上下文:我们正在使用一个在所有客户端机器上部署的CA,以及许多主机和Web服务器。 似乎Zentyal CA模块只允许使用GUI发布新的CA,但不能导入现有的CA. 我们希望使用Zentyal来发行新的证书,并在Zentyal服务(admin,web server,VPN)中使用它们。 有没有办法将通过Zentyal的GUI生成的CA和用OpenSSL CLI创build的CA取代?
我很难将我们的OpenID安装从Debian迁移到RedHat。 两个openldap实例正在运行,它们具有相同的configuration,除了一个处理ldap:requests,另一个处理ldaps:requests。 netstat显示他们都在监听: sudo netstat -avp –tcp | grep ldap tcp 0 0 *:ldap *:* LISTEN 11348/slapd tcp 0 0 vldap-test-1.ceti.etat-:ssh 10.137.79.116:50842 ESTABLISHED 10461/sshd tcp 0 0 vldap-test-1.ceti.etat-:ssh 10.137.79.116:49164 ESTABLISHED 7993/sshd tcp 0 64 vldap-test-1.ceti.etat-:ssh 10.137.79.116:50815 ESTABLISHED 10281/sshd tcp 0 0 *:ldaps *:* LISTEN 11344/slapd tcp 0 0 *:ldap *:* LISTEN 11348/slapd 我不知道为什么两行显示ldap,只有一个ldaps …不pipe… ldap:请求工作正常,但ldaps:请求不。 […]
我有一个PKI树,Ironport是PKI树第二级的CA(用于颁发HTTPS检查证书) 尽pipe我将根证书部署到所有客户端,并且chrome / IE能正常工作,但Firefox仍维护着独立于Windows的证书存储。 我只想要求服务台将Root证书导入,而不是将Ironport中间证书导入Firefox信任的存储区。 我假设这里的问题类似于其他网站问题,其中设备不发送“链接/链接”证书(例如发送与HTTPSstream内联的根证书) 由于Ironport用户界面只允许导入PEM格式的证书,有什么办法可以让IronPort将整个HTTPS公共链发送给浏览器,而不仅仅是最后一英里的证书吗?
问题: 我们的服务是使用一个合作伙伴服务电话的authentication。 它运行在作为networking服务帐户运行的IIS站点。 但是当我们以pipe理员身份(域帐户)运行testing代码时,服务调用将总是得到403错误(子状态代码是7:证书是必需的)。 我们已经validation: 将debugging器附加到我们发现该站点可以访问作为域帐户运行时的私钥的过程。 该证书位于域帐户的CURRENT_USER / MY证书存储区中。 证书授权链在证书库中是很好的。 这个证书的特殊之处在于它的根CA是一个公司内部的CA. 但是CA已经在信任根。 在IE中,如果我们直接访问一个https站点,这个证书不在popup列表中。 但它确实存在于IE选项 – 内容 – 证书 – 个人列表中。 问题: 似乎证书使用被某些安全设置(Windows或某些公司域策略)阻止,如何解决该问题?
我有一堆后端服务器,他们应该使https请求。 我希望所有的HTTPSstream量都是由less数几台机器进行检查和控制的(比服务器场less很多倍) – 这就是为什么我要通过一个转发代理来build立所有SSL(然后代理我的https请求)的原因。 我发现鱿鱼sslbumpfunction ,但它只适用于服务器身份validation。 我不仅需要服务器authentication,而且需要相互authentication。 你知道一些与sslbump相同的技巧,但也包括相互authentication吗? PS所有的客户端证书都在我的控制之下,我从我的代理服务器访问他们。
我正在寻找一种方法来通过PM2运行节点,同时读取放置在安全目录中的SSL私钥。 详细信息:带节点的Bitnami LEMP堆栈 / etc / ssl / private的权限: drwx—— 2 root root 4096 private 密钥文件的权限: -rw-r—– 1 root root 1704 my_key_file.key 有了上面的权限,nginx和php都可以正常运行,而且没有任何问题(我猜这是因为nginx的主进程是以root身份运行的),运行的节点也是sudo。 不过,我想以非root用户的身份运行这个节点代码,因为如果节点服务器受到危害,这样可以降低安全风险。 我在这里有什么select? 我理解它的方式就像这些选项: 松开私钥文件夹/文件的权限(错误,涉及对/ etc / ssl / private的更改!) 复制private_key并使其可读取,仅由运行pm2的安全用户读取(Bit messy,涉及跟踪复制文件的更新等) 以root用户身份运行PM2 master ,然后以非root用户身份生成一个进程/实例(就像nginx的工作方式一样,不知道这是甚么可能) 以root用户身份运行PM2,在以root身份执行某些操作之后,将代码更改为自己的特权级别(如此处所述 – 看起来有些杂乱,也可能存在安全风险) 任何forms的帮助,非常感谢! 谢谢
