我遇到麻烦通过SSL启用gzip通过ssl服务大(376kb)JavaScript文件。 该文件服务没有问题在普通的旧的http。 有问题的文件是ckeditor.js,位于https://www.myleadconverter.com/js/lib/ckeditor/ckeditor.js 我search了周围,我发现了所有关于gzip_buffers的信息。 我发现的一切似乎都链接回http://blog.leetsoft.com/2007/07/25/nginx-gzip-ssl.html 来自我的nginx.conf的相关位: gzip on; gzip_comp_level 5; gzip_proxied any; gzip_buffers 16 8k; gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript; gzip_disable "MSIE [1-6]\.(?!.*SV1)"; gzip_vary on; 目前,下载停止在105kb,但应该是119kb压缩(这个信息是从铬开发工具)。 如果我使用wget并提供accept-encoding头文件,它将最终加载,但是只有在几次重新开始下载之后: mac2:Desktop andrewmullins$ wget -S –header="accept-encoding: gzip" https://www.myleadconverter.com/js/lib/ckeditor/ckeditor.js –2013-02-26 00:30:04– https://www.myleadconverter.com/js/lib/ckeditor/ckeditor.js Resolving www.myleadconverter.com… 184.106.67.181 Connecting to www.myleadconverter.com|184.106.67.181|:443… connected. HTTP request sent, awaiting response… HTTP/1.1 200 OK […]
鉴于以前列入白名单(允许来自xxxx等)的受SSL保护的站点以及客户要求更改authentication方式的要求,请使用X.509 HTTPS客户端validation。 问题在于SSL CA的“通常的嫌疑人”都没有能力生成X.509证书,而无需购买CA的Managed PKI服务。 我只为内部客户做过这个事情,所以很容易生成一个自签名的CA,并将CA的公共证书放到客户的钥匙串中。 对于外部客户来说,要做到这一点并不容易,并说服他们去做。 所以看起来这些选项是: 沿着一个托pipe的PKI服务的路线。 – 显然这是非常昂贵的,将意味着更换内部CA的东西呢? 要么 获得一个CA来签署他们的根证书。 是对的吗? 有没有人做过类似的事情? 有没有人知道一个可信根可能花费什么球估计? 这不是一个购物问题。
有一个通配符ssl证书颁发给:* .domain.com 证书。 在apache2中使用4个虚拟主机: mail.domain.com gis.domain.com data.domain.com timecard.domain.com Firfox伟大的工作,没有错误。 50%的时间IE工作,但在更安全的电脑,国防部networking,一个错误是抛出: “本网站的安全证书存在问题,本网站提供的安全证书不是由可信任的证书颁发机构颁发的。” 会多域名证书。 更好,因为你可以指定4个SAN而不是* .domain.com? 这里是1个apach2虚拟主机 ServerName data.domain.com SSLEngine on SSLCertificateFile /usr/local/apache/cert/domain.com.crt SSLCertificateKeyFile /usr/local/apache/private.key SSLCertificateChainFile /usr/local/apache/data.domain.com.cabundle 谢谢!
我正在运行一个web应用程序,使用websockets,并有nginx作为反向代理,并且工作正常。 我也已经能够让SSL在没有套接字的情况下工作。 现在我们已经接近正式发布了,并且也需要SSL。 任何想法如何做到这一点? 这是我的nginxconfiguration文件: server { listen 443 ssl; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on; listen 80; server_name sub.domain.com; location / { proxy_pass http://localhost:8866; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_read_timeout 43200000; } location /static/ { autoindex on; alias /home/xyz/.jenkins/jobs/app/workspace/main/static/; } } 编辑:作为@dhl_p在注释中指出,这个configuration是不安全的, 你不应该使用它。 […]
这个问题已经让我发疯了很长时间了。 我们有三个Web服务器,服务于东,西和中央办事处。 我们首先构build了中央服务器,对其进行了映像,并在通过内部安全扫描后将映像复制到其他两个站点,并确保符合FIPS 140-2标准。 这些服务器运行的是Windows 2008 Standard R2,IIS 7.5,并且与它们各自的环境所允许的接近。 所有这三个Web服务器在端口443上都被限制为https。每个服务器的证书都是使用相同的证书颁发机构和encryptionalgorithm生成的。 我们的用户可以很好地连接到东部和中部。 但是,当他们访问West时,除非启用SSL 2.0,否则一些(不是全部,但有些)不能连接。 我们的大多数用户在他们的工作站和笔记本电脑上都有一个标准的设置:Windows 7,IE8。 既然不会发生在每个人身上,而那些不能进入西方的用户也不会遇到别人的麻烦,那么对我来说就不是一个客户端的问题。 任何服务器上都不启用SSL 2.0。 仅启用TLS – 在任何服务器上都不启用SSL版本,甚至不支持3.0。 我运行了诊断软件来检查安装的密码,他们回来确认服务器上没有运行SSL 2.0。 我甚至运行过实际的testing:我已经禁用了浏览器中的TLS,并尝试使用SSL 2.0,3.0或两者进行连接。 我的联系被拒绝,因为它应该是。 我还在我的位置上运行了几个networking嗅探器,然后IT检测到我并closures了我,并确认SSL 2.0被禁用。 我认为encryption的连接必须是直接的和未修改的,以保持安全。 但是,在我们的服务器和客户端请求之间的networking上是否会有某种东西 – 例如一个糟糕的代理 – 在某些情况下会干扰连接? 如果有人有任何build议,我会很感激。 我在我的智慧结束。 (请注意,我不在这三个地点的任何一个地方,而且我也没有直接访问networking基础设施进行诊断,我必须知道我想在解决IT问题之前要解决的具体问题。 !)
