我们的团队有一个Windows 2008服务器,主要用于常见的IIS开发框。 我想在IIS上的某个网站上启用SSL,因此只能通过HTTPS访问。 我在IIS中创build了自签名证书并安装它。 然而,当我通过浏览器访问网站(Chrome浏览器,Firefox或IE – 无所谓),它总是给人以恐惧……“这是不安全的”屏幕。 我已经尝试在自己的电脑上安装证书,重新启动,我仍然得到该屏幕。 我注意到的一件事是,当我创build一个自签名证书时,它将域名添加到它…例如,框的名称是webIIS,我们的login域是COMPANYDOMAIN。 所以它会说这个证书是由webIIS.COMPANYDOMAIN.com创build的。 这个url解决了,因为没有这样的事情。 我是否以错误的方式去做?
目前我使用nginx作为通过https的反向代理,所有代理本身都是通过https。 SSL终止发生在Nginx上,而且由于stream量已经超过了https,所以在继续之前,它会再次被encryption。 我的第一个直觉是,我面向公众的服务器必须使用签名证书,并使用nginx的SSL直通。 原来nginx不允许你这样做。 所以我开始看haproxy,因为它可以做SSL直通。 经过大量的阅读,我开始想知道这是否真的很重要。 我可以在自己的networking中使用自签名authentication。 是否有理由在我的服务器上使用nginx / haproxy上的相同证书? 是否有任何理由不使用自签名证书进行内部通信?
我想在连接到我安装在Windows机器上的MySQL服务器上启用SSL,所以我使用了“使用ssl mysql窗口”。 第一个结果是这个简单而直接的指南 。 从它的外观来看,这似乎是我刚才需要的指南。 然而: 按照下面的步骤,它不起作用。 在更深入地阅读了他引用的一些链接之后(比如他为客户端提交的错误–ssl-key标记),其中一些已经过时(因为我使用的是不支持MySQL的版本有这些问题)。 在排除了我的问题之后,我发现它有一些含糊之处,而且可以改进的东西,但是我不能build议对它进行编辑,因为作者已经closures了他的博客(或博客条目)上的评论。 因此,如果放置在像serverfault.com这样的网站上,任何人都可以提出修改答案,我认为这种指南会更好。 那么,我愿意接受这个问题的答案,这个答案只是从这个博客复制粘贴,所以我稍后可以提出修改。 所以下次我需要在我的MySQL服务器上设置SSL时,我不会find同样的问题,我有一个简单明了的完整指南。 希望这个排名更高的谷歌。 谢谢
我正在尝试在我的服务器上安装LetsEncrypt (我拥有root用户的SSH访问权限),用于staging.dnslaude.com – 这是一个可公开访问的域,指向213.212.81.89 。 服务器运行ubuntu 16.04 ,和一个nginxnetworking服务器。 下面是nginxconfiguration: server { listen 80; server_name staging.dnslaude.com; root /path/to/webroot; location ^~ /.well-known/acme-challenge/ { try_files $uri $uri/ =404; } rewrite ^(.*) https://$host$1 permanent; } server { listen 443; ssl on; ssl_certificate /path/to/self/signed/certificate.crt; ssl_certificate_key /path/to/key.key; server_name staging.dnslaude.com; root /path/to/webroot; # …. location ^~ /.well-known/acme-challenge/ { try_files $uri $uri/ =404; […]
我尝试使用haproxy作为testing台来设置SSL终止。 它很好地服务于80端口的testing页面,但是在443端口chrome显示ssl连接不安全的警告,以及https通过的图标。 我用这些命令创build了证书: openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout web.key -out web.crt cat web.crt web.key > web.pem 通用名称定义为haproxy.com 另外我把haproxy.com放到我的/etc/hosts文件中 这是haproxy的摘录: frontend main bind *:80 bind *:443 ssl crt /root/web.pem mode http default_backend app backend app balance roundrobin server app1 127.0.0.1:8080 check server app2 127.0.0.1:8081 check 我怎样才能pipe理这个警告?
