使用wireshark,我发现Firefox v3.0在build立SSL会话时,每次在“客户端密钥交换,更改密码规格”阶段都卡住了。 具体来说,Firefox发送“客户端密钥交换”请求需要0.8〜1.8秒。 这是不可接受的,因为我们的应用程序只有HTTPS。 我在IE6和IE8上testing了这两个版本,效果很好。 任何线索? [更新] 最后,我在Wireshark中显示了所有捕获的数据包,发现了1〜2秒的原因。 在“服务器问候”阶段之后,Firefox向ocsp.verisign.com发出请求,并为该域添加一个额外的DNS查找。 在进入下一阶段的SSL之前,Firefox必须等待OCSP的撤销状态。 取决于DNScaching是否有效,这个过程需要1〜2秒。 一个有趣的现象是,包含“客户端密钥交换”的IP数据包很有可能丢失,因此需要进行TCP重传。 发生这种情况时,最坏情况下可能需要3秒。 我不确定这是巧合还是错误。 无论如何,这是Wireshark的结果: (增量时间) 0.369296 src-ip dst-ip TCP [ACK] Seq = 161 Ack = 2741 Win = 65340 Len = 0 2.538835 src-ip dst-ip TLSv1客户端密钥交换,更改密码规范,完成 2.987034 src-ip dst-ip TLSv1 [TCP重传]客户端密钥交换,更改密码规范,完成 Firefox和IE的区别在于:Firefox 3 默认支持OCSP检查, IE只支持。 所以,IE6和IE8都没有问题。 这确实是一个“证书吊销”的问题。 谢谢
我在虚拟主机中设置SSL时遇到问题。 安装程序在不安全的网站上很好用。 我希望它能与SSLEnabled网站一起工作。 我的httpd-vhosts.conf如下: NameVirtualHost 127.0.0.1 <IfModule mod_rewrite.c> RewriteEngine On # Redirect /binDebug folder to https RewriteCond %{HTTPS} !=on RewriteCond %{REQUEST_URI} binDebug RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L] </IfModule> <VirtualHost localhost> ServerName localhost DocumentRoot "C:\xampp\htdocs" DirectoryIndex index.php index.html <Directory "C:\xampp\htdocs"> AllowOverride All </Directory> </VirtualHost> <VirtualHost virtual.c7beta.com> ServerName virtual.c7beta.com DocumentRoot "C:\Users\zee\Documents\Flex Builder 3\CLOUD\bin-debug" DirectoryIndex index.php index.html Alias /binDebug […]
如何为传递给SSL的SVN存储库创build第二个虚拟主机? 我通过使用SSLRequireSSL只传递一个SVN仓库到SSL(不是其他人):SSLRequireSSL(…剪切所有的SVNconfiguration…) 现在,我必须为ssl创build第二个虚拟主机。 版本SVN服务器:1.6.4非常感谢。
我们有一台运行带有通配符SSL证书的IIS6的生产机器。 已安装的证书不可导出。 我们要将系统升级到IIS7。 作为这个合资企业的一部分,我们正在创build一个备份/故障切换服务器,它将服务于完全相同的网站 – 当我们将主要服务器升级时,辅助服务器将会接pipe。 因此,次要的也需要SSL证书。 但是,由于证书不可导出,这意味着要从Go Daddy重新input证书。 根据http://help.godaddy.com/article/867 ,我知道通过重新键入证书原件将停止工作。 对于SSL证书,我还是个新手,那么在两台不同的机器上安装相同的SSL证书时,我是否会遇到任何问题?