我遇到了一个问题,即站点的安全证书正在从端口443定期解除绑定,并被另一个坐在服务器上的证书取代。 因此,无论何时用户试图访问该网站,都会遇到“不可信”的警告。 所以当第一次发生这种情况时,我调查了一下,发现了错误的证书,所以我把它改回来了。 这工作一段时间罚款,但后来又发生了。 我检查了事件日志,并且触发了以下两个警告: 已删除端点的SSL证书设置:0.0.0.0:443 由端点的pipe理进程创build的SSL证书设置:0.0.0.0:443 这种情况一天发生一次或两次,而且我必须不断重新input正确的证书,而且我还没有find解决scheme。 该网站在Windows Server 2012 / IIS 8上运行 根据一些在线支持论坛/文章,在ApplicationHost.config文件中有一个旧的传统设置应该是这样的。 所有引用这个,我发现引用'customMetaData'部分属性,该属性有一个特定的Id(5506)。 我无法在服务器的ApplicationHost.config文件中的任何位置find此特定属性。 有没有人遇到类似的问题? 或者任何人都可以对这个潜在的原因有所了解? 在网上看了一下,我发现很难find与我的问题很多有关,但也许我不是在寻找正确的东西… 任何意见在这个问题将不胜感激。
我们正在更新我们的SSL密码设置,以提高我们的SSL评级。 这些更改包括删除SSL3和RC4密码。 但是,这似乎已经造成了一些仍然在Win XP上的用户的问题(不pipe你信不信),所以我们不得不恢复。 在我们做出任何进一步的修改之前,我们希望让这些用户再次进行testing。 如果用户可以在Internet Explorer中通过SSL访问网站,这是否会自动推断出他可以在.Net框架(System.Net)中访问同一网站? IE使用Wininet。 但.Net框架是否也使用Wininet?
我几乎卡在这一点上。 我有一个网站,在8080端口上使用Padrino(A sinatra变种)服务于Mizuno(我认为是Jetty变种),Nginx在80/443监听,允许SSL代理。 该网站有一个login墙,用户login,然后被允许访问该网站之前,挑战。 每当我通过端口8080直接访问它,一切都按预期工作,但是,当我通过Nginx的时候,我只能到达挑战页面。 当我尝试将我的回应发布到挑战时,它会将我踢回login页面。 编辑:此外,当我login时,应用程序事实上login我正确。 如果我尝试通过端口8080直接访问下一页,在通过nginx启动后,它允许访问。 我的nginxconfiguration如下 server { listen 443; server_name secure.website.io; ssl_certificate ssl-bundle.crt; ssl_certificate_key website.key; ssl on; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM; ssl_prefer_server_ciphers on; location / { proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-NginX-Proxy true; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; […]
我有两个网站在不同的主机上受同一个SSL证书的保护,一个是Apache2,一个是JBOSS。 我的过程: 创build了一个私人的CA. 创build一个新的证书,并用CA签名。 将证书转换为PKCS12格式。 将PKCS12证书导入到JKS中(因为这是JBOSS所喜欢的)。 我已经将客户端证书和CA证书安装到所有浏览器。 (安装CA证书不是必要的,但是可以去掉URL中的红色/危险图标。) Ubuntu 14.04 通过Firefox,我可以使用客户端证书访问这两个站点。 Chrome允许我访问Apache2站点,但在JBOSS站点上出现错误:ERR_BAD_SSL_CLIENT_AUTH_CERT Windows 7的 Chrome,Firefox和IE浏览器都允许我访问Apache2站点,他们都不让我访问JBOSS站点。 Firefox:ssl_error_bad_cert_alert Chrome:ERR_BAD_SSL_CLIENT_AUTH_CERT IE浏览器:“此页面无法显示” 证书和根证书都是最新的,只是无法validation。 任何人有一个理论/解决scheme? 一些编辑过的openssl命令行输出,以防万一: $ openssl s_client -connect jboss_host:8443 -cert client.pem -showcerts -CAfile private_ca.crt CONNECTED(00000003) depth=1 C = US, ST = California, L = Mendocino, O = My Company, CN = My Company CA, emailAddress = [email protected] verify […]