我们有一个使用BlueCoat ProxySG(软件6.4.3.1)的明确的(不透明的)代理设置。 当我创buildWeb访问层规则,如: 协议:HTTPS – >所有HTTPS:允许, 协议:所有TCP隧道:然后是DENY 我仍然可以通过代理在外面做一个SSH。 相反,当指定的东西沿线 协议:所有壳牌:DENY (没有HTTPS的明确声明)我也可以通过代理进行SSH。 唯一有用的(用SSH)是指定All TCP Tunneling: DENY 。 但是在这种情况下HTTPS也不能工作。 因此HTTPS似乎被视为TCP隧道。 这也是跟踪文件在HTTPS请求上显示的内容: CONNECT tcp://www.xxx.com:443/ 我知道,只要有人被允许创build传出的encryption连接,他们可能会做几乎任何工作。 但是我不想让它太容易。 那么如何识别HTTPS而不允许太多其他的东西呢? (可能不设置MitM的东西等等)为什么有一个名为HTTPS的对象,当我使用它不会改变任何东西。 我真的没有那个部分。
所以我从GoDaddy购买了一个SSL证书,并按照他们的指示如何获得签名,并下载并安装它。 这不起作用。 它表示SSL证书是自签名的,通用名称是“SomeOrganization”,即使我在CSR中正确input了所有信息。 这是我的虚拟主机conf文件中的行: SSLEngine On SSLCertificateFile /etc/httpd/conf.d/ssl/domain.com.crt SSLCertificateKeyFile /etc/httpd/conf.d/ssl/domain.com.key SSLCertificateChainFile /etc/httpd/conf.d/ssl/gd_bundle.crt 有什么我做错了吗? mod_ssl在apache中启用,我在CentOS 6上运行。任何帮助将不胜感激,因为我需要今天得到这个工作。 –UPDATE– 我明白了,现在我觉得这很愚蠢。 我将这些SSL行添加到<VirtualHost *:80>指令。 我采取了该指令,并制作了一个副本,但将其更改为<VirtualHost *:443> ,现在它工作正常。 我想现在学习是很好的,所以我今后不会犯同样的愚蠢错误。 希望别人也能从中受益。
由于BREACH漏洞,我希望为TLSstream量禁用gzip压缩,但对于常规HTTPstream量则不能。 我可以将每个Nginx server部分分成两个单独的TLS和非TLS部分,并在那里configurationgzip,但是在同一个web服务器上运行的十几个站点中,我不希望每个服务器部分都这样做。 是否可以禁用所有HTTPS请求的gzip压缩,而不创build多个server部分(例如从http部分)?
我有一台运行Windows Server 2008 R2的服务器,面向一个已经安装的网站。 我想也将RD网关服务添加到这台机器,因为它已经可以从互联网上访问。 不过,我这样做时遇到了一些问题。 首先,我可以在同一默认网站上安装RD网关,并将RDG和其他网站绑定到不同的地址,以便他们可以拥有不同的SSL证书。 但是,我无法使用RDP客户端连接到RD网关。 我得到以下错误: 我发现了如何解决这个问题的以下文章 。 但是,按照这个build议后,我有同样的问题。 RDGateway和其他网站ar elistenign在不同的IP /站点名称。 不过,每次我尝试加载RDGatewaypipe理器时,都会收到此消息 有没有人有这方面的经验,我怎么能做到这一点?
我不是一个networking工程师,而是一个软件工程师,所以这个主题对我来说是相当陌生的。 我们开发了一个解决scheme,该解决scheme由一个服务器端Web应用程序(带有一个rest api),在java服务器和一个客户端的ios应用程序(非浏览器)上工作,这个应用程序使用来自服务器的rest服务。 客户端使用智能购物车上的X509证书在服务器上进行身份validation。 当我们的开发环境中,客户端可以直接访问服务器时,一切正常。 但是现在我们有一个生产环境,我们的客户应该在互联网的某个地方,我们的服务器位于内部网。 有一个Microsoft Forefront UAG(SP3)作为从Internet到Intranet的公司网关。 我从来没有在实践中使用过UAG,前两天也没有听说过,我不明白它有什么特点需要我们来帮助我们解决我们的任务。 要清楚,我们的任务是: 客户端应该build立与“端点”的https连接(这是我们的服务器在开发环境中,现在是生产环境中的UAG服务器) UAG应检查客户证书(有效的,未被撤销的等) UAG应将客户端请求传输到我们的内联网服务器应用程序 关键要求 UAG应该“帮助”服务器应用程序进一步的客户端授权。 在开发环境中,我们使用客户端X509证书属性来标识用户,但是我build议(我是对的?)UAG需要终止SSL会话,并且整个https请求的客户端请求证书不能被传送到后台服务器。 好吧,我同意,如果UAG将转换客户端请求(解密之后,转换为服务器之前),并将一些客户端证书的详细信息,例如HTTP头。 或者即使他用适当的对证书重新encryption它(即使它将更难处理)。 你能帮我,说几个关键字,我需要通过了解它将如何工作? 在UAG featere列表(SSL VPN,SSL隧道,DirectAccess等等)中有许多新词,每个人似乎都与这个任务有点相关,但是我不明白我需要什么,以及我们会如何工作。 非常感谢你。