我们设置我们的网站运行在播放框架上。 它在http上运行9000.我们可以通过访问http://servername.domain.com:9000访问该站点,其中servername是web服务器的名称。 我们还设置了我们的F5负载均衡器,将所有stream量从httpredirect到https以及从端口443到9000的stream量。我们为F5设置了一个域名vip.domain.com,后者连接到这个networking服务器。 我们从池中取出了其他Web服务器进行debugging,因此当前池中只有一台服务器。 当我访问Chrome上的网站时,如果我们访问http ://vip.domain.com,F5会将我们redirect到https://vip.domain.com ,我们会得到绿色的挂锁,并显示“Secure”。 当我inputhttp://server.domain.com:9000时 ,它说“不安全”,我们没有挂锁。 有人进行了安全扫描,并表示我们正在以未encryption的方式发送内容。 我们已经完成了所有的testing,并告诉每个人去http://vip.domain.com ,但我想扫描使用http://servername.domain.com:9000 。 有没有办法使http://servername.domain.com:9000不工作,但仍然离开港口9000打开http://vip.domain.com ? 我们可以根据需要对服务器和VIP进行更改。
我需要在Cisco ASA防火墙上购买并安装SSL证书。 这将允许我的VPN用户连接到我的ASA,而不会收到来自ASA上当前不受信任的自分配SSL证书的证书错误。 我对GoDaddy销售的SSL证书有很好的经验。 不过,我很关心使用它们。 在我的networking服务器上,我还必须安装GoDaddy的“中级证书包”。 在ASA上,我认为我不能像这样做任何事情。 我不完全理解“中间证书包”的作用,但显然这很重要。 所以我的问题是,我可以在ASA上使用GoDaddy SSL证书,而我的用户在连接到使用不可信SSL证书的网站时会收到任何types的警告或错误。 我需要这个尽可能简单,我的最终用户和警告消息总是吓人:) 谢谢!
我们有一个来自GoDaddy的具有SSL证书的网站。 我们的日本办事处报告说,他们的一些客户不能通过他们的手机访问安全网站。 显然其中一个主要的运营商没有GoDaddy的根证书。 除了从另一个供应商处购买一个证书,我们有什么select? 更新:我们无法轻易更改证书供应商的原因是,该网站由我们的软件供应商托pipe,所以我有点怜悯。
我们只是将域名从www.olddomain.com切换到www.newdomain.com。 我们在https://wwww.example.com上有多个桌面快捷方式。 我已经设置了重写规则在这两个虚拟主机和SSL虚拟主机,如果域不是www.newdomain.comredirect到www.newdomain.com。 VirtualHost重写可以完美地处理非SSL请求。 但是,在SSL页面上,用户会被授予无效的安全证书exception。 重写规则在这之前似乎没有影响。 但是,如果他们添加一个例外,重写规则马上踢,并把他们带到www.newdomain.com。 看起来证书exception是在redirect之前发生的,这是有道理的。 这里是SSL虚拟主机redirect。 非SSL的几乎是一样的。 <VirtualHost _default_:443> RewriteEngine On RewriteCond %{HTTP_HOST} !^www\.newdomain\.com$ [NC] RewriteRule ^ https://www.newdomain.com%{REQUEST_URI} [R=301,L] …. <VirtualHost> 我读过HTTP_HOST不是SSL中的有效variables,但即使删除该条件并将所有请求redirect仍会产生exception。 在显示浏览器证书exception之前,有什么办法可以使用有效的SSL证书和子域/域组合来redirect到新的域?
* sgsax hates ssl certs < Landon> indeed < Landon> next time my servers cert expires I'm just going to make one for 100 years or something ridiculously long 上述推理有什么不妥之处吗? 显然有人可能会在100年内蛮横,但你怎么确定什么是可接受的时间框架?