我的Web应用程序configuration在服务器场中具有Cisco ACE负载平衡,我也想将ACE用作SSL端点。 为了做到这一点,networking架构师提出了一个devise,即所有的安全页面必须由secure.my-domain.com提供,而不安全的页面则从www.my-domain.com提供。 原因很明显,将思科ACEconfiguration为接受端口443上的特定公用IP的HTTPS请求,可以防止同一IP在端口80上同时接受HTTP请求。 虽然我不是networking(或思科)专家,但这似乎是直觉上的错误,因为它会阻止任何使用Cisco ACE的网站提供http://www.my-domain.com和https://www.my-domain.com上的http://www.my-domain.com https://www.my-domain.com同时。 在这种情况下,我的问题是: 当用作SSL端点时,这是否真的成为了思科ACE的限制? 如果不是,那么我是否可以假设我们可以将ACE设置为在端口80和443上接受特定IP的连接,并作为443上传入请求的SSL端点? 这里最适合的文档链接。 假设在前面的问题中的设置,我可以然后将两组请求redirect到同一个端口上的同一个服务器场吗?
这是我第一次处理SSL和专用静态IP /唯一IP。 现在这个虚拟主机说,他们将提供独特的IP(不与其他客户共享),但不保证它是静态的。 现在我打算启用我的网站SSL并安装SSL证书。 所以为了SSL启用我的网站,我真的需要一个专门的静态IP还是将这个独特的IP(没有保证它将是静态的)就够了? 如果IP不是静态的,我需要面对哪些问题? 我已经从他们那里买了托pipe。 他们给我看了这个选项,同时向账户添加了可选的服务(在我下了订单之后),所以我甚至不知道这个。 谢谢大家。
所以我只是按照这个教程为自己的域名设置了一个SSL证书。 虽然,目前,域不指向我的服务器… 在我可以从GoDaddy申请我的证书之前,我需要域指向我的服务器吗? 或者我可以提交证书请求,让他们返回.crt然后指出需要时的域名..?
我有一个来自可信CA的SSL证书和密钥(不是自签名的)。 这给了我Fedora系统上的以下文件: /etc/pki/tls/certs/mydomain.crt /etc/pki/tls/certs/mydomain.csr /etc/pki/tls/private/mydomain.key 我的sendmail.mc文件包含这些行: define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl define(`confSERVER_CERT', `/etc/pki/tls/certs/mydomain.crt')dnl define(`confSERVER_KEY', `/etc/pki/tls/private/mydomain.key')dnl 请注意,我没有任何.pem文件,这些文件通常显示在如何让TLS在sendmail中工作的示例中。 当我开始sendmail,我得到这个错误: Aug 22 15:10:17 cs sendmail[23424]: STARTTLS=server, error: SSL_CTX_use_PrivateKey_file(/etc/pki/tls/private/mydomain.key) failed 我假设错误的原因是它正在寻找.pem文件,但我只有一个.key文件给。 我应该创build一个.pem文件吗? 如果是这样,我怎么从我现有的文件做到这一点? 当我尝试运行make mydomain.pem它想要从头创build一个CSR。 解 如下所示,密钥文件上有一个密码。 我使用openssl命令将其删除,sendmail能够加载该文件。 我还需要启动saslauthd才能使所有的工作。
我有一个服务器托pipe在一堆防火墙后面,并且只能在端口80和443上访问它。 托pipe公司是相当呆滞的支持,所以我想一个方法来获得远程桌面到电脑。 是否有可能安装一个Web应用程序或东西,让我通过SSL端口远程桌面例如?
我经过漫长的斗争,为自己生成的私钥和证书configuration了Jetty。 现在,我无法解密从捕获的Jetty服务器上进行检查的HTTPSstream量。 以下是Wireshark的SSL日志中的错误(文件和主机名被掩盖): ssl_init keys string: <host>,8443,data,C:\path\to\file.pem ssl_init found host entry <host>,8443,data,C:\path\to\file.pem ssl_init addr '<host>' port '8443' filename 'C:\path\to\file.pem' password(only for p12 file) '(null)' ssl_load_key: can't import pem data 我不确定发生了什么问题。 以下是正在使用的密钥和crt文件的标题: .key文件: —–BEGIN RSA PRIVATE KEY—– Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,159E7E1BB65239C8 … <rest of private key> —–END RSA PRIVATE KEY—– .crt文件: —–BEGIN CERTIFICATE—– … <rest of […]