /home/info/ssl/dk.ca […]
让我来介绍一下,我不是一个负载平衡器专家,但是我知道,如果您卸载负载平衡器上的SSL证书,则具有多个优点。 我们的一个客户希望通过使用SSL的CDN来caching许多网站。 为了争辩,让我们假装这些网站是https://siteone.com和https://sitetwo.com 他们希望在负载均衡器上安装一个“错误的证书”(例如一个CN:origin.oursites.com的证书),这样他们就不必每次将新站点添加到CDNcaching。 他们说这可以做,因为CDN允许证书不匹配。 我的问题可能是一个愚蠢的问题,如下所示:如果证书不匹配,那么负载平衡如何解密每个包并找出正在请求的确切的URL,并确定包是哪个服务器发给? 我错过了什么? 你能帮我理解这是否真的可行,如果是的话,请问为什么这么做? 在此先感谢// Francesco
我对服务器configuration不太熟悉,请帮我解决这个问题: 我有一个Debian8服务器和一个SSL证书,SSL证书只适用于我的非www域,所以我想redirect所有www请求到非www,通过下面的htaccess代码其工作的一些浏览器,但没有为其他一些工作 在Chrome浏览器上:成功将http://www.example.com或http://example.com请求redirect到https://example.com这就是我想要的所有浏览器。 在Mozilla上:将http://www.example.com请求redirect到https://www.example.com并停止使用INSECURE CONNECTION错误。 我想从这里浏览器首先检查www的SSL证书,并停止在非wwwredirect之前。 以下是我的.htaccessredirectwww到https与非www,是什么我错过了.htaccess ? 或任何其他解决scheme通过DNS或借助Apache默认ssl.conf 。 RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC] RewriteRule ^(.*)$ https://%1/$1 [R=301,L] RewriteCond %{HTTPS} !on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] 我的SSL证书是Certbot ,我按照这个教程来安装https://www.youtube.com/watch?v=-TPoGQ4IjDI&t=100s你可以看到只有一个域名是non-www,没有设置SSL的选项www的证书。 如果我能得到www的SSL证书,那么我也可以解决这个问题。